「セキュリティ対策評価制度」対応はどう進める？　制度の中身と対策を徹底解説

　サイバー攻撃が深刻化する中、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築を進めている。本制度は企業のセキュリティ対策を5段階で評価し、取引先へ可視化することを目的としたものだ。2026年10月以降の運用開始が予定されており、今後、評価レベルの取得が調達の条件になる可能性もある。

　この対応の鍵となるのが、IT資産の適切な管理だ。現状、多くの企業では現場任せの管理にとどまり、クラウドや古い機器といった「未把握の資産」が攻撃の起点となっている。本制度では、これらを経営の責任と位置付け、リスク管理体制の構築を求めている。

　本資料では、外部からアクセス可能な資産を自動で検出し、リスクを危険度別に一覧化するASM（アタックサーフェスマネジメント）ツールを紹介する。同ツールは、「週1回の自動スキャンによる継続監視」「日本語ダッシュボードによる一元管理」などの機能を備えており、これによって経営層が自社のリスクを正しく把握し、適切な判断材料として活用することができる。資料で詳細を解説しているので、ぜひ参考にしてほしい。