2026年から変化するECセキュリティ対策を解説!
「サプライチェーン強化に向けたセキュリティ対策評価制度」を起点に、EC事業者が今備えるべきポイントを解説
不正アクセスやクレジットカードの不正利用が増加している中、ECサイトのセキュリティ対策はこれまで以上に重要性が高まっています。 特に自社構築のECサイトでは、運用体制や実装方法によってセキュリティの強度にばらつきがあることから、攻撃対象になりやすい傾向にあります。一方で、十分な対策が取られていないECサイトが一定数存在しており、リスクの顕在化が懸念されています。
こうした状況を踏まえ、経済産業省では2026年度を目途に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始が予定されています。サプライチェーン全体を対象とした取り組みで、セキュリティ対策の水準向上につながることが期待されています。
この記事では、2026年度中に想定されるECセキュリティ対策の変化や、いまから準備しておきたいポイントについて分かりやすく整理します。EC運営に携わる皆さまの参考になれば幸いです。
「サプライチェーン強化に向けたセキュリティ対策評価制度」とは
「サプライチェーン強化に向けたセキュリティ対策評価制度」とは、企業のIT基盤におけるセキュリティ対策を評価し、サプライチェーン全体の安全性を底上げすることを目的とした、新しい評価制度です。制度は2026年10月の運用開始を目指して検討が進められています。近年では、攻撃者がセキュリティの弱い取引先を足がかりに、本命の企業へ侵入する「サプライチェーン攻撃」が増加していると指摘されています。
たとえば、
- ECサイト本体は強固に守っていても、外注しているシステム会社や物流事業者が狙われる
- 小さな取引先のIDを奪われ、大企業に侵入される
- 外部委託している開発会社から情報漏えいが発生
このような背景から、自社だけでなく取引先を含む一連の企業群の安全性やセキュリティレベルを確認し、全体としてのリスクを低減させる必要性が高まっています。
経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度(中間取りまとめ)」によると、企業のセキュリティ対策の水準を ★3・★4・★5 の3段階で評価する枠組みが示されています。
| ★3 | ★4 | ★5 | |
|---|---|---|---|
| 想定される脅威 | • 広く認知された脆弱性等を悪用する一般的なサイバー攻撃 | • 供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃 • 機密情報等の漏えいにより大きな影響をもたらす資産への攻撃 | • 未知の攻撃を含めた高度なサイバー攻撃 |
| 対策の基本的な考え方 | すべてのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的な組織的対策とシステム防御策を中心に実施 | サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理・システム防御・検知、インシデント対応等を包括的に実施 | サプライチェーン企業等が到達点として目指すべき対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施 |
| 脅威に対する達成水準(イメージ) | • 組織内の役割と責任が定義されている • 一般的なサイバー脅威への対処として、自社IT基盤への初期侵入や侵害拡大への対策が講じられている • インシデント発生時に、取引先を含む社内外関係各所への報告・共有に必要な最低限の手順が定義・実施されている | • セキュリティ対策が組織的な仕組みに基づく継続的な改善が行われている • 取引先のシステムやデータを含む内外への被害拡大や攻撃者の目的遂行リスクを低減する対策が講じられている • 事業継続に向けた取組や取引先の対策状況の把握など、自社の位置づけに適合したサプライチェーン強靭化策が講じられている | • 組織において国際規格等に基づくマネジメントシステムが確立されている • リスクを適宜適切に把握した上で、インシデントに対して迅速に検知 ・対応するなど、ベストプラクティスに基づくサイバーレジリエンス確保策が講じられている • 取引先等への指導や共同訓練など、自社サプライチェーン全体のセキュリティ水準向上に資する対策が講じられている |
| 評価スキーム | 自己評価(社内等の専門家による助言プロセス想定) | 第三者評価 ※第三者評価を原則とするが、評価コストの負担を抑える観点から詳細は今後検討 | 第三者評価 |
| ベンチマーク (対象企業やリスクが同様であり、対策項目を検討する上で参考) | • 自工会 • 部工会ガイドLv1 • Cyber Essentials → ★3対象の脅威に照らして精査し、対策事項案を抽出 | • 自工会 • 部工会ガイドLv2~3 • 分野別ガイドライン等 →★4で対処する脅威等に照らして精査し、対策事項(案)を抽出 | • ISO/IEC27001 • 自工会·部工会ガイドLv3 等 ISMS適合性評価制度との制度的整合性、★3·4との整合性も踏まえ、対策事項を検討 |
制度では、脆弱性管理、アクセス権限の設定、外部委託先の管理体制、個人情報保護の運用、インシデント発生時の対応ルールなど、企業のセキュリティ対策に関する幅広い項目を基準として、対策状況を評価する方向が検討されています。
先行する海外制度の分析を踏まえると、★3は「一般的なサイバー脅威に対応できること」を目的とした基礎的な水準として整理されています。一方で★4は、初期侵入の防御だけでなく、社内外への被害拡大の防止や攻撃者の目的遂行リスクの低減といった、より広範な対策を求める段階です。これは取引先のデータやシステムを保護し、サプライチェーンにおける自社の役割に適した事業継続性の確保につながる点が特徴と言えます。
さらに★5は、より高度なサイバー攻撃を想定した段階として位置づけられており、自社のリスクを適切に把握・マネジメントした上で、既存のガイドラインなどを踏まえた現時点でのベストプラクティスに基づく対策を実装することが想定されています。★3と★4の整理を踏まえ、今後さらに具体化される予定です。
なお、上位の段階は下位の段階で求められる対策を包含するため、「★3を取得しなければ★4が取得できない」といった段階的な制約は設けられていません。企業は自社のリスクや役割に応じて必要な段階から取得することができる点も、本制度の特徴として示されています。
これにより、サプライチェーン内のどの部分にリスクが存在するのかを把握しやすくなり、企業同士がより適切なパートナーシップを築くための判断材料にもなると期待されています。特に外部企業との連携が多いEC事業者にとっては、制度の運用開始に向けて基準を理解し、早い段階から必要な体制整備を進めておくことが重要と考えられます。こうした取り組みは、セキュリティ強化だけでなく、信頼性向上や事業継続性の確保にもつながります。
EC事業者に求められるセキュリティ対策
EC事業者は個人情報・決済情報を扱い、さらに開発会社・カートシステム・PSP・物流など多くの委託先と連携するため、この制度の影響を非常に強く受ける領域です。セキュリティ対策評価制度では、実施すべき施策が「経営の責任」「サプライチェーンの防御」「IT基盤の防御」の3つに分けられています。
レベルごと達成すべき「経営の責任」、「サプライチェーンの防御」、「IT基盤の防御」に資する対策を以下にて提示しています。
| ★3 (Basic) | ★4 (Standard) | |
|---|---|---|
| 経営の責任 | 【企業として最低限のリスク管理体制構築】 ・自社のセキュリティ担当の明確化 ・セキュリティ対応方針の策定 【インシデント発生に備えた対応手順の整備】 ・インシデント対応手順の作成 【自社IT基盤や資産の現状把握】 ・情報資産やネットワークの一覧化 ・取引先等とのネットワーク接続の管理 | 【継続的改善に資するリスク管理体制の構築】 ・定期的な見直しの実施 ・定期的な経営層への報告、不備の是正等 【インシデントからの復旧手順等の整備】 ・復旧ポイント、復旧時間を満たす手順等の整備 【脆弱性など最新状況の把握と反映】 ・ 脆弱性管理体制、管理プロセスの明確化 ・定期的な見直しの実施 |
| サプライチェーンの防御 | 【取引先等に課す最低限のルールの明確化】 ・接続している外部情報システムの一覧化 ・他社との機密情報の取扱い明確化 | 【サプライチェーンにおける対策状況の把握】 ・機密情報共有先の一覧化 ・重要な取引先等の対策状況把握 【取引先等との役割と責任の明確化】 ・インシデント発生時の他社との役割等の明確化 |
| IT基盤の防御 | 【不正アクセスに対する基礎的な防御】 ・基礎的なID管理手続き、アクセス権限の設定 ・パスワードの安全な設定及び管理 ・ 内外ネットワーク境界の分離・保護 【端末やサーバーの基礎的な保護】 ・ソフトウェアの適時のアップデート適用、不要なソフトウェアの削除 ・ 端末等へのマルウェア対策 | 【多層防御による侵入リスクの低減】 ・重要な保管データの暗号化 ・社内システムにおける適切なネットワーク分離 ・社外への不正通信の遮断(出口対策) ・情報機器等の状態や挙動の監視·対応 【迅速な異常の検知】 ・ログの収集・定期的な分析の実施 ・ネットワーク接続やデータ転送の監視 ・情報機器等の状態や挙動の監視·対応 ・監視活動で検知された事象の分析 |
★3〜★5は「優劣」ではなく「目的の違い」に基づく段階であり、必ずしも★4・★5が良い、というものではありません。しかし、制度が本格的に運用されると、企業によっては「自社の取り扱うデータやリスクに応じて、取引先に特定の★レベルを求める」というケースが増えていく可能性があります。EC事業は、開発会社・決済代行会社・物流・マーケティングツール・クラウドベンダーなど多くの外部サービスと連携して成り立っているため、自社が最低限のセキュリティ水準を満たしているかどうかが、取引継続や新規契約の可否に直結する可能性があります。
一方で、早期に★3の要件を満たしておくことは「最低限のセキュリティ水準をクリアしている企業」としての安心材料となり、取引先からの信頼獲得や商談の前提条件をクリアしやすくなるというメリットもあります。
制度は2026年度中に開始予定であり、EC事業者としては、来期予算の段階から自社に求められる★レベルと必要な対策の棚卸しを進めておくことが重要です。
いまECサイトに求められる「安全性」の再定義
ECサイトのセキュリティ対策は、単なる「リスク対策」ではなく、事業を継続し、信頼を維持するための経営課題へと変化しています。その背景には、いくつかの重要な理由があります。
ECサイトはサイバー攻撃の主要ターゲットになっている
ECサイトは、氏名・住所・メールアドレス・購買履歴に加え、クレジットカード情報など、攻撃者にとって価値の高いデータが集中する領域です。特に自社構築のECサイトでは、脆弱性対策が十分に行われていないケースも多く、攻撃者から見れば「侵入しやすい入口」となりやすい状況があります。サイバー攻撃の巧妙化に伴い、ECサイトは従来以上に狙われやすくなっており、最低限の技術的対策と、継続的な運用体制の整備が不可欠です。
クレジットカード不正利用は増加傾向が続いている
クレジットカードの不正利用が増加している点も、ECサイトのセキュリティ対策が重要といわれる理由のひとつです。2016年に142億円であった国内発行のクレジットカードにおける年間不正利用被害総額は、2021年までの5年間で約330億円まで増加し、最新データでは2025年1月~9月では416億円超になっています。
参照:独立行政法人情報処理推進機構「ECサイト構築・運用セキュリティガイドライン」、一般社団法人日本クレジット協会「クレジットカード不正利用被害の発生状況」
インシデント発生は企業存続に影響する重大リスク
ECサイトで個人情報漏えいや決済情報の流出が発生した場合、その影響は非常に大きく、
- ECサイトの停止・閉鎖
- 顧客離反による売上急減
- カード再発行手数料・補償金・慰謝料などの事故対応費用
- 記者会見・風評被害・信頼毀損
といった 数億円規模の損害につながるケースも珍しくありません。一度失われた信頼は回復が難しく、事業継続が危ぶまれるレベルのインパクトを持つことを、経営は強く認識する必要があります。
経済産業省が導入を予定している「サプライチェーン強化に向けたセキュリティ対策評価制度」 は、EC事業者にも直接かかわる制度です。制度開始後は、委託先管理や情報セキュリティ体制の整備がこれまで以上に重要になり、取引先から求められる水準も確実に高まっていくでしょう。そのため、今から予算を確保し、段階的に対策レベルを引き上げていくことが最も現実的で効果的なアプローチと言えます。
YTGATEはEC決済の専門家として、事業者が安心して決済データを扱えるよう、堅牢なセキュリティ体制と運用基盤を整えています。決済領域に特化した専門チームが、日々変化する不正トレンドや制度動向を踏まえて知見をアップデートし、実務レベルでの支援も含めて伴走いたします。
EC事業者が直面する「攻め(売上向上)」と「守り(不正対策・セキュリティ)」の両立は、これからのEC運営に欠かせないテーマです。YTGATEは、その実現に向けて、最新情報の発信と啓発を継続しながら、皆さまの取り組みを支援してまいります。どうぞお気軽にご相談ください。
2026年に向けてEC担当者が知っておくべき、売上・利益を改善する最新メソッド5選
ECの2026年問題:AI活用・不正利用対策・Cookie規制の“3つの壁”をどう越えるか?