PwC Japanグループは2025年9月18日、受注企業のサイバーセキュリティ対策を評価する「クイック・アセスメント（簡易評価サービス）」の提供開始を発表した。経済産業省が2026年度中に導入を予定している「サプライチェーン強化に向けたセキュリティ対策評価制度」（以下、サプライチェーン対策評価制度）に先立ち、企業が認証取得に向けて早期に準備できるように支援する。

経済産業省のサプライチェーン対策評価制度

背景には、サプライチェーンを担う中小・中堅企業がサイバー攻撃の標的となる事例の増加がある。攻撃者は発注企業となる大企業への侵入経路として外部委託先や関連会社を狙うケースが増え、受注企業のサイバーセキュリティ対策の整備が求められていた。しかし、発注企業は受注企業にとって外部企業となることから対策状況を正確に把握することが難しく、受注企業は複数の取引先から異なるセキュリティ水準を要求されるといった課題が指摘されてきた。

こうした背景から、経済産業省は受注企業を対象にサイバーセキュリティ対策のレベルを可視化し、強化するためにサプライチェーン対策評価制度の導入に向けた検討を進めてきた。

サプライチェーン対策評価制度はPCやサーバ、ネットワーク機器、クラウドサービスといったIT基盤を対象に、段階的な対策レベルを設定し、各レベルで求められるサイバーセキュリティ対策を明確化するという。具体的には、一般的なサイバー脅威に対処できる「★3Basic」と、 サプライチェーンに大きな影響をもたらす企業への攻撃などに対処できる「★4Standard」の2つの段階を中心に、セキュリティ対策の内容や評価基準の案が示されており、2026年度中に運用が開始される見通しだ。

PwC Japanは「サプライチェーン対策評価制度によって、発注企業は取引契約などを通じ、業界の特性や想定されるリスクなどに応じて受注企業に適切な段階のサイバーセキュリティ対策を促すことが予想される。受注企業はサプライチェーン対策評価制度の認証を取得することで、取引先との信頼関係を構築し、ビジネス機会を拡大できるといった効果が期待される」としている。 クイック・アセスメント（簡易評価サービス）の概要 PwC Japanのクイック・アセスメントは、評価基準案を基に受注企業の現状を分析し、社内規定や体制の整備、IT基盤の設定変更などに関する改善策を提示する。これにより、サプライチェーン対策評価制度の認証取得を目指す企業は制度開始前から自社の課題を把握し、コストを抑えつつ必要な対策を準備できるという。 制度運用開始後もPwC Japanは、利用企業に対し、制度で求められる水準とのギャップの確認や認証取得支援を行い、制度改定や事業環境の変化に応じた対策を提案する予定だ。 PwC Japanは、こうした継続的支援を通じてサプライチェーン全体のセキュリティ水準を底上げし、企業の競争力強化に貢献するとしている。認証取得は取引先との信頼関係構築にもつながるため、受注企業にとっては新たなビジネス機会の拡大が期待される。 PwC Japanは「サプライチェーン全体のセキュリティ強化と企業競争力の向上に貢献していく」としている。