認証取得に向け改善案を提示
PwC Japanグループは9月18日、サプライチェーンに携わっている企業のサイバーセキュリティ対策レベルを評価するために経済産業省が2026年度中に開始する予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」に先立ち、企業の制度対応を支援するためのクイック・アセスメント(簡易評価サービス)の提供を始めると発表した。
評価制度で求められる水準と各企業の現状のギャップを分析し、認証取得に向けた改善案を提示、企業の取り組みを支援する。評価制度の運用開始後も、制度の水準と照らし合わせながら、各企業のサイバーセキュリティ対策を向上させる長期的な支援を実施する。
評価制度はPCやサーバー、ネットワーク機器、クラウドサービスといったIT基盤を対象に、段階的な対策レベルを設定し、各レベルで求められるサイバーセキュリティ対策を明確化。具体的には、経産省が一般的なサイバー脅威に対処できる「★3Basic」と、 サプライチェーンに大きな影響をもたらす企業への攻撃などに対処できる「★4Standard」の2つの段階についてセキュリティ対策の内容や評価基準の案を示している。
評価制度では、発注企業が取引契約などを通じ、業界の特性や想定されるリスクなどに応じて受注企業に適切な段階のサイバーセキュリティ対策を促すことが見込まれる。受注企業は評価制度の認証を取得することで、取引先との信頼関係を構築しビジネス機会を拡大できるといった効果が期待されるという。
評価制度概要
クイック・アセスメントは経産省が公開している「★3Basic」と「★4Standard」の評価基準案などを基に、受注企業のサイバーセキュリティ対策とのギャップの有無を分析し、社内規定などの整備やIT基盤の設定の変更などについて一般的な改善案を企業に示す。
評価制度の認証取得を目指す企業は、制度の開始前から自社の対応状況を客観的に評価し、必要なサイバーセキュリティ対策を早いうちに準備できるとみている。対策をピンポイントに絞ることができるため、コスト削減にもつながると考えている。
さらに、クイック・アセスメントを利用した企業を対象に、評価制度の運用開始後も制度で求められる水準とのギャップを常に確認して認証取得を支援。制度の改定や企業の事業環境の変化に応じてIT基盤のシステム設定の変更といった対策を提案するサービスの提供を予定している。
サービス概要(いずれもプレスリリースより引用)
(藤原秀行)
