セキュリティ対策の格付け制度開始まであと1年──経産省が語る制度設計の全貌とIT部門が今すべき備え

今、制度開始を急ぐ理由：国に関わるITとビジネスの課題

　なぜ今、国を挙げてサプライチェーンの可視化を急ぐのか。橋本氏は、企業におけるIT環境を「スパゲッティのように複雑に絡み合った状態」と表現する。

　「現実社会とデジタルが密接に結びついているため、ITが使えなくなったときに初めてITへの依存度に気づく。『ITが止まると業務のどこが止まるのか』が整理されないまま、形だけのセキュリティ対策にとどまっている組織が少なくありません」（橋本氏）

　サプライチェーンに関していえば、自社のITが停止したとき、サプライチェーン全体、ひいては社会全体にどのような波及効果をもたらすかが可視化できていないことが問題だと橋本氏は述べる。予算には限りがあるため、守るべき優先順位をつける必要があるが、影響範囲が見えていなければ重点投資もできない。この問題を解決するための施策こそが、新たなセキュリティ対策評価制度だ。

“厳しすぎず簡単すぎない”制度レベルの検討

　サプライチェーン強化に向けたセキュリティ対策評価制度は、どのような設計思想に基づいているのか。橋本氏によれば、一つのベンチマークとなっているのが英国の「Cyber Essentials」だ。これは組織のセキュリティ対策を「自己宣言」と「第三者評価」の組み合わせで認定する制度で、経済産業省はこの仕組みを参考にしつつ、日本独自のビジネスにおける習慣やサプライチェーン構造に合わせた調整を行っているという。特に今回の制度設計においては、サプライチェーンに関する記述を強化している点が特徴だとした。

　最大の論点は、認定基準のレベル設定にある。特に意識している点について、橋本氏は「厳しすぎて誰も申請しない制度では意味がありません。しかし、妥協しすぎて★3の信頼性が損なわれてもいけない。このバランスについて、ワーキンググループで活発に議論し、着地点を模索している最中です」と語る。

　現在、最終案公表とパブリックコメントを経て、2026年度末には「★3つ」と「★4つ」の認定制度を開始するスケジュールで調整が進められている。

“SBOMの整備”必須か：「JC-STAR」の★3認定要件とは

　組織だけでなく、ハードウェアのセキュリティ可視化も進められている。橋本氏は、ルーターやネットワークカメラなどのIoT製品に対してセキュリティ基準の適合を示す「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」にも言及した。

　この制度により、製品にラベルが付与され、利用者はセキュリティ対策が施された機器を一目で選別できるようになる。たとえばIT部門は、社内ネットワークに接続する機器の選定基準に「JC-STARラベルが付与されていること」を追加することで、調達時のセキュリティ評価コストを大幅に低減できるだろう。

　すでに「★1（自己宣言レベル）」の運用は開始されているが、今後焦点となるのは、政府機関や重要インフラ向けに想定される「★3」以上の要件だ。橋本氏は、詳細については現在検討中だとしたうえで、SBOMの整備が★3の認定要件に組み込まれる見通しを示す。

　「たとえば製品で使用されているソフトウェアやファームウェアのコンポーネント一覧、すなわちSBOMの整備が必須になってくると考えています」（橋本氏）

　また、制度がガラパゴス化しないよう、国際的な整合性も意識されている。たとえば、英国のPSTI法（Product Security and Telecommunications Infrastructure Act）に基づく制度との相互認証が進められており、これによって「PSTI法の基準を満たしていれば、JC-STARの特定項目が免除される」といった運用が可能になる。