2026年度末より開始予定
セキュリティ対策(SCS)評価制度とは?
サプライチェーン全体のセキュリティ向上を
めざした新たな評価の仕組み
サプライチェーンのセキュリティ水準を底上げ
発注者
★評価でセキュリティ対策状況を適切に把握
自社の対策状況を★評価で端的に開示
受注者
段階別評価の概要
★3~★5までの三段階で、組織のセキュリティ対策状況を評価。
組織の事業内容やサプライチェーンにおける役割に応じ、
レベルごとに達成すべき目標が異なっています。
★3
最低限の対策
基礎的な
システム防御策と
体制整備を中心に実施
評価方法
★4
標準的な対策
組織ガバナンス・
取引先管理から
システム防御まで
包括的な対策を実施
評価方法
★5
高度な対策
ベストプラクティスに
基づく対策を実施
※詳細は今後検討予定
評価方法
※★1~★2はIPAが運営するSECURITY ACTION宣言制度の流用を想定
※★5は今後詳細な対応事項を検討予定
セキュリティ対策(SCS)評価制度
に関するよくあるギモン
★3と★4の違いは?
想定される脅威や評価スキーム、有効期間などに違いがあります。 ★4は★3の事項を内包しているため、「★3評価を得なければ★4評価を得られない」という関係ではない点に注意しましょう。
| ★3 | ★4 | |
|---|---|---|
| 想定される脅威 | 広く認知された脆弱性を悪用する一般的なサイバー攻撃 | 供給停止・情報漏洩等によりサプライチェーンに大きな影響をもたらす企業への攻撃 |
| 評価スキーム | 自己評価の結果について、セキュリティ専門家による確認および助言を経て内容を確定 ※セキュリティ専門家:一定のセキュリティ関連資格を有し、指定の研修を受講した者 |
自己評価の結果について、評価機関による評価 を経て内容を確定(第三者評価) |
| 有効期間 | 1年 | 3年 |
| ベンチマーク | 自工会・部工会ガイドラインLv1 Cyber Essentials |
自工会・部工会ガイドラインLv2~Lv3(一部) 分野別ガイドライン等 |
ISMSやPマークとの違いは?
ISMSでは、リスクの特定・分析・評価を経て、組織自身で必要な対策を考えられる仕組みを構築できているかが審査されます。したがって、実施するセキュリティ対策自体は自社で検討しなければなりません。
一方セキュリティ対策評価制度は、あらかじめ実行すべき具体的な対策が指定されています。要求事項に応えられているかが焦点となるため、何を実施するべきか悩む必要がないというメリットがあります。
ISMSとセキュリティ対策評価制度は相互補完的な関係をとることが示唆されているものの、これらは根本的に異なる制度です。
急いで対応する必要はないのでは?
なるべく早めの対応を強く推奨します。
制度開始時点で、多くの企業が★評価を基準とした取引先選定をおこなうことが予想されます。他社との差別化を図るため、2026年度末までには★4相当(最低でも★3)のレベルまで準備しておきましょう。
SS1シリーズがSCS評価制度対策で選ばれる理由
Point.1
「資産管理」項目中心に幅広く対応
社内のIT資産の洗い出しや正確な管理を求める項目を中心に対応可能。わかりやすい管理画面で、初めてIT資産管理をおこなう方も安心して操作いただけます。
Point.2
選べる豊富なオプション機能群
オプション機能は自由にお選びいただけるため、★3・★4の要求事項中、対応したい項目だけをピックアップして導入できます。他社製品と対応項目の切り分けをおこないたい場合に有効です。
Point.3
満足度No.1(※)のサポート体制
充実のサポート体制などをご評価いただき、外部レビューサイトでは顧客満足度No.1を獲得。
※ITreviewカテゴリーレポート「IT資産管理ツール」(2026 Spring)
IT資産管理ツールSS1・SS1クラウド
★3・★4対応事項
| 「セキュリティ対策評価制度」における要求事項(案) | ||
|---|---|---|
| ★3 | ||
| ★3 | 3-1-1 | 情報機器、OS及びソフトウェアに関する情報を把握すること。 |
| 3-1-2 | ネットワークに関する情報を把握するための仕組みを整備すること。 | |
| 3-1-4 | 機密区分に応じた情報の管理ルールを定め、それに基づく管理を行うこと。 | |
| 4-1-1 | ユーザIDの発行・変更・削除の手続を定めること。 | |
| 4-1-3 | システム及び情報の重要度に応じて認証の強度及び実装方法を決定すること。 | |
| 4-1-4 | パソコン及びスマートデバイスにはロック制御を行うこと。 | |
| 4-4-1 | 情報機器、OS及びソフトウェアの安全な構成を確立し、維持すること。 | |
| 4-4-4 | 情報機器、OS及びソフトウェアへのセキュリティパッチ及びアップデートの適用に係る手続を定めること。 | |
| 4-4-5 | システムをマルウェア感染から保護すること。 | |
| 6-1-1 | セキュリティインシデントへの対応手順、対応体制等を定めること。 | |
| ★4 | ||
| ★4 | 1-2-2 | サイバー攻撃及び予兆を監視・分析をする体制を整備すること。 |
| 3-1-5 | リモートワークで使用する情報機器及び機密情報の条件についてのルールを定め、運用していること。 | |
| 3-2-1 | 脆弱性の管理体制、管理プロセスを定め、それに基づく管理を行うこと。 | |
| 4-1-9 | 可搬媒体の持込み・持出しを制限すること。 | |
| 4-3-1 | 情報機器及び情報システムの保管データを適切に暗号化するようルールを定め、周知すること。 | |
| 4-3-2 | データを適切な場所に保管するようルールを定め、周知すること。 | |
| 4-3-3 | 取引先との情報共有及び情報送信に関するルールを定め、周知すること。 | |
| 4-4-2 | サポート期限の切れたOS及びソフトウェアの利用停止及び更改を実施すること。 | |
| 4-5-1 | ネットワークを適切に分離し、境界部分を防護すること。 | |
| 5-1-2 | 情報機器及びソフトウェアの状態及び挙動を監視すること。 | |
※SS1/SS1クラウドだけですべての要求事項を満たすものではありません
※SS1/SS1クラウドで一部対応できる内容が異なります
対応する機能の詳細はこちら