「元請けから急に『御社のセキュリティ対策状況を教えてほしい』とアンケートが送られてきた」
「経産省の新しい制度が始まると聞いたが、専門用語ばかりで何をすればいいか分からない」
情シス専任者がいない中小企業の社長や総務ご担当者様から、最近このようなご相談が急増しています。
実は、2026年度中から経済産業省による「サプライチェーン強化に向けたセキュリティ対策評価制度」という新しい格付けが始まります。
結論から言います。中小企業が目指すべきは「★3(星3つ)」一択です。そして、何百万円もするような高額なコンサルティングや複雑なソフトを入れる必要はありません。適切な「箱モノ(UTMなどのハードウェア)」を1台置くだけで、技術的要件の大部分はクリアできます。
本記事では、セキュリティ機器の専門家である「Security Choice」が、新制度の概要と、中小企業が最短・最安で「★3」を取るための具体的な機器選定について、ズバリ解説します。
経産省の「セキュリティ対策評価制度」とは?(超わかりやすく解説)
なぜ今?「取引先から切られる」リスク(サプライチェーン攻撃)
「うちは狙われるような機密情報なんてないよ」と思われるかもしれません。しかし、現在のハッカーの狙いは「御社」ではなく「御社の取引先(大企業)」です。
セキュリティが堅牢な大企業を直接狙うのは難しいため、対策が手薄な中小企業を踏み台にして(ウイルスを感染させて)、本命の大企業へ侵入する手口が急増しています。これを「サプライチェーン攻撃」と呼びます。
この事態を重く見た国(経産省)が、「取引先を選ぶときは、ちゃんとセキュリティ対策をしている会社を選びなさい」という号令を出しました。これが新制度の正体です。対策をしていないと、「危なくて取引できない」と判断され、元請けから取引を停止されるリスクが出てきたのです。
2026年度から「星(★)」の数で格付けされる
この制度では、企業のセキュリティ対策レベルが「★3〜★5」の段階で評価・公表されるようになります。
| 格付け | 想定されるレベル | 評価方法 |
| ★3 (Basic) | 最低限実装すべき基礎的な対策(中小企業はここ!) | 自己評価(専門家確認付き) |
| ★4 (Standard) | 包括的な対策(重要な情報を扱う中堅~大企業向け) | 第三者評価機関の審査 |
| ★5 | 高度なサイバー攻撃への対応(大企業向け) | 第三者評価機関の審査 |
※すでに始まっている「SECURITY ACTION(★1、★2)」という自己宣言制度を、さらに実効性のあるものに厳格化したイメージです。
中小企業が目指すべきは「★3(Basic)」一択である理由
★4以上は「第三者評価」が必要でコスト大
表を見てお気づきかもしれませんが、★4以上は認定機関による「第三者評価」が必要になります。これは取得にも維持にも膨大なコストと労力がかかります。
一方、★3は「自己評価(専門家の確認・助言付き)」です。従業員50名以下の中小企業であれば、まずは取引先に対して「最低限の基準(★3)は満たしています」と証明できれば、取引停止のリスクは十分に回避できます。
★3クリアに必要な「最低限の要件」とは?
★3を取得するためには、主に以下の対策が求められます。
- 不正アクセスの防御: 外部からの怪しい通信をブロックできているか。
- マルウェア(ウイルス)対策: 端末が保護されているか。
- ログの保存・監視: 誰がいつアクセスしたかの記録を残しているか。
これを「社員全員のパソコンにソフトを入れて、毎日監視して…」とやろうとすると、情シスがいない会社では確実に運用が破綻します。
★3要件をクリア!情シス不在の企業が導入すべき「箱モノ(機器)」
「運用する人がいない」という中小企業の悩みを一発で解決するのが、「LANケーブルに刺すだけの箱モノ(ハードウェア)」です。
★3対策の要:「UTM(統合脅威管理)」の実勢価格とリース相場
★3の技術的要件の大部分(不正アクセス防御、ウイルス対策、ログ保存など)を1台で丸ごとカバーしてくれるのが「UTM(統合脅威管理)」という機器です。
オフィスの入り口(ルーターの裏)に設置するだけで、ネットワーク全体を自動で守ってくれます。
「UTMは高い」というイメージがあるかもしれませんが、Security Choiceでは実勢価格とリース相場の目安を公開しています。
- 想定規模(10〜30名)の場合
- おすすめメーカー: FortiGate(フォーティゲート)、SAXA(サクサ)など
- リース相場の目安: 月額 10,000円 〜 30,000円 前後(※5〜6年リースの場合。機器代・保守込み)
見落としがちな「法人用Wi-Fi」と「VPNルーター」
UTMと合わせて見直したいのがWi-Fiです。家電量販店で買ってきた家庭用ルーターをそのまま使っていませんか?
騙されないで!「高額なコンサル」や「不要なソフト」は買わなくていい
中小企業に「数百万のシステム」はオーバースペック
この新制度の開始に乗じて、「評価制度に対応するためには、このクラウドシステム(SaaS)とコンサルティングが必要です!」と、数百万円の提案をしてくる悪徳ベンダーが増えることが予想されます。
断言します。情シスがいない中小企業に、高度なSaaSやコンサルは「オーバースペック」であり、宝の持ち腐れです。 毎月のランニングコストだけが跳ね上がり、誰も使いこなせないという悲劇を生みます。
「見積もり適正診断」で今の提案が正しいかチェック
もし、現在出入りの事務機屋やシステム会社から、よく分からないセキュリティ対策の見積もりを出されていて不安な場合は、一度立ち止まってください。
我々「Security Choice」は、データベースに基づく適正価格を熟知しています。「この見積もり、高すぎない?」と思ったら、お気軽に我々の「見積もり適正診断(無料)」をご利用ください。ズバリ、適正価格かどうかを診断します。
経産省のセキュリティ対策評価制度に関するよくある質問
Q. 「★3」を取得するには、具体的にいくらぐらい費用がかかりますか?
A. 会社の規模にもよりますが、10〜30名規模のオフィスであれば、月額10,000円〜30,000円程度のUTM(統合脅威管理)のリースで技術的な要件の大部分をクリアできます。数百万円もするようなシステム導入や高額なコンサルティングは、情シスのいない中小企業には不要です。
Q. 家庭用のWi-Fiルーターをそのまま使っていますが、これではダメですか?
A. はい、不十分です。★3の要件には「ネットワーク境界での防御」や「ログの監視・保存」が含まれるため、セキュリティ機能を持たない家庭用ルーターでは要件を満たせません。UTMと連携できる法人用Wi-Fiへの切り替えを推奨します。
Q. パソコンにウイルス対策ソフトを入れているだけでは、基準は満たせませんか?
A. ウイルス対策ソフト(エンドポイント対策)だけでは★3の要件を満たすのは難しいです。新制度では、個々のパソコンを守るだけでなく、会社全体のネットワークの入り口で不正アクセスを防ぐ「防御・検知」が求められるため、UTMなどのハードウェア(箱モノ)の導入が必要不可欠となります。
まとめ:2026年に向けて、まずは「自社の現状」を知ろう
経産省の「セキュリティ対策評価制度」は、2026年度中のスタートを予定しています。取引先から調査票が送られてきてから慌てて機器を探すと、足元を見られて高額な契約を結ばされる可能性があります。
無料診断「セキュドック」で、御社の「星(★)」レベルを判定
まずは、自社が今「★いくつ」相当なのか、何を導入すれば「★3」に届くのかを把握することが第一歩です。
Security Choiceでは、情シス不在の中小企業様向けに、現在のネットワーク環境をチェックする無料診断を実施しています。
[>> 【無料】御社のセキュリティレベルを診断!のお申し込みはこちら]
[>> 【適正価格がわかる】UTM(統合脅威管理)の製品データベース・スペック比較を見る]
