【2026年度開始】セキュリティ対策評価制度(SCS評価制度)を徹底解説
サプライチェーンを狙ったサイバー攻撃の報告が増える中、取引先ごとに異なるセキュリティ確認への対応に追われる受注企業側と、客観的な水準を把握しづらい発注企業側の双方に、負担がかかっている場面が目立ちます。経済産業省は、こうした課題を踏まえ、企業のセキュリティ対策状況を共通の物差しで示す「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の具体化を進めています。現時点では義務化された制度ではありませんが、取引条件や調達方針に反映される動きは、少しずつ強まっていくでしょう。
本記事では、SCS評価制度の概要や目的、段階別の評価の仕組み、現場で必要な準備の進め方などを解説します。
SCS評価制度とは、サプライチェーン上の企業のセキュリティ対策状況を示すための枠組み
SCS評価制度とは、経済産業省が示す「サプライチェーン強化に向けたセキュリティ対策評価制度」の通称で、サプライチェーン上の企業間で対策状況を客観的に示すための枠組みです。企業が実施しているセキュリティ対策の水準を星の数によって表すことで、取引におけるセキュリティの「見える化」と信頼性向上を目指しています。
この制度の本格的な運用開始の時期は2026年度末頃を目標として示されており、制度の細部は、今後も手直しが入る可能性がある点には、注意しなければなりません。
制度の運用が開始される前の段階でも、大企業の調達ポリシーや契約条項に制度の内容が反映されることも想定されます。他社とサプライチェーンでつながる企業は、制度の骨格を早めに押さえ、自社の目標水準とギャップを整理しておくと、後から慌てにくくなります。
SCS評価制度導入の背景
SCS評価制度を導入することになった背景としては、サプライチェーン攻撃の脅威の増大が挙げられます。
委託先や取引先を踏み台にするサプライチェーン攻撃は、組織が直面する脅威の中でも重要度が高い類型として、繰り返し指摘されています。情報処理推進機構(IPA)の「情報セキュリティ10大脅威」でも「サプライチェーンや委託先を狙った攻撃」が例年上位に位置づけられており、サプライチェーン全体で対策水準を揃える必要性が高まっていると言えるでしょう。
サプライチェーン攻撃は、1社への侵入にとどまらず、供給網全体の機密情報が危機にさらされ、場合によっては複数の企業の事業停止にまで波及し得る点で影響の大きな攻撃です。「自社だけ守れば足りる」という前提が通用しにくい環境になってきているため、国を挙げた共通基準の必要性が高まっているのです。
- 併せて読みたい
SCS評価制度の目的
SCS評価制度の目的は、サプライチェーンに関わる企業が自社に必要なセキュリティ対策の水準を理解し、限られたリソースの中で優先順位を付けて対応できるようにすることにあります。
この制度が導入されることで、発注企業側は統一基準に基づいて取引先の水準を把握できるようになるため、補助的な個別調査に依存しすぎない運用へ移行できるようになります。従来は、発注企業側はアンケートやチェックシートで受注企業側のセキュリティ対策状況を確認し、受注企業側は取引先ごとに異なる確認内容に回答する構造が一般化していました。こういった状況では、様式がバラバラでセキュリティ水準の比較が難しく、客観性や再現性の担保にも限界があったと言えます。
この状況を改善するための統一的な枠組みとして、SCS評価制度の導入が検討されるようになりました。統一された評価の枠組みがあれば、発注企業側・受注企業側双方の事務コスト削減とリスク管理の精度向上につながります。
なお、この制度では、「企業の格付けを競わせるものではない」という趣旨があると公式資料で強調されています。自社の立ち位置と取引上の期待を踏まえ、企業それぞれに必要なセキュリティ対策の水準を可視化するのが制度の目的であるため、全企業が闇雲に高水準の星を目標とすることは想定されていません。
- 併せて読みたい
SCS評価制度で想定されているリスク
経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」では、制度設計の前提として想定されたサプライチェーンにおけるリスクが下記のように整理されています。
- SCS評価制度で想定されているリスク
-
※出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」
大きく分けると、機密情報の漏洩、部品などの供給遅延・停止、取引先経由のシステムへの不正侵入などのリスクが想定されています。担当者の方は、自社に関連するリスクを確認し、優先的に必要となる対策を検討しておくのがお勧めです。
リスクの整理は、SCS評価制度での要求事項と対応内容の整理にも関係します。例えば「機密性が高いデータがあるが、そのデータに関する可用性の要求度は高・中・低のうち中程度」といった自社の前提を一文で言いきれるようにしておくと、目標にする星の数を決める際の判断材料が揃いやすくなります。なお、可用性とは、システムやデータが正常に利用できる状態を維持する能力のことです。
- 併せて読みたい
SCS評価制度の概要
SCS評価制度では、最大5つの星によってセキュリティ対策状況を把握する段階構造が想定されています。星の数が増えるほど、想定脅威の高度化や第三者評価の厳格化が進む、というイメージで捉えるとわかりやすいでしょう。下記では、星1・星2と星3以降の違いを分けて解説します。
星1・星2の位置づけ
SCS評価制度の土台となる星1・星2に位置づけられているのは、以前からIPAが実施していた「SECURITY ACTION」と呼ばれる自己宣言制度です。この制度では、中小企業がまず取り組みを宣言し、基本方針の整備など段階的に成熟させていく流れが想定されています。費用負担を抑えつつ、最低限のセキュリティ意識を可視化し、体制づくりにつなげていくための入口となる制度と言えるでしょう。
新設のSCS評価制度との関係を整理すると、星1・星2は既存の制度で、星3以降が新設の制度となります。自己宣言を入口に社内のセキュリティ体制を点検しておくと、星3への移行がスムーズになります。
星3~星5の制度の概要
星3~星5は、要求事項が定められ、第三者による確認・評価が必要とされている制度です。経済産業省の「「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました」では、下記のように想定される脅威、求められるセキュリティ対策の基本的な考え方などが段階ごとに異なると整理されています。
- 星3~星5の主な制度内容
-
※出典:経済産業省「「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました」
星3の制度内容
星3は、多くのサプライチェーンに関わる企業にとって、当面の目標になりやすい基礎的なセキュリティ水準です。下記では、星3の要求事項や評価の仕組みについて解説します。
要求事項
星3の要求事項は、2026年5月時点では、26点に整理されています。経済産業省の「「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました」下部に掲載されているExcelデータ「別添★3・★4要求事項及び評価基準」に全文が記載されるため、下記では要求事項の一部を抜粋して紹介します。実際に星3の取得を目指す場合は、必ず最新版の原文に照らし合わせるようにしましょう。
- 星3の要求事項(抜粋)
-
- セキュリティ推進活動を担当する部署、役員及び従業員を決定し、責任及び権限を割り当てること
- 自社の機密情報の取扱い方法を、共有先との間で明確にすること
- セキュリティインシデント発生時の他社との役割及び責任を明確にすること
- 情報機器、OS及びソフトウェアに関する情報を把握すること
- ユーザIDの発行・変更・削除の手続を定めること
- ネットワーク上の適切な場所でネットワーク接続及びデータ転送を監視すること
- セキュリティインシデントへの対応手順、対応体制等を定めること
- 事業上重要なシステムについて、事業継続の要件に沿う復旧に必要な準備を行うこと
評価制度の内容
星3では、自己評価の結果について、セキュリティ専門家の確認や助言を経て評価結果として確定するイメージが示されています。単なる自己申告のみの制度ではなく、第三者による一定の関与を取り込んだ制度と言えるでしょう。
専門家の選定や、提出する証跡、質疑応答の準備といった業務をどこまで社内で仕組み化できるかがカギになりそうです。評価直前に資料をかき集めるのではなく、日々の運用フローに取り込んでおくと、担当者の交代や組織改編があっても対応しやすくなります。
有効期間
星3の有効期間は、1年間と想定されています。星3の評価を獲得し続けるには、毎年の自己点検や変化する環境への対応が必要です。「取得して終わり」ではなく、自己点検などの運用コストを当初から見込んでおくと、獲得後の計画の精度も上がりやすいでしょう。更新サイクルに合わせ、対策内容の変更について継続的に記録する仕組みを整えておくのがお勧めです。
星4の制度内容
星4は、星3より包括的な対策と評価機関による第三者評価が前提となる水準です。下記では、星4の要求事項や評価の仕組みについて解説します。
要求事項
星4の要求事項は43点に及びます。中には星3の要求事項も含まれており、それらに加えて、ガバナンス、取引先管理、検知と対応の高度化などに関連する要求事項が追加されるイメージです。主な要求事項は下記の通りです。下記では、星3と重複する項目は割愛し、星4でのみ要求されている項目から抜粋して紹介します。
- 星4の要求事項(抜粋)
-
- サイバー攻撃及び予兆を監視・分析をする体制を整備すること
- セキュリティ対策推進計画を策定し、定期的に経営層へ対策実施状況に関する報告を行うとともに、報告結果を対策の推進に反映すること
- 事業継続リスク及び情報管理リスクの観点から自社に影響を及ぼす可能性のある取引先のセキュリティ対策状況を把握すること
- リモートワークで使用する情報機器及び機密情報の条件についてのルールを定めること
- 脆弱性の管理体制、管理プロセスを定め、それに基づく管理を行うこと
- 経営層を含むすべての要員に対して、セキュリティの意識向上のための教育・研修を実施すること
- 情報機器及びソフトウェアの状態及び挙動を監視すること
- セキュリティインシデントのレベル及びレベルごとの対象範囲を明確にすること
評価制度の内容
星4では、第三者評価機関がセキュリティ対策の状況を審査し、評価結果として確定する流れが想定されています。評価機関の選定、評価範囲の設定、現地確認への対応の準備などの対応が必要になると考えられます。評価に耐え得る証跡の保管・更新に関するルールを決めておくと、対応がしやすくなるかもしれません。
有効期間
星4の有効期間は、3年と長めに設定される想定ですが、一方で期間中も毎年の自己評価を実施して評価機関に提出する制度になるという方向が示されています。更新時には再び第三者評価が必要になるため、対策状況の変更の管理が更新時の負担を左右することになりそうです。
星5の制度内容の見通し
2026年5月時点では星5の詳細は検討中で、要求事項や評価スキームの全体像はこれから具体化される段階です。方向性としては、国際的な枠組みにおけるリスクベースの考え方に沿って自社に必要な改善プロセスを整理した上で、評価時点のベストプラクティスを適用するという水準が想定されています。
ISMS適合性評価制度がベンチマークとして想定されていますが、具体的な要求事項は公表されていません。有効期間も未定です。
制度内容の詳細は、2026年度以降の検討事項とされています。星5の取得を目標に置く場合でも、まず星3・星4を安定運用できる土台を早めに作っておくと、将来の選択肢が広がるかもしれません。
SCS評価制度の対象となる機器・システム
経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」によると、SCS評価制度で評価の対象となる機器・システムの範囲は限定されています。具体的には、企業が保有・運用する下記のようなIT基盤、外部ネットワーク境界が対象として想定されています。
- SCS評価制度の対象となる機器・システムの例
-
- Webサーバー、メールサーバーなどのサーバー
- パソコン、スマートデバイスなどのエンドポイント端末
- ファイアウォール、VPNなどのネットワーク機器
一方で、製造現場の制御(OT)システムや、IT基盤に接続しない製品そのものは、制度上の対象外です。ただし、制御システムや製品のセキュリティは、別のガイドラインや顧客からの要求水準という観点でセキュリティ対策を検討する必要があります。
なお、クラウドサービスや親会社の提供するグループ共通のネットワークなど、サービスを提供する事業者とサービス利用者との間で責任を分担するシステムについては、責任の所在に応じてサービス提供者の対策状況を確認したり、自社で対策を実施したりすることが必要です。
SCS評価制度の想定スケジュール
SCS評価制度は、2026年5月時点ではまだ運用は開始されておらず、下記のようなスケジュールで導入されていくことが想定されています。
- SCS評価制度のスケジュールのイメージ
-
※出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」
星3・星4は、2026年度末頃の運用開始を目指して準備が進んでいます。星5は、2026年度以降に要求事項・評価基準や評価スキームの具体化を目指している状況です。
これまで、制度構築方針(案)の公表や意見募集を通じて、運用に向けた具体像が固められてきました。今後も、制度の詳細が確定していくにつれて、スケジュールはアップデートされる可能性があります。
2026年度末頃に運用が開始されるとすれば、準備期間は限られているため、ロードマップは早めに検討しておくと安心です。公式サイトや業界団体の解説を定期的に確認し、社内で共有する情報を継続してアップデートしていきましょう。
中小企業向け支援制度の創設
経済産業省が公表した情報によると、中小企業がSCS評価制度の星3・星4を取得するための支援を行う「サイバーセキュリティお助け隊サービス」(新類型)が新設される予定です。
SCS評価制度への対応にリソースを割きづらい中小企業が安価かつ簡便に星3・星4を取得できるよう、サービス提供事業者と連携してITツールの導入やセキュリティポリシーの整備などを支援することが想定されています。これにより、セキュリティ対策から評価の取得までにかかるコストのハードルが下がることが期待されています。
2026年春頃から、この制度の設計を行うための実証事業が開始される予定となっており、今後は利用条件の詳細や具体的な支援制度の内容の公表が見込まれるため、継続的な情報収集は欠かせません。
SCS評価制度への対応準備の進め方
SCS評価制度は、第三者による確認・評価を前提とした制度であるため、スムーズな星の取得のためには入念な準備が必要です。下記では、現場で必要となる準備を、3つのステップに整理しました。
1.現状把握と目標設定
SCS評価制度に対応するためには、最初に、IT資産の管理状況、運用ルール、セキュリティ対策の導入状況、インシデント発生時の対応フローなどを棚卸しし、現状を把握することが必要です。並行して、事業上の重要度と取引先からの期待を踏まえ、当面は星3と星4のどちらを目標とするかを決めましょう。
目標が曖昧なままツールの導入を進めると、評価に直結しない投資になりかねないため、注意してください。
2.ギャップの確認と優先順位を付けた対策の導入
現状把握と目標設定が済んだら、目標とする星の要求事項と現状の差分を項目単位で確認します。
実装の難易度やリスク低減効果の大きさなどで優先順位をつけ、短期・中期のロードマップに落とし込みます。取引先や、自社で利用しているシステムのサービス提供者側で起こり得るリスクには、自社で導入する技術的な対策に加えて、契約内容の調整や監査なども実施できないか、セットで検討しておくと良いでしょう。
3.対策の運用開始
必要な対策を検討したら、1つずつ実行に移していきます。どの対策を誰が実行するのか、役割分担を決めて、例外的な事態が発生した際の対応フローも整えましょう。
対策を実施した事実を後から説明できるよう、証跡を残すことも重要です。セキュリティ対策に関する変更事項の記録や、従業員教育の実施記録なども整備するようにしてください。
SCS評価制度の導入で期待される効果
SCS評価制度を導入した場合、様々な効果が期待されます。下記では、受注企業側、発注企業側、サプライチェーン全体それぞれで見込まれる効果について解説します。
受注企業側の効果
受注企業側では、SCS評価制度により統一的なセキュリティ対策の水準が示されることで、これまで発注企業側ごとの個別のチェックシート対応に割いていた工数を抑えられるようになると考えられます。その結果、経営状況の本質的な改善にリソースを割けるようになるケースも出てくる可能性があります。
また、セキュリティを高めるための社内体制の整備が進み、インシデント対応力そのものも高まるでしょう。
ただし、客観的な認定基準が設けられることは、新規取引や継続取引の契約更新時の説明材料にもなりますが、水準を満たさない場合に取引を断られる理由にもなりかねません。メリットもリスクも念頭に置いて、制度への対応方針を決める必要があります。
発注企業側の効果
発注企業側では、SCS評価制度で統一的な基準が導入されることにより、取引先の比較や優先順位付けがしやすくなり、サプライチェーンリスク管理が運用しやすくなる効果が期待されます。取引先への要求について、客観的な根拠を基に明確化できるため、改善計画の合意形成もしやすくなるでしょう。
また、監査や監督の場面でも、一貫した説明がしやすくなります。
サプライチェーン全体での効果
サプライチェーン全体での効果としては、SCS評価制度の導入により下請企業や協力会社を含む供給網全体でセキュリティレベルの底上げが進むことが挙げられます。その結果、サプライチェーン攻撃による事業停止などのリスクを下げることが可能です。
また、セキュリティ対策の基準の標準化は、企業間の契約条項の設計で共通言語として機能する可能性があります。加えて、サイバー保険の引き受けや保険料算定の審査の場面でも、星の数を基にした客観的な基準が導入されるようになるかもしれません。
2026年度中の開始に備えて、SCS評価制度への準備を進めよう
SCS評価制度は、サプライチェーンのセキュリティを統一基準で見える化し、取引の信頼性を高めるための枠組みです。星3は一般的な企業に求められる基礎的なセキュリティ水準であり、星4はより包括的な対策と評価機関による第三者評価が前提となる制度で、星5は今後具体化が進む到達点として理解しておくと、整理しやすいでしょう。
SCS評価制度の対象は主にIT基盤であり、製造現場の制御(OT)システムや提供している製品のセキュリティ対策とは切り分けて考えることも重要です。
まずは、自社が目標とする段階を決めてギャップを把握し、2026年度中の運用開始に向けて計画を早めに進めることが次の一手と言えます。
なお、SCS評価制度の要求事項に効率良く対応したい場合は、インターコムが提供する情報漏洩対策ツール「MaLion」シリーズの活用も有効です。「MaLion」なら、IT資産管理台帳の自動更新(資産管理の省力化)、パソコン・モバイル端末の一元管理、ファイルの一括配布によるアップデート管理の効率化、不許可端末・可搬デバイスの利用制限、許可していないソフトウェアの利用制限といった機能によって、SCS評価制度での複数の要求事項への対応に役立ちます。自社の情報漏洩対策に課題を感じている場合は、ぜひお問い合わせください。
