セミナー情報2026年度に開始されるSCS評価制度(セキュリティ対策評価制度)とは?
企業のセキュリティ対策の状況を可視化・評価する制度として、「SCS評価制度(セキュリティ対策評価制度)」の運用が2026年度に始まる予定です。
サプライチェーンへのサイバー攻撃が増加するなか、取引先のセキュリティ対策を客観的に把握する仕組みとして注目されており、情報システム担当者にとっても無視できない制度です。
SCS評価制度が始まる理由
IPA(独立行政法人情報処理推進機構)が毎年発行している「情報セキュリティ10大脅威」では、2023年から2026年にかけて4年連続で、組織編の第2位に「サプライチェーン」に関連した攻撃がランクインしています。
この背景には、大企業だけがセキュリティを強化しても、取引先や委託先のセキュリティが脆弱であれば、そこを経由して攻撃を受けるリスクがあることが挙げられます。このように、サプライチェーンへのサイバー攻撃が増加する中、自社だけでなく取引先のセキュリティを把握することが求められます。
これまでも、「SECURITY ACTION セキュリティ対策自己宣言」という、中小企業が情報セキュリティ対策に取り組んでいることを自己宣言する制度がありました。この制度では、取り組み段階に応じて、「★ 一つ星」と「★★ 二つ星」がありました。
あくまでも宣言するだけで、IPAなどによって認定される制度ではありませんでした。
そんな中、今回のSCS評価制度は、自社のセキュリティ対策の実施状況を「第三者が評価」し、星の数で格付けする仕組みです。評価レベルは★3、★4、★5の3段階が設定されており、順にセキュリティ対策の水準が上がっていきます。
★5の詳細な要件については、2026年度以降に検討、公表される予定で、制度開始時点では★3、★4の運用が先行して始まります。
従来は「取引先のセキュリティ対策が実際にどの程度なのかが外部からは判断しにくい」「複数の取引先からそれぞれ異なる対策を要求され、対応コストがかかる」といった課題がありました。SCS評価制度はこれらを解決し、業界を問わず通用する「共通の評価指標」を提供することを目指しています。
情報システム担当者への影響
SCS評価制度が始まると、発注側企業が調達条件に「★3以上の取得」などを要件として盛り込む可能性があります。
政府関連の入札や大企業との取引においては、このような動きが広がることが予想されるため、情報システム担当者としては、現在の自社のセキュリティ対策状況を評価基準に照らし合わせ、不足しているものを把握し、対応することが急務です。
★3相当の基準は、多くの企業にとってはそれほど難しい内容ではありませんが、対策状況の「記録・文書化」が求められる点に注意が必要です。日頃から実施しているパッチ管理やアクセス制御、インシデント対応手順などを、証拠として示せる形で整備しておく必要があります。
また、クラウドサービスや外部委託先の管理についても評価対象に含まれる可能性があります。自社内だけでなく、SaaS・IaaS・PaaSの利用状況や委託先のセキュリティレベルを把握し、管理する体制づくりが求められます。
なお、★3は自己評価に加えて、情報処理安全確保支援士などのセキュリティ専門家による確認で認定されます。
具体的には、適用範囲を決定し、自己評価のあとに専門家の審査があり、経営層の宣誓の後、IPAに提出し、登録・公開となります。この有効期間は1年で、毎年更新が必要です。
一方、★4は第三者の認定評価機関による現場・書類審査が必要です。毎年、自己評価を実施し、結果を評価機関へ提出する必要はありますが、有効期間は3年です。
今からできる準備
制度の詳細はまだ確定していない部分もありますが、情報システム担当者として今から取り組んでおくべきことがあります。
たとえば、中小企業情報セキュリティ対策ガイドライン(第4.0版)はすでに公開されており、SCS評価制度の基本的な考え方を取り込んだ内容に改訂されているため、参考になるでしょう。
この記述に沿って、まずは現状のセキュリティ対策の棚卸しから始めることになります。アクセス管理や脆弱性管理、ログ監視、バックアップ、インシデント対応計画といった、基本的な対策が実施されていることだけでなく文書化され、記録されていることを確認します。
そのうえで、中小企業としては「サイバーセキュリティお助け隊サービス」を活用することも考えられます。このサービスを利用することで、★3や★4を比較的安価かつ簡便に取得できる仕組みが提供される予定です。
コスト面での懸念がある場合は、この仕組みを視野に入れておくとよいでしょう。
経営層への説明も重要な役割です。SCS評価制度の取得が、単なるコストではなく取引先への信頼性証明やビジネス継続性の確保につながることを伝え、予算・人員の確保に向けた働きかけを行うことが必要です。
まとめ
SCS評価制度は、自社のセキュリティ対策を可視化し、取引先や発注元に客観的な形で示すための仕組みです。2026年度の制度開始に向けて、情報システム担当者には、現状把握と文書整備を中心に早めの準備を進めることが求められます。
制度への対応は一朝一夕にできることではありません。日々のセキュリティ運用をきちんと記録する習慣をつけることが、結果としてSCS評価制度への対応にもつながります。
制度の最新情報は経済産業省のWebサイトで公開されているため、定期的に確認するようにしましょう。
増井 敏克氏(ますい としかつ)増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。
「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。
著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。
