【新年度特集】2026年度「格付」へのカウントダウン。4月に見直すべき「セキュリティ年間計画」とサイバー保険の落とし穴

4月を迎え、新年度が始まった企業は多いのではないでしょうか。4月は情報システム部門やセキュリティ担当者にとって、予算の執行計画や1年のロードマップを確定させる重要な時期です。

しかし、昨今の脅威動向や政策の動きを見ると、これまでの「前年踏襲」の計画では、ビジネス上のリスクを回避できなくなる可能性が高まっています。

今、私たちが直面しているのは「自社を守る」だけでなく「サプライチェーンの信頼を勝ち取る」というフェーズへの転換です。この4月に優先すべき3つのポイントを解説します。

1.経済産業省「セキュリティ格付」：153の評価基準が迫る“実効性”の証明

2026年度末に本格始動する格付制度として、経産省より「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」が3月27日に公表されました。2025年末のパブリックコメント版の案をもとに、制度方針が確定し、実現に向けて進んだと言えます。

この制度に取り組む上で注目すべきは、単に「規程があるか」ではなく「年1回以上点検しているか」「周知徹底されているか」といった運用のエビデンスが厳格に求められる点です。

• ☆3（Basic）： 81項目の基礎固め。自己評価とはいえ、細分化された基準への対応には相応の準備が必要です。
• ☆4（Standard）： 153項目すべての第三者評価。ガバナンスからインシデント対応まで、包括的な体制構築には6ヶ月〜1年以上の準備期間を要します。

「来年からでいい」は、サプライチェーンからの脱落を意味します。今年度早目にアセスメントを実施し、ロードマップを描くことが、将来の競争優位性に直結します。GSXではホワイトペーパーを提供しています。ぜひ参考になさってください。

2.「春の脆弱性」とVPNリスクの再点検

年度初めは、組織改編や人事異動、テレワーク利用者の見直し等の様々な変化により、管理対象の情報資産に変化が生じたり、管理する人が変わることで引継ぎが十分でなかったり慣れていなかったり等、システム・ネットワーク運用が「緩む」時期でもあります。 特にVPN機器の脆弱性は依然として攻撃者の主要な侵入口です。設定ミスや、放置された旧環境のVPNゲートウェイからランサムウェアに感染し、事業停止に追い込まれる事例が後を絶ちません。

4月にやるべき「資産の棚卸し」

• 管理責任の明確化：組織や人の変化により、管理対象から漏れてしまった情報資産はないか。
• アカウントの見直し：組織変更、役職変更、退職などに伴い権限の変更や削除を適切に対処できているか。
• 外部公開資産の可視化：意図せずインターネットに露出している機器はないか。
• 脆弱性診断の早期予約：多くの企業が期末（3月）に診断を集中させますが、この時期に実施することで「4月の改編」に伴うリスクを早期に摘み取ることが可能です。

3.サイバー保険のFact：なぜ「保険だけ」では不十分なのか

今回のコラムで最も強調したいのが、サイバー保険と緊急対応（インシデントレスポンス）の関係です。

インシデント発生時、サイバー保険に入っていることで外部の支援を受ける経営判断が早くなり、結果としてインシデントレスポンスの迅速化や適切性に繋がります。しかし、「サイバー保険に入っているから、万が一の際には外部の支援が受けられるし、これ以上備えなくて良い」――この考え方が、実は危険な「後悔の種」になる可能性があります。

弊社事例から見る：助かった企業、後悔のあった企業

実際に弊社が対応した事例に基づき、その違いを整理します。

【ケースA：保険＋レスポンス体制があった企業】

• 状況：海外拠点のVPNから侵入され、サーバー数台が暗号化。侵入拡大や情報漏えいの封じ込めのために、速やかに外部ネットワークを遮断。
• 対応：CSIRTにおいてあらかじめ連絡先の把握及びNDAを締結していた、弊社「緊急対応サービス（119@gsx.co.jp）」に通報、発生当日から調査を開始。
• 結果：保険会社への報告もスムーズに進み、被害範囲の特定を早期に完了。調査費用は保険金で賄いつつ、事業停止期間はわずか1週間で収まりました。

【ケースB：保険のみ（レスポンス体制未整備）だった企業】

• 状況：インシデント発生。保険会社に連絡したが、「指定業者の手配に数日かかる」と言われる。
• 対応：自力で業者を探したが、繁忙期でなかなかすぐには受けてくれない。インシデント発生3日後に弊社「緊急対応サービス（119@gsx.co.jp）」にたどり着き、初回打合せの助言により部分的なシステム停止を外部ネットワーク遮断に切り替え、NDAを締結、初動調査が開始されたのは発生から1週間後。更に、侵入経路だと考えられる機器のログが1日分しか残ってなく、影響範囲の特定が難航、暫定復旧まで1か月かかり、多くの取引先の事業継続に影響を与えてしまった。
• 結果：3日の間に攻撃は企業のシステム・ネットワーク全体に波及。保険で「調査費用」「損害賠償」はカバーできても、失った信頼と約1か月間の機会損失は補填されず、売上減に影響が及びました。

保険とレスポンスの役割分担

結論：緊急対応を「速やかに依頼できること」こそが最大の防衛策

サイバー保険は「有事の資金繰り」を助けますが、現場で戦う「手足」にはなりません。 今年度の計画には、保険の検討とセットで、「インシデント発生当日に、誰が何をすべきか」という即応体制を組み込んでください。

GSXは、新制度への対応を支援する「コンサルティング」から、今すぐできる「脆弱性診断」、そして最後の砦となる「緊急対応（119）」まで、貴社の安全をワンストップで支えます。

▶ 新年度のセキュリティ計画を盤石にする：GSXのサービス一覧はこちら

• まずは自社の現在地を知る：セキュリティアセスメント
• 4月の脆弱性を狙わせない：脆弱性診断サービス
• レスポンス体制を整える：CSIRT体制構築支援
• 訓練で学ぶ：インシデント対応訓練サービス
• 迷わず119番できる安心：緊急対応サービス

本稿の内容について、貴社特有の環境に基づいた具体的な対策をご提案可能です。

「☆4格付を目指すためのロードマップ」や「サイバー保険の付帯サービスとの整合」など、気になる点がございましたら、お気軽にWebからお問い合わせください。