セミナー情報サプライチェーン強化に向けたセキュリティ対策評価制度とは?今からおこなえる準備事項を解説
サプライチェーン強化に向けたセキュリティ対策評価制度とは、経済産業省が創設を進める新しいセキュリティ評価の仕組みです。
この制度は、サプライチェーン全体でのセキュリティ水準の向上を目的としており、2026年度以降の本格運用が予定されています。
本記事では、制度の概要や目的、具体的な評価基準、そして本格運用に向けて今からおこなえる準備について分かりやすく解説します。
・サプライチェーン強化に向けたセキュリティ対策評価制度の目的
・SCS評価制度への対策は、取引維持や新規案件獲得に直結する
・いつから始まる?制度の運用開始に向けた最新スケジュール
・自社はどれを目指す?評価レベル(★3~★5)の具体的な基準
・2026年の本格運用に備える!今から始めるべき3つの準備
・今から対策を検討している方には、IT資産管理ツールの導入がおすすめ
・まとめ
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)とは?
サプライチェーン強化に向けたセキュリティ対策評価制度(通称:SCS評価制度)とは、経済産業省が創設を進めている、サプライチェーンを構成する各組織のセキュリティ対策レベルを客観的に評価するための制度です。
この制度は、従来の自己宣言制度よりさらに高いレベルの対策を促し、サプライチェーン全体でのサイバー攻撃への耐性を高めることを目的としています。
なぜ今、サプライチェーン全体のセキュリティ強化が求められるのか
昨今、セキュリティ対策が強固な大手組織を直接狙うのではなく、取引先である中小組織などを経由して侵入するサプライチェーン攻撃が増加しています。
攻撃者は、相対的にセキュリティが手薄になりがちな関連組織を踏み台にし、最終的な標的への侵入を試みます。
このような攻撃による事業停止リスクは、自組織だけでなく取引先全体に波及する可能性があります。
そのため、個々の組織が対策をおこなうだけでは不十分であり、サプライチェーン全体で連携してセキュリティレベルを引き上げ、信頼性を確保することが不可欠な課題となっているのです。
「SECURITY ACTION セキュリティ対策自己宣言」との違い
「SECURITY ACTION」は、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度であり、「★1」や「★2」といった段階が設けられています。
これに対し、サプライチェーン強化に向けたセキュリティ対策評価制度は、その上位に位置づけられるものです。
自己宣言だけでなく、より客観的な指標や基準にもとづいて評価される点が大きな違いとなります。
例えば、新たに設定される「★3」から「★5」のレベルでは、自己評価に加えて専門家や第三者による審査や認証が求められるなど、対策の信頼性と実効性がより厳格に問われるようになります。
【最新情報】2025/12/26に新たな制度構成方針(案)が公開
2025年12月26日、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度の創設について(制度構成方針案)」を公表し、制度の具体的な方向性を示しました。
この方針案では、評価レベルを「★3」から「★5」の3段階で設定することが改めて明記されています。
| 想定される脅威 | 対策の基本的な考え方 | |
|---|---|---|
| ★3 | ・広く認知された脆弱性等を悪用する一般的なサイバー攻撃 | ・すべてのサプライチェーン企業が最低限実装すべきセキュリティ対策 |
| ★4 | ・供給停止等によりサプライチェーンに大きな影響をもたらす組織への攻撃 ・機密情報等、情報漏洩により大きな影響をもたらす資産への攻撃 | ・サプライチェーン企業等が標準的に目指すべきセキュリティ対策 |
| ★5 | ・未知の攻撃も含めた、高度なサイバー攻撃 | ・サプライチェーン企業等が到達点として目指すべき対策 |
また、それぞれのレベルで要求される事項の骨子も示されており、例えば★3・★4ではNIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークを参考にした基本的な対策および高度な対策が求められる見込みです。
この公表により、各組織は自社が目指すべきレベルを想定し、より具体的な準備をはじめることが可能になりました。
サプライチェーン強化に向けたセキュリティ対策評価制度の目的
サプライチェーン強化に向けたセキュリティ対策評価制度は、次の3つの効果を生み出すことを目的としています。
②発注組織への効果
③社会全体での効果
受注組織への効果
この制度に対応することで、組織は自社がどの程度のセキュリティ対策をおこなうべきか明確に把握できます。
また、統一された評価基準があることで、発注組織などに対する自社のセキュリティ対策状況の提示も容易になるでしょう。
加えて、具体的な要求事項が存在することによって、対策に要する費用やそれによって得られる効果がある程度可視化されるため、セキュリティ投資の費用対効果を組織内で説明しやすくなります。
発注組織への効果
発注組織にとっては、取引先に求めるセキュリティ対策の内容や水準を明確に決定できるだけでなく、その実施状況を適切に確認可能になるというメリットがあります。
これにより、従来の曖昧な基準での評価から脱却し、客観的な情報にもとづいたサプライヤー選定をおこなえるようになるのです。
さらに、取引先が適切なセキュリティ対策を実装することは、自組織におけるサプライチェーンリスクの低減にも役立つでしょう。
結果として、サイバー攻撃による事業停止や情報漏洩といった重大な事態を防ぎ、組織全体のレジリエンス(回復力)を高める効果までも期待できます。
社会全体での効果
個々のサプライチェーンリスクが低減されれば、日本経済全体のサイバーレジリエンスが底上げされ、より強固な社会を築くことにもつながっていきます。
また評価制度の運用は、セキュリティ製品やサービスの市場を活性化させ、セキュリティ産業全体の競争力を中長期的に向上させることにも貢献すると考えられます。
SCS評価制度への対策は、取引維持や新規案件獲得に直結する
この制度が本格的に運用されると、多くの発注組織が取引先を選定する際の基準として、本制度の評価レベルを活用することが予想されます。
例えば、取引の継続条件として「★3以上」の取得を求めたり、新規案件の入札要件に評価レベルを含めたりするケースが増えるかもしれません。
本制度への対応は、単なるセキュリティ対策の枠組みを超え、事業を継続し、新たなビジネスチャンスを掴むための重要な経営課題であるといえるのです。
対策を怠れば既存の取引を失うリスクにもつながりかねないことから、「セキュリティ対策コストは単なる支出ではなく、組織の信用と将来の収益を守るための戦略的な投資である」とする見方も増えてきています。
この制度への対応は、将来の売上を確保し、さらなる成長へとつなげるための必要不可欠な先行投資であることを、経営者や情報システム担当者はしっかりと理解しておきましょう。
いつから始まる?制度の運用開始に向けた最新スケジュール
経済産業省が公表した情報によると、本制度は段階的に準備が進められています。
2025年4月14日には、制度の方向性を示した「中間とりまとめ」が公開されました。
その後、有識者による検討会での議論を経て、2025年12月26日には具体的な「制度構成方針(案)」が示されました。
今後は、この方針案にもとづき、さらに詳細な基準や評価方法が策定される予定です。
本格的な運用は2026年度以降開始を目標に準備が進められており、組織にはそれにあわせた計画的な対応が求められています。
自社はどれを目指す?評価レベル(★3~★5)の具体的な基準
本制度では、組織のセキュリティ対策レベルに応じて「★3」から「★5」までの3段階の評価レベルが設定される予定です。
それぞれのレベルは、対象となる組織の事業内容やサプライチェーンにおける役割に応じて、達成すべき目標が異なります。
自社の事業内容や取引先から求められるセキュリティ水準を考慮し、どのレベルを目標とするか早期に検討をはじめることが重要です。
すべての事業者が目指すべき最低ライン「★3」の要求事項
「★3」は、サプライチェーンを構成するすべての組織が達成を目指すべき基礎的なセキュリティレベルとして位置づけられています。
このレベルの目標は、NISTのサイバーセキュリティフレームワーク(CSF)における「統治」「識別」「防御」「検知」「対応」「復旧」という6つの分類に、「取引先管理」に関する内容を加えた7分類において、対策がバランスよく実施されている状態です。
具体的には、IT資産の把握、アクセス管理、バックアップの取得、基本的な脅威検知といった、事業継続に不可欠なサイバーセキュリティ対策を網羅的に実践することが求められます。
特に重要な役割を担う事業者に求められる「★4」の要求事項
「★4」は、ITベンダーや重要インフラに関わる組織など、発注者からみてサプライチェーンのなかで特に重要な役割を担う組織を対象としています。
このレベルの目標は、★3の要求事項をすべて満たしたうえで、さらに高度なセキュリティ対策を実践することです。
例えば、インシデント発生時に詳細な原因究明をおこなうためのログ管理体制の強化や、より専門的な脅威インテリジェンスの活用などが想定されます。
取引先に対して高いレベルのセキュリティ保証が求められる組織は、★4の達成を目標とすることが望ましいと考えられます。
最高レベルのセキュリティ対策を示す「★5」の要求事項
「★5」は、サプライチェーン企業が到達点として最終的に目指すべきとされる段階です。
このレベルを達成する目標として、国際的にも非常に厳格なセキュリティ基準への準拠が必要になると想定されます。
ただし、★5の内容は現時点で具体的には明示されていません。詳細は2026年度以降に検討が予定されています。
2026年の本格運用に備える!今から始めるべき3つの準備
2026年度以降の本格運用開始に向けて、すべての組織は計画的に準備をはじめる必要があります。
ここからは、今から対策をはじめる組織の担当者に向け、3つの施策例をご紹介します。
Step1. 自社の現状を把握するセキュリティレベルの自己評価
最初のステップは、自社のセキュリティ対策が現在どのような状況にあるかを客観的に評価することです。
IPA(情報処理推進機構)が公開している「サイバーセキュリティ経営ガイドライン」や「中小企業の情報セキュリティ対策ガイドライン」などを活用し、自己評価をおこなうとよいでしょう。
具体的には、組織内で使用しているPCやサーバー、ソフトウェアなどのIT資産をすべて洗い出し、誰がどのような権限でアクセスしているか、重要なデータはどこに保管されているかなどを明確にするといった施策が有効です。
こうした現状把握を通じて、既存の対策の見直しや潜在的なリスクを特定することが、対策の第一歩となります。
Step2. 目標レベル(★3 or ★4)とのギャップを特定する
自己評価によって自社の現状を把握したら、次に目指すべき目標レベル(多くの場合「★3」)の要求事項と照らしあわせ、対策が不足している項目を具体的に洗い出します。 このギャップ分析により、どこに課題があるのかが明確になります。
例えば、「資産管理はできているが、バックアップのルールが曖昧」「ウイルス対策ソフトは導入しているが、ログの監視体制がない」といった具体的な課題をリストアップします。
この作業を通じて、優先的に取り組むべき対策の見直しポイントが明らかになり、効率的な改善計画を立てるための土台ができます。
★3・★4の具体的な要求事項は、経済産業省の公式サイトですでに公開されているため、あらかじめダウンロードしておくとよいでしょう。
Step3. 対策の実行と継続的な改善体制を構築する
ギャップ分析で特定した課題に対し、具体的な対策を実行していきます。
対策には、新たなツールの導入、セキュリティ規程の策定や見直し、従業員への教育・訓練などが含まれます。
重要なのは、一度対策をおこなったら終わりにするのではなく、その効果を定期的に評価し、改善を続ける体制を構築することです。
例として、脆弱性診断を定期的におこない、新たな脅威に対応できるように対策を更新していくPDCAサイクルを確立することなどが挙げられます。
このような継続的な取り組みこそが、真に実効性のあるセキュリティ体制の構築につながるのです。
今から対策を検討している方には、IT資産管理ツールの導入がおすすめ
サプライチェーン強化に向けたセキュリティ対策評価制度への対応を効率的に進めるうえで、IT資産管理ツールは非常に有効なソリューションの一つです。
例えばディー・オー・エスが提供するIT資産管理ツール「SS1」およびクラウド型ツール「SS1クラウド」には、サプライチェーン強化に向けたセキュリティ対策評価制度に役立つ機能が多く含まれています。
インベントリ収集による台帳自動作成機能を活用して自組織の「現状把握」をおこなえるだけではなく、Windows OSの更新プログラム管理・USBメモリの使用制限機能などによって、サプライチェーン強化に向けたセキュリティ対策評価における★3・★4の内容に対応可能です。
SS1/SS1クラウドの詳細な製品情報や機能については、ぜひ概要資料をダウンロードしてご確認ください。
まとめ
サプライチェーン強化に向けたセキュリティ対策評価制度は、今後の組織間取引における新たなスタンダードとなる可能性を秘めています。
この制度で評価されることは、自社のセキュリティレベルを客観的に証明し、取引先からの信頼を獲得することに直結します。
特にサプライチェーンを構成する中小企業にとって、本制度への対応は事業継続のための重要な課題です。
本格運用がはじまる前に、自社の現状を把握し、目標レベルとのギャップを埋めるための準備を早期にはじめることが、すべての組織に求められています。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
