セキュリティ対策評価制度とは？｜Dropboxの機能を活用した段階別評価の取得について

経済産業省が2026年度の本格運用を目指す「サプライチェーン強化に向けたセキュリティ対策評価制度」では、企業のセキュリティ対策状況を「★3〜★5」の3段階で格付けされ、可視化されます。
この新制度への対応は、今後のBtoB取引において不可欠な信頼の証となるでしょう。

堅牢なセキュリティを誇るDropboxを活用し、「★3〜★5」の取得要件を効率的に満たすための具体的なポイントを解説します。
また、本記事では、法人・チーム向けプランである Dropbox Business（Standard、Advanced、Enterprise等） の機能を前提に解説します。

サプライチェーン強化に向けたセキュリティ対策評価制度の構築方針

経済産業省が主導する新しいセキュリティ評価制度は、企業間取引のあり方を大きく変える可能性を秘めています。
この章では、制度の概要と企業への影響について解説します。2026年度末の本格運用開始に向けて、今から準備を始めることが重要です。

制度の目的と背景

近年、サプライチェーンを経由したサイバー攻撃が急増しています。攻撃者は、セキュリティ対策が堅牢な大企業を直接狙うのではなく、防御が手薄な取引先や中小企業を「入り口」として侵入し、そこからサプライチェーン全体へ被害を拡大させる手口を多用するようになりました。

こうした脅威に対応するため、経済産業省はサプライチェーン全体のセキュリティレベルを標準化し、各企業の対策状況を評価・可視化する仕組みの構築を進めています。
この制度により、取引先を含めたセキュリティ水準が「見える化」され、発注側・受注側の双方がリスクを適切に把握できるようになることが期待されています。

制度の概要とスケジュール

この評価制度では、企業のセキュリティ対策を5段階の「★」で評価します。
このうち★1・★2はIPA※1が運営する既存の「SECURITY ACTION」※2制度を活用した自己宣言ベースのものであり、新たに制度化されるのは★3・★4・★5の3段階です。

2026年度末の本格運用開始を目指し、★3と★4については2026年下期（10月以降）から運用が始まる予定となっています。
2026年1月〜9月にかけて申請受付に向けた体制整備が進められ、実証事業の成果を踏まえた運用規程の詳細も順次公表される見通しです。

なお、★5については2026年度以降に対策基準や評価スキームの具体化が検討される予定で、現時点では詳細が未確定となっています。

※1 IPA：独立行政法人情報処理推進機構（Information-technology Promotion Agency, Japan）

※2 SECURITY ACTION：中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度

企業への影響と対応の必要性

この制度の導入により、発注側の企業が受注側に対して、取引条件として一定の★取得を求めるケースが増えると予想されます。
つまり、「2027年度からセキュリティ要件として★4の取得を求めます」と取引先から突然要請される可能性も十分にあるかもしれません。

特に、事業継続リスク※3や情報管理リスクが高い取引関係においては、★取得の要請が優先的に行われるでしょう。
もし自社がサイバー攻撃の入り口となり取引先に被害が及んだ場合、信頼の失墜だけでなく損害賠償を請求されるリスクも考えられます。

制度への対応は、単なるコンプライアンスの問題ではなく、ビジネスの継続と成長に直結する経営課題です。
※3 事業継続リスク：災害や事故、サイバー攻撃などの予期せぬ事態が発生した際に、企業が重要な事業を中断せざるを得なくなったり、復旧が遅れたりすること

制度構築方針と「★」の段階別評価

評価制度では、企業のセキュリティレベルを5段階の「★」で可視化します。それぞれの段階で求められる要件と評価方法が異なるため、自社に必要なレベルを見極めることが大切です。

★1〜★2は既存の「SECURITY ACTION」を活用した自己宣言

★1と★2は、IPAが運営する既存の「SECURITY ACTION」制度を活用した自己宣言ベースの評価です。

★1は「情報セキュリティ5か条」への取り組みを宣言することで取得できます。
★2はそこからさらに進んで、IPAの「5分でできる！情報セキュリティ自社診断」を実施し、情報セキュリティ基本方針を策定・外部公開することが求められます。

いずれも自己宣言がベースとなっており、第三者の審査は不要です。
セキュリティ対策の第一歩として、まだ取得していない企業は早めに対応しておくとよいでしょう。

出典：独立行政法人情報処理推進機構 「5分でできる！情報セキュリティ自社診断」

★3は専門家確認付き自己評価（最低限の到達目標）

★3は、すべてのサプライチェーン企業が最低限実装すべき、セキュリティ対策レベルです。
一般的なサイバー脅威に対処しうる水準を目指します。多くの企業にとってまず到達すべき目標となるでしょう。

評価方法は自己評価が基本となり、情報処理安全確保支援士（登録セキスペ）などの有資格者による「専門家確認」が必要となります。有効期間は1年で、毎年更新が必要です。

★4は第三者評価（標準的な到達目標）

★4は、サプライチェーン企業が標準的に目指すべきセキュリティ対策レベルです。
自社の役割に適合した事業継続（レジリエンス）を推進していることが明確に求められるため、★3と比べてより体系的な対策が必要です。

最大の特徴は、3年に1度、評価機関による厳格な「第三者評価（認証審査）」を受ける必要があり、実地審査や技術検証が含まれます。
期間中は毎年自己評価を実施し、その結果を評価機関に提出して更新する継続的管理が想定されています。

★5は、極めて重要なインフラやサプライチェーンを支える企業向けの高度なレベルです。
2026年度以降に詳細な要求事項や評価スキームが検討される予定です。
まずは★4までの対策を固め、不足している要素の改善を進めることが、将来の★5取得に向けた近道となります。

Dropboxのセキュリティ機能と制度への対応

Dropboxには、セキュリティ対策評価制度の要件を満たすための多様な機能が備わっています。
これらの機能を適切に設定・運用することで、★取得に求められるセキュリティ水準の実現を後押しします※4。

本章で紹介する管理・監査機能（SSO、監査ログ、共有制御の一部）は、主にDropboxのチーム向けプランで利用できる機能です。
ご利用プランにより利用可否が異なりますのでご注意ください。
また、この章の記事は以下の表から抜粋した情報を基に記載してあります。

※4：★取得の最終的な適合判断は制度要件に基づいて行われるため、必ずしも取得を保証するものではありません。

【制度で用いるセキュリティ要求事項・評価基準】

※ この章に記載されている[No.4-1-1,4-1-2]～[No.4-5-2]は、上記表より引用しています。NO.を確認いただく場合は、表も併せてご覧ください。

データ保護のための暗号化機能

Dropboxでは、保存時にAES-256による暗号化を適用し、機密情報を強固に保護しています。
AES-256は現在利用されている暗号方式の中でも最高レベルの強度を持ち、政府機関や金融機関でも採用される標準的な暗号化方式です。

また、データの転送中にはSSL/TLS暗号化を使用し、通信経路上での盗聴や改ざんを防止します。
ファイルのアップロード・ダウンロード時はもちろん、デバイス間の同期においても暗号化が適用されるため、社外からアクセスする場面でも安全性が確保される仕組みです。

これらの暗号化機能は、★4で求められる「重要な保管データの暗号化 [No.4-3-1, 4-3-2]」に対応しています。

アクセス管理と認証機能

Dropboxは、不正アクセスを防ぐための多層的な認証機能を備えています。
多要素認証（MFA）を有効にすることで、パスワードに加えてセキュリティコードの入力が必要となり、万が一パスワードが漏えいした場合でも不正ログインを防止できます。

さらに、チーム向けプラン（Advancedプラン以上）を利用している場合、シングルサインオン（SSO）機能を利用できます。
シングルサインオンを設定することで、自社のID管理基盤と連携し、アカウント管理を一元化することが可能です。

社員の入退社や異動に伴うアカウント管理の効率化にもつながるため、運用負荷の軽減という面でもメリットがあります。
これらの機能を活用することで、★3で求められる「ID管理手続、アクセス権限の設定 [No.4-1-1,4-1-2]」要件の対応を効率的に進めることができます。

可視化と制御のための管理機能

セキュリティ対策において、「何が起きているかを把握できること」は極めて重要です。
Dropbox  Businessの管理コンソールでは、誰がどのデータにアクセスしたかを「監査ログ（監査証跡）」として記録・管理できます。
不審な操作や大量のダウンロードなど、「普段とは異なる動き」を早期に発見する手がかりになります。

加えて、ご利用のプランや管理者による設定に基づき、共有リンクの権限設定や有効期限設定により、情報の外部漏えいリスクを低減する仕組みも整っています。
例えば、パスワード保護や有効期限の設定、またチーム管理者による外部共有範囲の制限など、組織のポリシーに応じた細かな制御が可能です。

これらの管理機能は、★3・★4で求められる「ログの収集・定期的な分析の実施」要件への対応、および「重要な保管データの暗号化 [No.4-3-1,4-3-2]」に関連するアクセス制御に対応しています。

※関連ブログ：【決定版】Dropboxの使い方 完全ガイド｜チームの情報共有とセキュリティを強化｜Dropbox相談センター

Dropboxを活用した評価取得に向けた準備と具体的な対策

評価取得に向けて、Dropboxの機能を活用した具体的な対策手順を紹介します。
「何を守るか決める」「ルールを作る」「実際に運用する」という順序で段階的に準備を進めることで、無理なく要件を満たすことができるでしょう。

情報資産の特定と管理

評価取得に向けた最初のステップは、守るべきデータ（機密情報）を洗い出し、分類・整理することです。
これは★3の要求事項である「ID管理手続、アクセス権限の設定 [No.4-1-1,4-1-2]」や「重要な保管データの暗号化 [No.4-3-1,4-3-2]」を実施するうえで欠かせない作業になります。

例えば、Dropbox内のファイルやフォルダを「機密」「社外秘」「一般」などのカテゴリに分類し、それぞれに適切なアクセス権限を設定します。
そして、機密情報へのアクセスを必要最小限のメンバーに限定することで、情報漏えいのリスクを大幅に低減できます。

この段階で重要なのは、単にファイルを整理するだけでなく、「どのデータが、なぜ重要なのか」を組織として明確にしておくことです。
この認識が後のルール策定や運用の基盤となります。

セキュリティポリシーの策定とルール適用

情報資産の特定ができたら、次はセキュリティポリシーの策定とDropbox利用ルールの明確化に進みます。
★3の要求事項である「ID管理手続、アクセス権限の設定 [No.4-1-1,4-1-2]」や「パスワードの安全な設定及び管理 [No.4-1-4,4-1-5]」に対応するステップです。

ポリシーには、Dropboxの利用範囲（業務利用に限定するなど）、外部共有のルール（パスワード保護の必須化など）、インシデント発生時の報告フローなどを盛り込みます。
また、組織的なセキュリティ事象の通知体制を整備し、問題が発生した際に迅速に対応できる体制を構築しておくことも不可欠です。

策定したポリシーは、全社員に周知するとともに、定期的な見直しを行うことで実効性を維持することが大切です。

Dropboxによる安全なファイル共有・管理体制の確立

最後のステップは、策定したポリシーに基づいてDropboxの機能を実際に運用し、安全なファイル共有・管理体制を確立することです。

ファイル共有時にはDropboxの自動暗号化機能が適用されますが、それに加えて権限管理の徹底が求められます。
外部共有時にはパスワード保護や有効期限設定を必ず適用するルールを運用し、不要なアクセス権限が放置される状態を防ぐことが重要です。

また、定期的にアクセスログを確認し、不審な動きがないかをモニタリングする習慣をつけることが大切です。
そのためにも、★4の要件である「ログの収集・定期的な分析の実施 [No.4-4-3]」をあらかじめ整備しておくことで、万が一の際にも迅速な対応が可能になります。

なお、★4以上の取得を目指す場合は、第三者評価（実地審査＋技術検証）が必要となるため、さらに組織的な体制整備が不可欠です。
セキュリティ管理の責任者や専任チームの設置、外部のセキュリティ専門家との連携、定期的な内部監査の実施など、より高度なガバナンス体制の構築が求められます。

Dropboxの管理コンソールや監査ログ機能を活用しつつ、組織全体としてのセキュリティ成熟度を高めていくことが、★4取得への確実な道筋となるでしょう。

まとめ

「サプライチェーン強化に向けたセキュリティ対策評価制度」は、2026年度末の本格運用開始を目指して準備が進められています。
★3・★4の運用が始まれば、BtoB取引において一定の★取得が事実上の前提条件となる可能性が高く、企業にとって早期の対応が求められる状況です。

Dropboxは、AES-256暗号化やSSL/TLS通信、多要素認証、操作履歴の管理、共有リンクの細かな権限制御など、制度の要件に対応する多彩なセキュリティ機能を標準で備えています。
これらの機能を活用し、「情報資産の特定」→「ポリシーの策定」→「運用体制の確立」と段階的に対策を進めることで、★取得に向けた準備を効率的に進められるでしょう。

制度開始を見据え、今から準備を始めたい企業の方は、ぜひお問い合わせください。