2026年度末に経済産業省が開始予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」。★印による企業評価が本格化する前に、キヤノンITソリューションズが4月から対応サービスの提供を開始する。制度開始時点で★3や★4の認定を取得するには、今から準備を始める企業とそうでない企業との間で、取引機会に差が生まれる可能性がある。
キヤノンITソリューションズ株式会社は2026年1月23日、経済産業省が2026年度の運用開始をめざして検討を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度」に対応したアセスメントサービスを2026年4月より提供開始すると発表した。
本制度は企業のセキュリティ対策の成熟度を★3から★5の等級で評価し、共通基準で可視化する。同社はITインフラサービス「SOLTAGE」の新たなセキュリティサービスとして、認定レベル★3および★4を基準に顧客のセキュリティ対策状況を診断し、課題に応じた対策を提案する。サービス名は「セキュリティ対策診断サービス セキュリティ対策評価制度対応版」である。
同社は2026年度の制度運用開始に向けてサービスラインアップを拡充する予定だ。
From: 
経済産業省「セキュリティ対策評価制度」に対応したアセスメントサービスを提供開始サプライチェーンのセキュリティ水準向上を支援ニュースリリース
【編集部解説】
この発表が持つ意味を、サプライチェーン全体のセキュリティエコシステムという観点から考えてみましょう。
経済産業省が2025年12月に公表した制度構築方針案によれば、この評価制度は2026年度末頃の開始を目指しています。キヤノンITSが2026年4月という早期にサービス提供を開始する背景には、企業側の準備期間を十分に確保したいという狙いがあります。制度開始時点で「★3」や「★4」の認定を取得するには、事前のギャップ分析と対策実施が不可欠だからです。
サプライチェーン攻撃の脅威は想像以上に深刻化しています。Verizon DBIR 2025のデータでは、サードパーティ経由の侵害が前年比2倍(15%から30%へ)に増加し、侵害の3分の1が信頼された取引先経由で発生していることが判明しました。つまり、自社がどれほど堅牢なセキュリティ体制を敷いていても、取引先が脆弱であればそこが突破口となってしまうのです。
この制度の最大の特徴は「共通基準による可視化」にあります。従来、発注企業は取引先ごとに異なるセキュリティチェックリストを要求し、受注企業は複数の取引先から異なる対応を求められるという非効率が生じていました。★印による段階評価が標準化されれば、この二重の負担が大幅に軽減されます。
注目すべきは中小企業への配慮です。経済産業省は「サイバーセキュリティお助け隊サービス」の新類型を創設し、安価かつ簡便に★3や★4を取得できる支援策を2026年春頃から実証する予定としています。限られたリソースの中でセキュリティ対策に悩む中小企業にとって、これは実質的なセーフティネットとなるでしょう。
一方で、この制度には潜在的な課題も存在します。★印の取得が事実上の取引条件となれば、対応できない企業がサプライチェーンから排除されるリスクがあります。経済産業省と公正取引委員会は独占禁止法との関係を整理した文書を公表していますが、制度の普及過程で不当な圧力が生じないよう、継続的な監視が求められます。
キヤノンITSのサービスが「ヒアリングに基づく簡易診断」を特長としている点も重要です。本番環境へのアクセスやエビデンス取得が不要という設計は、業務への影響を最小限に抑えながら評価を受けられることを意味します。これは特に、ITリソースに余裕のない企業にとって現実的なアプローチといえるでしょう。
長期的には、この制度が日本企業の国際競争力にも影響を与える可能性があります。グローバルなサプライチェーンにおいて、日本企業のセキュリティ水準が客観的に示されることで、海外企業からの信頼獲得にもつながるためです。2026年度末の制度開始に向けて、今から準備を始める企業とそうでない企業との間で、ビジネス機会の格差が生まれることは避けられないでしょう。
【用語解説】
サプライチェーン攻撃
取引先や関連企業など、セキュリティ対策が比較的脆弱な組織を経由して、最終的な標的企業へ侵入するサイバー攻撃の手法。自社がどれほど堅牢なセキュリティ体制を構築していても、取引先が突破口となることで被害を受ける。
★3、★4、★5の等級評価
経済産業省が策定するセキュリティ対策評価制度における成熟度レベル。★3は基本的な対策、★4は標準的な対策、★5は高度な対策を実施していることを示す。中小企業を含む多くの企業は★3または★4が実質的な評価対象となる。
サイバーセキュリティお助け隊サービス
経済産業省がIPAを通じて運用する、中小企業向けのセキュリティ支援制度。相談窓口、システム異常監視、事案発生時の初動対応支援、簡易サイバー保険などをパッケージ化し、安価に提供する。2021年度の運用開始以降、42の事業者が登録され、2,000を超える中小企業を支援している。
ギャップ分析
現状のセキュリティ対策状況と、目標とする水準(本件では★3や★4の認定基準)との差異を明確化する作業。どの領域で対策が不足しているかを可視化することで、効率的な改善計画の策定が可能となる。
【参考リンク】
キヤノンITソリューションズ株式会社(外部)
キヤノンマーケティングジャパングループのIT企業。クラウド、ネットワーク、セキュリティなど幅広いITインフラサービスを提供している。
ITインフラサービス SOLTAGE(外部)
キヤノンITソリューションズが提供するITインフラサービスのブランド。クラウド、ネットワーク、運用保守、セキュリティ、データセンターを統合的に提供する。
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築方針案」(外部)
2025年12月26日に経済産業省が公表した制度構築方針案。★3から★5の等級評価基準、中小企業支援策などが詳述されている。
【参考動画】
SOLTAGEブランドムービー【キヤノン公式】
キヤノンITソリューションズが提供するITインフラサービス「SOLTAGE」の概要を紹介する公式ブランドムービー。クラウドからセキュリティまで包括的なサービスを視覚的に理解できる(2分29秒)。
【参考記事】
「サプライチェーン強化に向けたセキュリティ対策評価制度構築方針案」を取りまとめました(外部)
経済産業省が2025年12月26日に公表した制度構築方針案。★3から★5の等級評価基準、2026年度末頃の制度開始予定を詳述。
数字で読み解く2025年のランサムウェア脅威と2026年への備え(外部)
Verizon DBIR 2025のデータを引用。サードパーティ経由の侵害が前年比2倍(15%から30%へ)に増加したことを報告。
経済産業省が検討するセキュリティ対策評価制度を分かりやすく解説(外部)
IIJが2025年11月10日に公開した解説記事。★3・★4が該当する企業が多く実質的な評価対象として機能することなどを詳述。
Interim Report Released on Discussions to Establish a Security Measures Assessment System(外部)
経済産業省が2025年4月14日に英語で公表した中間報告。グローバルなサプライチェーンにおける日本企業のセキュリティ水準を国際的に示すための取り組みを説明。
【編集部後記】
サプライチェーン全体でセキュリティを守るという発想は、一見当たり前のようで、実はこれまで曖昧にされてきた領域です。もしあなたの会社が取引先から「★4の認定を取ってください」と言われたら、どう対応しますか?それとも、逆に自社が発注側として取引先に何を求めるべきか、判断に迷うこともあるかもしれません。
この制度が2026年度末に始まる前に、自社のセキュリティ対策を一度棚卸ししてみる価値はあるのではないでしょうか。取引関係の中で、セキュリティがどんな位置づけになっていくのか、一緒に考えていきたいと思います。
