公開日:2026年2月17日
アカデミーサービス動画一部無料開放中!
ISMS(ISO27001)とは?(コンテンツタイトル)
ISMS認証取得までの流れをわかりやすく解説します。(コンテンツ説明)
この記事は14分で読了することができます。
2026年10月、経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度」がスタートします。
この制度の誕生の背景には、深刻化するサプライチェーン攻撃、取引先のセキュリティレベルを外部から判断することの難しさ、そして受注企業が複数の発注元から異なるセキュリティ要求(独自チェックシート、ISMS、Pマークなど)への対応に追われている現状があります。
新制度は、サプライチェーン全体のセキュリティ強化を実現することを目指しており、
ISMSやPマークに並ぶ、あるいはそれらに代わる新たな取引要件となる可能性があるのです。
本記事では、2026年度に新設される★3〜★5の詳細と、ISMS(ISO27001)を取得済みの企業が知っておくべき「ISMSとの関係」について、ISO認証機関である東京スタンダードの視点から徹底解説します。
この記事でわかること
【本記事の掲載情報について】
本記事の内容は、2025年4月に経済産業省が公開した「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」および2025年12月公開の「制度構築方針(案)」に基づいています。制度の詳細は今後変更される可能性がありますので、最新情報は経済産業省の公式発表をご確認ください。
1. 情報セキュリティ対策とは(大見出し)
2. 情報セキュリティの課題と現状
2-1. サイバー攻撃の現状と種類(小見出し)
2-2. サイバー攻撃の現状と種類
3. 情報セキュリティの課題と現状
3-1. サイバー攻撃の現状と種類(小見出し)
3-2. サイバー攻撃の現状と種類
記事紹介文
✔check!
文章で書きたい場合はこちらをお使いください。
経済産業省が進めるセキュリティ対策評価制度/SCS評価制度(正式名称:「サプライチェーン強化に向けたセキュリティ対策評価制度」)とは、企業のサイバーセキュリティ対策レベルを共通の基準で評価・可視化する仕組みです。
サプライチェーンとは?
サプライチェーンとは、製品やサービスが最終的な顧客に届くまでの、原材料調達から製造、流通に至る一連の企業間取引の連鎖を指します。近年、取引先企業へのサイバー攻撃を足がかりに、最終的な標的企業へ侵入する「サプライチェーン攻撃」が増加しており、企業単体だけでなくサプライチェーン全体でのセキュリティ対策が求められています。
近年、セキュリティ対策が手薄な中小企業や取引先を侵入経路として、最終的な標的である大企業の機密情報を盗み出す「サプライチェーン攻撃」が急増しています。大企業本体だけでなく、取引先全体のセキュリティレベルを可視化する仕組みが必要とされる中、この新制度が誕生しました。
本制度では、企業のセキュリティ対策の成熟度を★3(三つ星)から★5(五つ星)の星で評価します。
セキュリティ対策評価制度は★3〜★5の3段階で構成されていますが、★1(一つ星)と★2(二つ星)は、既にIPA(情報処理推進機構)が運営する「SECURITY ACTION(セキュリティアクション)」という制度で位置づけられています。
IPAの「情報セキュリティ5か条」に取り組むことを自己宣言
「5分でできる!情報セキュリティ自社診断」で状況把握+情報セキュリティ基本方針を策定・公開
これらは比較的容易に取り組める「自己宣言」のレベルです。宣言すると、SECURITY ACTIONロゴマークを使用でき、取引先や顧客に対して「セキュリティに取り組んでいる」ことをアピールできます。
★1/★2の詳しい取得方法については、以下の記事をご参照ください。
IPAのSECURITY ACTION(セキュリティアクション)の一つ星・二つ星の違い、宣言方法、補助金での活用、ISO27001との比較まで図解で徹底解説。中小企業が無料で始められる情報セキュリティ対策の第一歩を詳しくご紹介します。
経済産業省が2026年10月に新たに運用を開始するのは、★3(三つ星)、★4(四つ星)、★5(五つ星)の3段階です。本制度は、サプライチェーンを構成する企業のIT基盤(メールサーバ、Webサーバ、認証基盤など)を評価対象とします。
★3は、 すべてのサプライチェーン企業が最低限実装すべき基礎的なセキュリティ対策レベルとして位置付けられています。一般的なサイバー攻撃(既知の脆弱性を悪用した攻撃、ランサムウェアなど)への対処が可能な状態を目指します。
評価方式: 自己評価が基本ですが、専門家(情報処理安全確保支援士等)による助言を受けるプロセスが想定されています。社内に有資格者がいれば内部で完結できますが、いない場合は外部の専門家に確認を依頼する必要があります。
有効期限: 1年(年次で遵守状況の自己評価が必要)
★4は、 サプライチェーン企業が標準的に目指すべきセキュリティ対策レベルとして位置付けられています。★3に加えて、サプライチェーン全体を意識した対策(被害拡大防止、事業継続など)が求められます。
評価方式: 認定を受けた評価機関による第三者評価(審査)が必要です。ISMS認証やPマークと同様に、外部の審査機関による審査を受け、それに合格する必要があります。そのため、基本的には審査費用が発生すると考えられます。
有効期限: 3年(年次で自己評価、3年毎に第三者評価)
★5は、 サプライチェーン企業が到達点として目指すべき、最も高度なセキュリティ対策レベルとして検討されています。高度・未知の攻撃(APT攻撃、ゼロデイ攻撃など)にも対応できる状態を目指します。
– 自工会ガイドライン(Lv3)レベルの技術的対策
– その他実績のあるガイドライン等に基づく対策
– ISO/IEC 27001:2022に基づくマネジメントシステム
評価方式: 認定を受けた評価機関による第三者評価(審査)が必要です。ISMS認証やPマークと同様に、外部の審査機関による審査を受け、それに合格する必要があります。そのため、基本的には審査費用が発生すると考えられます。
有効期限:検討中
※★5の詳細な評価基準やスキームは、2026年度以降に具体化される予定です
「当社はISO27001を取得しているため、新制度への対応は不要ではないか」
このようにお考えの企業も少なくないかもしれませんが、ISMSと★レベルは別の制度であり、ISMS取得企業も★取得には追加の対応が必要です。
ただし、経済産業省の中間とりまとめでは、両制度について以下のように述べられています:
> 「ISMS適合性評価制度等とは相互補完的な制度として発展することを目指す」
つまり、ISMSと★レベルは対立するものではなく、補い合う関係です。★3や★4で要求される対策項目の多くはISMSの管理策を参照して設計されているため、ISMS運用企業は要求事項の相当部分を既に満たした状態からスタートでき、新制度への対応において有利な立場にあります。
|
観点 |
ISMS(ISO27001:2022) |
セキュリティ対策評価制度(★3〜★5) |
|
目的 |
組織の情報セキュリティ |
サプライチェーン全体の |
|
アプローチ |
リスクベース |
共通基準ベース |
|
対象範囲 |
組織が定めた適用範囲 |
IT基盤(オンプレミス・クラウド) |
|
管理策 |
93項目の管理策から |
★3: 26項目 |
|
国際性 |
国際規格(ISO/IEC) |
日本国内制度 |
|
評価 |
認証機関による第三者審査 |
★3: 自己評価 |
★3の26項目の要求事項のうち、約92%(約24項目)は対応するISMS管理策が存在しています。これらの管理策を適切に実装・運用しているISMS取得企業は、★3の大部分をカバーできる可能性があります。
ただし、以下の点に注意が必要です:
以下は、経済産業省の要求事項案でISO27001を明示的に参照していない項目です。ISMS取得企業でも、新制度では追加の対応や、より具体的な実装が必要になる可能性が高い項目といえます。
**注意:** ISMSで部分的に対応済みの場合もありますが、新制度の詳細な評価基準に照らして改めて確認・強化が必要です。
★4は、★3の26項目に加えて、さらに18項目の要求事項が追加されます。★4の合計44項目のうち、約80%(約35項目)は対応するISO27001の管理策が存在しています。
ただし、★4では★3以上に、実装の深さと運用の実績が求められます。ISMSで該当管理策を実装していても、★4の要求レベルに達するには強化が必要な場合があります。
以下は、経済産業省の要求事項案でISO27001を明示的に参照していない項目です。ISMS取得企業でも、新制度では追加の対応や、より具体的な実装が必要になる可能性が高い項目といえます。
**注意:** ISMSで部分的に対応済みの場合もありますが、新制度の詳細な評価基準に照らして改めて確認・強化が必要です。
★5の詳細はまだ確定していませんが、中間とりまとめでは以下のように定義されています:
「国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階」
★5は、**ISMS適合性評価制度と「相互補完的な制度として両輪で発展」**する関係として設計されています。
対象となる企業
– 既に高いレベルの基準(自工会ガイドライン(Lv3)やNIST SP 800-53/171/172等)に基づき対策を行っている事業者
– ★4相当から更なる向上を目指す事業者
ISMSとの主な違い:
– **ISMS**: リスクアセスメント結果に基づき、組織自らが適切な管理策を決定
– **★5**: 「現時点でのベストプラクティスに基づく対策」の実施が求められる
現在進行中の実証参画企業からの意見では、以下のような要素があげられます:
– 経営層の関与強化(経営層へのインタビュー、報告会等)
– インシデント復旧対策の充実(復旧計画、業務代替手段の確保)
– 先端技術や高度なセキュリティ施策(自動車業界ガイドラインLv3レベル)
– インシデント対応演習等の実践的な対策
– データセンター訪問を含む評価範囲の拡大
重要: ★5の詳細な評価基準やスキームは、2026年度以降に具体化される予定です。まずは★4を目指し、★5の続報を注視することをお勧めします。
Q1. ★3の★4取得にかかる費用はどのくらいですか?
A: 現時点では制度の公式な費用は確定していませんが、レベルによって以下の費用が想定されます。
★3の場合:自己評価が基本のため、認証取得費用は発生しません。ただし、以下の費用が発生する可能性があります:
– 専門家による確認・助言費用(詳細未定)
– ツール・システムの導入費用(マルウェア対策ソフトなど)
– 文書作成やコンサルティング支援費用(利用する場合)
★4の場合: 第三者評価が必要なため、★3より費用がかかります:
– 評価機関による審査費用(数十万円〜、企業規模や適用範囲により変動)
– 技術検証費用(脆弱性検査等、別途必要な場合あり)
– ツール・システムの導入費用(★3の要件に加えて追加対策が必要)
– 文書作成やコンサルティング支援費用(利用する場合)
中小企業向け支援: 2026年度には「サイバーセキュリティお助け隊サービス」(新類型)が創設される予定で、★3・★4取得に必要な対策診断から、ITツール導入支援、規程整備支援などを一定の価格要件を満たすサービスとして国から認定される見込みです。
注意: 正確な料金体系は、2026年度の制度運用開始時に公表される予定です。
Q2. ★3と★4はどうやって取得するのですか?
A:★3の取得方法:1. 自己評価の実施(83項目の評価基準に基づく)
**想定期間:** 1〜3ヶ月程度 **
★4の取得方法: 1. 自己評価の実施(157項目の評価基準に基づく)
**想定期間:** 3〜6ヶ月程度
Q3. ISMSを取得していれば、★4の第三者評価は免除されますか?
A: いいえ、免除されません。
ISMSと★レベルは別の制度です。ISMSを取得していても、★4を取得するには別途、認定評価機関による第三者評価を受ける必要があります。
ただし、ISMSで既に対応している部分が多いため、評価はスムーズに進む可能性が高いです。
Q4. ★3を取得せずに、いきなり★4を取得できますか?
A: はい、可能です。
制度構築方針(案)では、「上位の段階はそれ以下の段階で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはならない」と明記されています。
Q5. 既に他社の認証(プライバシーマーク、ISMS等)を取得していますが、★レベルも取得する必要がありますか?
A: 取引先の要求次第です。
他の認証を取得していても、取引先が★レベルを取引条件として明示した場合は、別途取得が必要になります。
ただし、ISMSやPマークなどの既存認証は、★レベル取得の強力な土台になります。
Q6. ★5の詳細はいつ確定しますか?
A: 2026年度以降に検討される予定です。
現時点では、「国際規格等におけるリスクベースの考え方に基づき、現時点でのベストプラクティスに基づく対策を実施」という方向性のみが示されています。
★5を目指す企業は、まず★4を取得し、★5の詳細確定を待つことをお勧めします。
Q7. 業種や規模によって、要求事項は変わりますか?
A: いいえ、★3と★4の要求事項は業種・規模によらず共通です。
ただし、発注企業が取引先に対して求めるレベル(★3/★4/★5)は、業種や取引内容によって異なります。
Q8. OT(制御システム)や製品のセキュリティも対象ですか?
A: いいえ、対象外です。
本制度は、IT基盤(オンプレミス・クラウド)のセキュリティ対策を評価対象としています。
これらは別途、専用のガイドライン(例:サイバーインフラ事業者に求められる役割等に関するガイドライン)で対応されます。
2026年10月から開始予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」について、本記事では★3〜★5とISMS(ISO27001)との関係を中心に解説しました。
重要なポイント:
2023年東京スタンダード設立。エイエスアール株式会社、アームスタンダード株式会社、アフノールジャパン株式会社、QAICジャパン株式会社をグループ会社として持ち、ISO認証登録件数グループ合計5,500件以上の実績を持つ。長年の経験とノウハウを活かして、ISOをより活かすことができるお役立ち情報を発信。
記事の監修者
東京スタンダード編集部
こちらのフォームにご入力後、弊社サービスやISOに関する資料がダウンロードできます。
