よむ、つかう、まなぶ。
資料3-2:事務局参考資料 (32 ページ)
出典
| 公開元URL | https://www.digital.go.jp/councils/digital-cybersecurity/b37edb39-2a1c-4a1f-8c5e-431fcc299cd5 |
| 出典情報 | デジタル・サイバーセキュリティワーキンググループ(第1回 2/3)《デジタル庁》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
サプライチェーン強化に向けたセキュリティ対策評価制度 (SCS評価制度 )の整備
※
※ SCS(supply chain security)評価制度
○ 「対策状況は外部から判断が難しい」「複数の取引先から様々な対策を要求される」等の課題に対し、サプライ
チェーンにおける重要性を踏まえた上で満たすべき対策を提示しつつ、その状況を可視化する仕組みを構築。
○ 2社間の取引契約等において、発注企業が、受注側に適切な段階の”★”を提示し、示された対策を促すとと
もに実施状況を確認することを想定。 本制度の活用促進を通じ、サプライチェーン全体でのセキュリティ対策水
準の向上を図る。
○ 3段階の水準のうち、★3・★4について、令和8年 (2026年)度末頃の制度開始を予定。
※ 本制度では、サプライチェーンを構成する企業等のIT基盤が対象。
※ 発注時等に、必要なセキュリティ対応状況の可視化を目的としたもので、いわゆる「格付け」制度ではない。
構築する評価制度 (案)
成熟度の定義
★3
★4
•
想定される脅威
対策の
基本的な考え方
評価スキーム
•
広く認知された脆弱性等を悪用す
る一般的なサイバー攻撃
全てのサプライチェーン企業が最低限
実装すべきセキュリティ対策:
•
基礎的な組織的対策とシステム防御策
を中心に実施
•
供給停止等によりサプライチェーンに大
きな影響をもたらす企業への攻撃
未知の攻撃も含めた、高度な
サイバー攻撃
サプライチェーン企業等が標準的に目
指すべきセキュリティ対策:
サプライチェーン企業等が到達点
として目指すべき対策:
•
•
組織ガバナンス・取引先管理、システム
防御・検知、インシデント対応等包括的
な対策を実施
専門家確認付き自己評価
第三者評価
中小企業等における★取得の負担
★3・★4に対応した、サイバーセキュリ
ティお助け隊サービスの新たな類型創
設により、安価な”★”取得を実現
中小企業ガイドライン整備
中小企業の情報セキュリティ対策ガイ
ドライン及び付録サンプル規程の整備
により、”★”の取得を容易化
政府調達や重要インフラ
事業者等での活用推進
取引先からの
対策要請による活用促進
国際規格等におけるリスクベースの考
え方に基づき、自組織に必要な改善工
程を整備、システムに対しては現時点
でのベストプラクティスの対策を実施
利害関係者への情報開示
による対話の促進
第三者評価
サプライチェーン間の結び付きが強
固・複雑な主要製造業(自動車、半導
体等)、流通、金融業等において、優
先的に本制度の利用を促進。
※4 ISMS適合性評価制度、★3・4との
整合性も踏まえ、対策事項を今後検討
サイバーセキュリティお助け隊
サービス(新類型)の創設
普及施策
•
機密情報等、情報漏えいにより大きな
影響をもたらす資産への攻撃
制度の普及施策 (例)
想定される課題
★ 5 [検討中※4]
中小企業等におけ る
セキ ュ リティ専門家の確保
専門家の活用促進
「中小企業向けサイバーセキュリティ専
門家リスト」の整備により、中小企業と
専門家とのマッチングを促進
サ プ ライ ヤー企業への
★取得要請時の関係法令の適用
取引先への要請等に係る
考え方の整理
取引先とのパートナーシップ構築促進
に向けた想定事例及び解説案の策定に
より、費用に係る価格交渉を推進
32
※
※ SCS(supply chain security)評価制度
○ 「対策状況は外部から判断が難しい」「複数の取引先から様々な対策を要求される」等の課題に対し、サプライ
チェーンにおける重要性を踏まえた上で満たすべき対策を提示しつつ、その状況を可視化する仕組みを構築。
○ 2社間の取引契約等において、発注企業が、受注側に適切な段階の”★”を提示し、示された対策を促すとと
もに実施状況を確認することを想定。 本制度の活用促進を通じ、サプライチェーン全体でのセキュリティ対策水
準の向上を図る。
○ 3段階の水準のうち、★3・★4について、令和8年 (2026年)度末頃の制度開始を予定。
※ 本制度では、サプライチェーンを構成する企業等のIT基盤が対象。
※ 発注時等に、必要なセキュリティ対応状況の可視化を目的としたもので、いわゆる「格付け」制度ではない。
構築する評価制度 (案)
成熟度の定義
★3
★4
•
想定される脅威
対策の
基本的な考え方
評価スキーム
•
広く認知された脆弱性等を悪用す
る一般的なサイバー攻撃
全てのサプライチェーン企業が最低限
実装すべきセキュリティ対策:
•
基礎的な組織的対策とシステム防御策
を中心に実施
•
供給停止等によりサプライチェーンに大
きな影響をもたらす企業への攻撃
未知の攻撃も含めた、高度な
サイバー攻撃
サプライチェーン企業等が標準的に目
指すべきセキュリティ対策:
サプライチェーン企業等が到達点
として目指すべき対策:
•
•
組織ガバナンス・取引先管理、システム
防御・検知、インシデント対応等包括的
な対策を実施
専門家確認付き自己評価
第三者評価
中小企業等における★取得の負担
★3・★4に対応した、サイバーセキュリ
ティお助け隊サービスの新たな類型創
設により、安価な”★”取得を実現
中小企業ガイドライン整備
中小企業の情報セキュリティ対策ガイ
ドライン及び付録サンプル規程の整備
により、”★”の取得を容易化
政府調達や重要インフラ
事業者等での活用推進
取引先からの
対策要請による活用促進
国際規格等におけるリスクベースの考
え方に基づき、自組織に必要な改善工
程を整備、システムに対しては現時点
でのベストプラクティスの対策を実施
利害関係者への情報開示
による対話の促進
第三者評価
サプライチェーン間の結び付きが強
固・複雑な主要製造業(自動車、半導
体等)、流通、金融業等において、優
先的に本制度の利用を促進。
※4 ISMS適合性評価制度、★3・4との
整合性も踏まえ、対策事項を今後検討
サイバーセキュリティお助け隊
サービス(新類型)の創設
普及施策
•
機密情報等、情報漏えいにより大きな
影響をもたらす資産への攻撃
制度の普及施策 (例)
想定される課題
★ 5 [検討中※4]
中小企業等におけ る
セキ ュ リティ専門家の確保
専門家の活用促進
「中小企業向けサイバーセキュリティ専
門家リスト」の整備により、中小企業と
専門家とのマッチングを促進
サ プ ライ ヤー企業への
★取得要請時の関係法令の適用
取引先への要請等に係る
考え方の整理
取引先とのパートナーシップ構築促進
に向けた想定事例及び解説案の策定に
より、費用に係る価格交渉を推進
32