「サプライチェーン強化に向けた
セキュリティ対策評価制度」へ対応する
セキュリティソリューション
サプライチェーンのセキュリティリスク
委託先で発生した1件のインシデントが、複数の委託元企業へ連鎖的に影響を及ぼす事例が増加しています。
自社が直接攻撃を受けていなくても、取引先や委託先が侵害されれば、共有していた情報の漏えいや業務停止などの影響が自社に及ぶ可能性があります。サイバー攻撃は、もはや「自社だけ守ればよい」という問題ではありません。
こうした状況を踏まえると、個社ごとの対策にとどまらず、サプライチェーン全体で一定水準のセキュリティを確保し、底上げしていくことが不可欠です。
「サプライチェーン強化に向けたセキュリティ対策評価制度」とは
こうした課題を背景に、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築を進めています。
2025年4月に「中間取りまとめ」が公表され、同年12月には「制度構築方針案」が公表されました。
現在は、2026年度末頃の制度開始を目指し、具体化が進められています。
本制度は、サプライチェーンにおいて求められる対策項目を共通水準として整理し、各社の取り組み状況を可視化するものです。
本制度の活用により、発注側企業は取引先のセキュリティ対策状況を客観的に把握できるようになるとともに、受注側企業にとっても「どこまで対策を講じればよいのか」を理解しやすくなります。
また、個々の企業が独自に要求するのではなく、共通の評価基準を用いることで、過度な要求や認識のずれを防ぐことも狙いとされています。
本制度では、こうした共通水準を実効性のあるものとするため、企業の役割やサプライチェーンへの影響度に応じて、求められる対策水準を☆3~☆5の三段階で整理しています。
☆3は「最低限実装すべき対策」、☆4は「標準的に目指すべき対策」、☆5は「到達点として目指すべき対策」といった区分で構成されています。こうした共通の基準に沿って対策を進めることで、何をどこまで実施すべきかが明確になり、取引先への説明や確認もしやすくなる仕組みとなっています。
2026年2月現在では☆3および☆4を中心に、具体的な要求事項と評価基準案が整理されており、制度運用開始に向けて詳細の明確化が進められています。
「別添 ★3・★4要求事項及び評価基準案」にて☆3および☆4で求められる具体的な要求事項・評価基準案が一覧化されており、各企業はこの基準に沿って自社の対策状況を確認・整理していくことになります。
★3と★4の評価方法、適用の考え方の違い
サプライヤー企業への適用に当たっては、事業継続リスクと情報管理リスクという2つの主要なリスクに着目し、取引先を☆4または☆3の段階に割り当てるほか、必要に応じて適用段階や要求水準等を調整することも考えられるとされています。
☆4の適用対象の例としては、「取引先の事業中断により、自社の事業継続上、重要な業務に許容できない遅延が生じる」企業や、「取引先へのサイバー攻撃等により、自社の機密情報等の管理に重大な影響が生じ得る」企業が挙げられています。
スケジュールについて
☆3および☆4については、2026年度末の制度開始を目指し、制度運営基盤の整備や導入促進に向けた取り組みが今後さらに進められる予定です。
発注者から☆3、☆4の取得を突然求められ、対応が間に合わない事態を防ぐためにも、運用開始が見込まれる2026年度下期に向けて、現時点から自社のセキュリティ対策状況を把握し、要求事項とのギャップを分析することが求められています。
そのうえで、ギャップのある要求事項への適合に向けた具体的な対応を、計画的に推進していく必要があります。
「サプライチェーン強化に向けたセキュリティ対策評価制度」へ対応するデジタルアーツソリューション
デジタルアーツはネットワーク・Web・メール・ファイル送受信・認証セキュリティにより安全なビジネス環境を実現します。
ネットワークセキュリティ
Guideline 攻撃を防ぐ対策実施(防御)・攻撃されたことを迅速に知るために(検知)
デジタルアーツなら ユーザー・デバイスごとに通信の安全性を確認することにより、評価制度で求められるネットワーク境界防御と不正通信の遮断に対応!
-
安全なサイト/ポート/プロトコルにのみアクセス
SWGとCFWを統合した高精度のデータベースを提供し、脅威サイトや未知のサイト、不許可のポート/プロトコルを即座にブロック可能
-
通信内容をリアルタイムで監視して脅威検知・対処
IPSポリシーによるシグネチャベースでの検出を使用して、ネットワークトラフィックの監視と保護を実施可能
-
社内システムへアクセスする際は全ユーザー/デバイスに認証を実施
通信のたびにネットワークを確立しその都度承認。正規ユーザーからの認証要求に対してのみ接続を許可し、ゼロトラストネットワークを実現、不正アクセスを防止可能
-
インターネットから利用できるシステムに対して多要素認証を実施
プッシュ認証やOTPの一般的な認証方法に加え、「位置情報認証」や「第三者認証」等、独自の認証で多要素認証が実施可能
- ※ プランにより搭載機能に差異がございます。「Z-FILTER」各プランの詳細は右記ページをご確認ください。https://daj.jp/bs/z-filter/
- ※ 「Z-FILTER」SWG/SWG ID/SSEプランには「i-FILTER@Cloud」、ZTNA/SWG ID/SSEプランには「a-FILTER」の機能が搭載されております。各製品の対応箇所をご確認ください。
Webセキュリティ
Guideline マルウェア感染からの保護・ソフトウェアの挙動監視・ログ監査
デジタルアーツなら Webサービス制御とファイル検査により、評価制度で求められる情報漏えい対策とマルウェア感染対策に対応!
-
情報漏えいリスクのあるシャドーITをWebサービスの制御で抑止
国内外3,000以上のWebサービスを「ログイン・書き込み・アップロード」等のアクション毎に制御し、柔軟な情報漏えい対策を実現
-
ファイルの安全性を即座に判定し安全なファイルのみ授受
Web経由でダウンロード・アップロードしようとしたファイルのマルウェア検知をリアルタイムに実施し、安全なファイルのみダウンロード・アップロードが可能
- ※「Anti-Virus&Sandboxオプション」をご購入いただく必要がございます。
-
「f-FILTER」と連携しWebサービス利用時に重要情報判定
クラウドストレージやAI利用時にファイルやチャットの中身をDLP検査を実施。海外製の製品では判定が難しい日本国内特有のデータや独自の定義による重要情報の判定が可能。
- ※「f-FILTER 連携オプション」をご購入いただく必要がございます。
メールセキュリティ
Guideline 情報漏えい対策・マルウェア対策・ログ監査
デジタルアーツなら メールのホワイト運用やマルウェア検査により、評価制度で求められる安全なメール利用と脅威対策を実現!
-
危険なメールはブロック!安全なメールのみを受信
安全なメールのみ受信させる「ホワイト運用」とにより、危険なメールはブロック・隔離することが可能。
アンチウイルス・サンドボックス検査も搭載!- ※アンチウイルス・サンドボックス検査のご利用に際しては、「Anti-Virus&Sandbox」オプション(有償)」をご購入いただく必要がございます。
-
外部から受け取った添付ファイルのマルウェアチェックの実施
パスワード付きZIPファイルを悪用した攻撃メールも特許技術により検知・ブロック可能!
マルウェア感染を対策 -
「f-FILTER」と連携しWebサービス利用時に重要情報判定
添付ファイルを自動でオンラインストレージにアップロードしパスワードレスでのファイル送受信が可能。
さらにファイル共有後に「後から権限変更」をすることも可能!- ※「f-FILTER 連携オプション」をご購入いただく必要がございます。
-
メール送信時の誤送信情報漏えい対策の実現
メールの送信を一定時間保留にすることで、誤送信に気づきを与える機能や強制Bcc変換機能などにより情報漏えいを対策
ID・認証管理
Guideline 不正通信の遮断・ネットワーク境界防御・ログ監査
デジタルアーツなら 端末ログオンからクラウド利用まで認証を統合し、評価制度で求められる認証強化やID管理を実現!
-
PC(Windows)ログオン時に多要素認証を実施
端末ログオン時に認証アプリ「a-FILTER Authenticator」またはICカードによる多要素認証を実施し、デバイス盗難・紛失時の端末内の情報資産への不正アクセスを防止
-
インターネットから利用できるシステムに対して多要素認証を実施
プッシュ認証やOTP等の一般的な認証方法に加え、「位置情報認証」や「第三者認証」等、独自の認証で多要素認証を実施
-
退職者のアクセス権(ID)の運用・管理
ユーザーごとにアクセス権(ID)の有効期限設定が可能。退職が決まった社員のID管理などがしやすく、退職者による不正アクセスを防止。
-
重要システムにはセッションタイムアウトを実装
「a-FILTER」上でセッションタイムアウトを柔軟に設定可能。さらに、「定期認証」により利用者の運用負荷のなく継続利用を実現。
-
認証ログのモニタリングの実施
認証ログの取得や永年保存が可能。さらに、認証結果をレポート表示することで視覚的に確認することが可能。
ファイル送受信
Guideline 不正通信の遮断・ネットワーク境界防御・ログ監査
デジタルアーツなら 閲覧権限制御と重要情報ファイルの選別により、評価制度で求められる安全なファイル共有とログ監査に対応!
-
送受信ファイル内に重要情報が含まれているか自動で判定
海外製の製品だと判定が難しい日本国内特有のデータや日本語の判定精度が高い独自の定義による重要情報の判定が可能
-
ワークフローで上長承認を行い、人の目でもチェック
DLP機能やファイル判定機能は、データベース登録情報に基づく判定となるため、最終的な確認において「人の目」を介在させることでデータベース未登録の重要情報も漏えいさせない
-
ファイルを閲覧・ダウンロードできるユーザーを指定
外部に転送されたファイルを閲覧・ダウンロードできるユーザーをメールアドレスで指定し、指定外のユーザーによるファイル閲覧・ダウンロードを防止。また、受信者のファイル閲覧・ダウンロードの履歴を確認することもでき、万が一誤送信があった場合は閲覧権限をはく奪することも可能
-
メールにファイルを添付して送信するだけで自動的に「f-FILTER」へアップロード
「m-FILTER」との連携で、メールに添付したファイルを「m-FILTER」が自動的に「f-FILTER」へアップロードし、マルウェアチェックを実施。問題ないと判定された場合、URLをメール送信
- ※「m-FILTER」をご購入いただく必要がございます。
-
社外ユーザーから送信されたファイルも安全に受け取り
社外ユーザーを「ゲストユーザー」として登録いただくことで、社外から受け取るファイルについても「f-FILTER」で安全に受信することが可能
ファイルセキュリティ
Guideline IRM制御、ファイル管理、ログ・監査
デジタルアーツなら 高度なファイル暗号化と細かな操作権限制御により、評価制度で求められる情報保護とアクセス統制を実現!
-
指定した人・権限のみ操作させる
ファイルを暗号化した上で、ユーザーごとに操作権限を付与し、その利用状況を管理するIRM制御で、
信頼できる相手とのみ共有することが可能 -
ファイルサーバー内のファイルを暗号化
「FinalCode」がファイルサーバー上の共有フォルダーを常時監視。フォルダーにファイルが格納された時点で、あらかじめ設定されたテンプレートに基づいて自動でファイルを暗号化させることが可能
-
ファイルが暗号化される環境を簡単に実現
ファイル作成・保存時やダウンロードした瞬間に自動暗号化させることが可能
-
手元を離れたファイルでもリモートで削除・権限変更が可能
ファイルを渡した後でも閲覧権限だけでなく、ファイル自体の削除も可能。許可されていないユーザーがアクセスしたタイミングでファイル所有者にアラート通知があり、万が一の場合には、リモートで”あとから削除”が可能
-
ファイルの閲覧・操作履歴を管理・把握
外部に転送されたファイルを閲覧・ダウンロードできるユーザーをメールアドレスで指定し、指定外のユーザーによるファイル閲覧・ダウンロードを防止。また、受信者のファイル閲覧・ダウンロードの履歴を確認することもでき、万が一誤送信があった場合は閲覧権限をはく奪することも可能