セミナー情報SCS評価制度(セキュリティ対策評価制度)とは?制度開始に向けておこなうべき準備事項を解説
サプライチェーン強化に向けたセキュリティ対策評価制度とは、経済産業省が創設を進める新しいセキュリティ評価の仕組みです。
この制度は、サプライチェーン全体でのセキュリティ水準の向上を目的としており、2026年度以降の本格運用が予定されています。
本記事では、制度の概要や目的、具体的な評価基準、そして本格運用に向けて今からおこなえる準備について分かりやすく解説します。
・セキュリティ対策評価制度の目的
・SCS評価制度の仕組み
・各レベル(★3~★5)の具体的な要求事項・評価基準
・星評価を取得する方法
・いつから始まる?制度の運用開始に向けた最新スケジュール
・本格運用に備える!今から始められる準備事項とは?
・今から対策を検討している方におすすめの制度やツール
・よくある疑問:SCS評価制度と既存制度・ガイドラインの違い ・まとめ
SCS評価制度とは?
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)とは、サプライチェーンを構成する各組織のセキュリティ対策レベルを客観的に評価するための制度です。
この制度は、従来のSECURITY ACTION セキュリティ対策自己宣言制度よりさらに高いレベルの対策を促し、サプライチェーン全体でのサイバー攻撃に対する体制強化を目的としています。
サプライチェーン全体のセキュリティ強化が求められる背景
昨今、セキュリティ対策が強固な大手組織を直接狙うのではなく、取引先である中小組織などを経由して侵入するサプライチェーン攻撃が増加しています。
攻撃者は、相対的にセキュリティが手薄になりがちな関連組織を踏み台にし、最終的な標的への侵入を試みます。
このような攻撃による事業停止リスクは、自組織だけでなく取引先全体に波及する可能性があります。
そのため、個々の組織が対策をおこなうだけでは不十分であり、サプライチェーン全体で連携してセキュリティレベルを引き上げ、信頼性を確保することが不可欠な課題となっているのです。
セキュリティ対策評価制度の目的
サプライチェーン強化に向けたセキュリティ対策評価制度は、次の3つの効果を生み出すことを目的としています。
②発注組織への効果
③社会全体での効果
受注組織への効果
この制度に対応することで、組織は自社がどの程度のセキュリティ対策をおこなうべきか明確に把握できます。
また、統一された評価基準があることで、発注組織などに対する自社のセキュリティ対策状況の提示も容易になるでしょう。
加えて、具体的な要求事項が存在することによって、対策に要する費用やそれによって得られる効果がある程度可視化されるため、セキュリティ投資の費用対効果を組織内で説明しやすくなります。
発注組織への効果
発注組織にとっては、取引先に求めるセキュリティ対策の内容や水準を明確に決定できるだけでなく、その実施状況を適切に確認可能になるというメリットがあります。
これにより、従来の曖昧な基準での評価から脱却し、客観的な情報にもとづいたサプライヤー選定をおこなえるようになるのです。
さらに、取引先が適切なセキュリティ対策を実装することは、自組織におけるサプライチェーンリスクの低減にも役立つでしょう。
結果として、サイバー攻撃による事業停止や情報漏洩といった重大な事態を防ぎ、組織全体のレジリエンス(回復力)を高める効果までも期待できます。
社会全体での効果
個々のサプライチェーンリスクが低減されれば、日本経済全体のサイバーレジリエンスが底上げされ、より強固な社会を築くことにもつながっていきます。
また評価制度の運用は、セキュリティ製品やサービスの市場を活性化させ、セキュリティ産業全体の競争力を中長期的に向上させることにも貢献すると考えられます。
SCS評価制度の仕組み
本制度は、各組織が所定の基準に沿ってセキュリティ対策を実施し、専門家または第三者機関によって確認を受けたのち、評価内容を事務局に提出することで★3から★5のレベル認定を受ける仕組みです。
具体的な評価の流れについては後述の章をご覧ください。
取得した評価は台帳に登録・公開され、発注組織が取引先のセキュリティレベルを確認する際に参照できるようになります。
SCS評価制度の対象組織
SCS評価制度の実施主体としては、2社間の契約における受注者側であるといわれています。ただし、発注者側に一切の責任やタスクが生じないというわけではありません。
2社間の協力が必要なセキュリティ対策を実施する場合には、発注者側にも一定の役割が期待されています。
ちなみに、評価の申請主体は主に法人・個人事業主単位が想定されますが、妥当性が認められた場合には法人における「事業部単位」「グループ単位」を申請主体とすることも可能です。
評価制度の対象範囲
評価制度が適用される範囲として、「IT基盤」と「外部ネットワーク境界」の2点が挙げられます。
これら以外の製造環境などにおける制御(OT)システムや、評価取得を希望する組織の管理・運用下にない機器は、本制度では対象外となる点には注意しましょう。
IT基盤と外部ネットワーク境界の概要は以下の通りです。
対象範囲①:IT基盤
ここでいうIT基盤とは、全体の業務に共通するサーバーや、人が使用するインターフェースをもったエンドポイント機器を指します。
また、他社間でセキュリティ対策の責任を共有するようなサービス・ネットワークも対象です。
・Webサーバーやメールサーバーなどのインターネットに公開されているサーバー
・PCやスマートデバイス
・クラウドサービスやグループ組織共通のネットワーク
ほか
対象範囲②:外部ネットワーク境界
外部ネットワーク境界とは、社内/社外ネットワークの境界に存在しているネットワーク機器のことです。
経産省の資料内では、「他組織の内部システムへ接続する際の境界を構成する機器を含む」とも記載されています。
・ファイアウォールやルーター、VPN装置など
各レベル(★3~★5)の具体的な要求事項・評価基準
本制度では、組織のセキュリティ対策レベルに応じて「★3」から「★5」までの3段階の評価レベルが設定されています。
上位の段階はそれ以下の段階で求められる事項を網羅しているため、「★4や★5を取得するために、★3評価から獲得する必要がある」というわけではありません。
各評価段階の主な内容は、IPAが公開している資料のなかに詳細な記載があります。
| ★3 | ★4 | ★5 | |
|---|---|---|---|
| 想定される脅威 | 広く認知された脆弱性等を悪用する一般的なサイバー攻撃 |
サプライチェーンに大きな影響をもたらす企業への攻撃 機密情報等、情報漏洩により大きな影響をもたらす資産への攻撃 |
未知の攻撃を含めた高度なサイバー攻撃 |
| 対策の基本的な考え方 | 最低限実装すべき対策 | 標準的に目指すべき対策 | 現時点でのベストプラクティスに基づく対策 |
| 要求事項数 | 26件 | 43件 | 今後検討 |
| 有効期間 | 1年 | 3年 | |
| 評価スキーム | 専門家確認付き自己評価 | 第三者評価 | |
| ベンチマーク |
・自工会/部工会ガイドラインLv1 ・Cyber Essentials |
・自工会/部工会ガイドラインLv2~3(Lv3については一部の項目) ・分野別ガイドラインなど |
・ISO/IEC27001 ・自工会/部工会ガイドラインLv3など |
また、2026年3月には★3・★4についてさらに詳細な要求事項が公開されました。
NIST Cyber Security Framework(NIST CSF)に対応した6つの分類に「取引先管理」を加えた7分類において、それぞれの段階ごとに達成すべき対策が挙げられています。
すべての事業者が目指すべき最低ライン「★3」
★3は、サプライチェーンに参加するすべての事業者が達成すべき、基本的なセキュリティ対策レベルとして位置づけられています。
取引先から最低限求められる基準となる可能性が高く、多くの組織にとって最初の目標となるでしょう。
要求事項には、IT資産の管理、アクセス制御、マルウェア対策、脆弱性への対応といった項目が含まれます。
特に重要な役割を担う事業者に求められる「★4」
★4は、★3の要求事項をすべて満たしたうえでさらに高度で厳格なセキュリティ対策を実施している組織に与えられる評価です。
重要インフラを支える組織や機密性の高い情報を取り扱う組織、大規模組織の基幹システムに深く関わるサプライヤーなどが対象として想定されます。
★4の要求事項には、脆弱性管理体制の構築や、多層防御による侵入リスクの低減策などが盛り込まれています。
最高レベルのセキュリティ対策を示す「★5」
★5は、現時点で想定される最高レベルの評価であり、国の安全保障にも関わるような極めて重要なシステムや情報を扱う事業者が対象となります。
国際的に見ても最高水準のセキュリティ対策が要求される見込みです。
2026年5月現在、★5の具体的な要求事項や評価基準はまだ策定されておらず、今後の検討課題とされています。
そのため、ほとんどの組織にとってはまず★3、必要に応じて★4の取得を目指すことが現実的な目標となり、★5に関する動向は継続的に注視していく必要があります。
星評価を取得する方法
星評価の取得は、事業者がまず要求事項に基づき自己評価をおこなうことから始まりますが、その後のプロセスは目指す評価レベルによって異なります。
現時点(2026年5月現在)で公開されている★3・★4評価の取得方法については以下の通りです。
★3評価:専門家確認付き自己評価
★3評価では、セキュリティ専門家による確認を経た自己評価を実施する必要があります。
| プロセス | 所要期間 (想定) |
実施内容 |
|---|---|---|
| 自己評価 | ─ | ★3要求事項・評価基準に基づき自己評価を記入する |
| 文書確認 | 1日~2日程度 | 「セキュリティ専門家」に自己評価内容を確認してもらう |
| 不適合の指摘・改善 | ─ |
結果に不適合があった場合、セキュリティ専門家の助言を受けながら適宜是正対応を実施 最終的にセキュリティ専門家による了承が得られれば、事務局への提出内容に関して署名がおこなわれる |
| 結果提出 | ─ | 事務局に、経営層による自己適合宣誓も含んだ評価結果(セキュリティ専門家による署名入り)を提出する |
| 評価獲得 | ─ | 事務局によって内容が確認され、問題なければ台帳に登録⇒★取得情報を一般公開 |
セキュリティ専門家とは?
「セキュリティ専門家」とは、「情報処理安全確保支援士」「公認情報セキュリティ監査人」「CISSP」「CISM」「CISA」「ISO27001主任審査員」などの資格をもち、かつ制度側が指定した研修を受講した者を指します。
言い換えればITSSレベル4相当以上の実力をもつ者と定義してもよいでしょう。
セキュリティ専門家は、要件を満たせば組織内の人物を指定することが可能です。しかし、こうした専門知識をもつ人材が必ずしも組織に在籍しているとは限りません。
そこで経産省は、今後「情報処理安全確保支援士(登録セキスペ)」の有資格者のうち、セキュリティ専門家として依頼を受けられる人材を育成し、そのリストを整備・公開するとしています。
セキュリティ専門家を組織内で用意できない場合は、こうしたサービスの利用も検討することをおすすめします。
★4評価:第三者評価
★4評価を得る際は、★3評価と比較してより厳密な審査がおこなわれます。
| プロセス | 所要期間 (想定) |
実施内容 |
|---|---|---|
| 自己評価 | ─ | ★4要求事項・評価基準に基づき自己評価を記入する |
| 文書確認 | 1日~2日程度 | 「評価機関」に自己評価内容を確認してもらう |
| 実地調査 | 1日~2日程度(*) |
重要度の高い対応事項について、証跡確認を含めた調査を実施 【確認事項例】 ・脆弱性の管理体制、管理プロセス ・セキュリティインシデント対応手順 ・事業継続要件に沿った復旧準備 |
| 技術検証 | 1日~2日程度(*) | インターネットに公開している機器のうち、侵入リスクが高いもの(例:VPN装置やルーター)を対象として脆弱性検査を実施 |
| 不適合の指摘・改善 | 一定期間 | 不適合事項の指摘時から一定期間内に是正報告を提出 |
| 結果提出 | ─ | 事務局に評価結果を提出する |
| 評価獲得 | ─ | 事務局によって内容が確認され、問題なければ台帳に登録⇒★取得情報を一般公開 |
*事前準備や報告書の作成期間は除く
このように、要件を満たせばほぼ組織内で完結できる★3評価とは異なり、★4評価では組織外の機関によって評価がおこなわれます。
さらに、管理対象機器に対する一般的な攻撃パターンの試行といった「脆弱性検査」が実施されるという点も大きな特長です。
評価の更新方法
★3は1年、★4は3年と、それぞれ評価の有効期間が存在します。これらを更新する場合、下記のような対応が必要です。
| ★3 | ★4 | |
|---|---|---|
| 有効期間 | 1年 | 3年 |
| 必要な手続き | 要求事項の遵守状況について、セキュリティ専門家の確認・助言を経た自己評価の更新版を1年ごとに事務局へ提出 | 有効期間内は、1年ごとに自己評価を実施し、結果を評価機関に提出 有効期限を更新する際は、第三者評価を受ける |
ちなみに、社内規定の大幅な変更や管理対象端末・サーバーの大規模なリプレイス、クラウド基盤への移行など、有効期間中に★評価の適用範囲に変更が生じた際には、再度本審査を受けなおすこととなります。
いつから始まる?制度の運用開始に向けた最新スケジュール
経済産業省が公表した情報によると、本制度は下記のスケジュールに沿って段階的に準備が進められています。
上記の通り、本格的な運用は2026年度以降開始を目標に準備が進められているため、組織にはそれにあわせた計画的な対応が求められています。
本格運用に備える!今から始められる準備事項とは?
2026年度以降の本格運用開始に向けて、すべての組織は計画的に準備をはじめる必要があります。
ここからは、今から対策をはじめる組織の担当者に向け、3つの施策例をご紹介します。
Step1. 自社の現状を把握するセキュリティレベルの自己評価
最初のステップは、自社のセキュリティ対策が現在どのような状況にあるかを客観的に評価することです。
経済産業省が策定している「サイバーセキュリティ経営ガイドライン」やIPA(情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」などを活用し、自己評価をおこなうとよいでしょう。
具体的には、組織内で使用しているPCやサーバー、ソフトウェアなどのIT資産をすべて洗い出し、誰がどのような権限でアクセスしているか、重要なデータはどこに保管されているかなどを明確にするといった施策が有効です。
こうした現状把握を通じて、既存の対策の見直しや潜在的なリスクを特定することが、対策の第一歩となります。
Step2. 目標レベル(★3 or ★4)とのギャップを特定する
自己評価によって自社の現状を把握したら、次に目指すべき目標レベル(多くの場合「★3」)の要求事項と照らしあわせ、対策が不足している項目を具体的に洗い出します。
このギャップ分析により、どこに課題があるのかが明確になります。
例えば、「資産管理はできているが、バックアップのルールが曖昧」「ウイルス対策ソフトは導入しているが、ログの監視体制がない」といった具体的な課題をリストアップするとよいでしょう。
この作業を通じて、優先的に取り組むべき対策の見直しポイントが明らかになり、効率的な改善計画を立てるための土台をつくることが可能です。
経済産業省「★3・★4要求事項及び評価基準案」
前述の通り、★3・★4の具体的な要求事項は、経産省の公式サイトで「★3・★4要求事項及び評価基準案」としてすでに公開されています。あくまでも現時点では「案」の段階である点は注意が必要ですが、各施策のレベルを把握するのに有用です。
現状とのギャップを確認する場合は、本資料をチェックシートとして活用することをおすすめします。
Step3. 対策の実行と継続的な改善体制を構築する
ギャップ分析で特定した課題に対し、具体的な対策を実行していきます。
対策には、新たなツールの導入、セキュリティ規程の策定や見直し、従業員への教育・訓練などが含まれます。
重要なのは、一度対策をおこなったら終わりにするのではなく、その効果を定期的に評価し、改善を続ける体制を構築することです。
例として、脆弱性診断を定期的におこない、新たな脅威に対応できるように対策を更新していくPDCAサイクルを確立することなどが挙げられます。
このような継続的な取り組みこそが、真に実効性のあるセキュリティ体制の構築につながるのです。
今から対策を検討している方におすすめの制度やツール
SCS評価制度への対応を検討する組織に向けて、経産省やIPAはさまざまな導入促進策を検討しています。
対応に不安がある場合は、こうした施策もチェックしておきましょう。
導入支援策として特に注目したいのが、★3・★4評価の取得サポートをおこなう「サイバーセキュリティ対策お助け隊サービス(新類型)」「中小企業向けサイバーセキュリティ対策支援者リスト」の2つです。
また、これから対策をはじめるにあたっては、資産管理などの基本的な事項を網羅できる「IT資産管理ツール」もおすすめとなります。
サイバーセキュリティ対策お助け隊サービス(新類型)
そもそもサイバーセキュリティお助け隊サービスは、セキュリティ対策の進め方やコスト面に課題を抱える中小規模の組織を支援するために、国が認定した民間のセキュリティサービスです。
24時間の異常監視や緊急時の駆け付け支援、相談窓口、サイバー保険などがワンパッケージ化されており、安価に利用できます。
SCS評価制度においては、★3や★4の要求事項のうち未達成の項目を、このサービスの導入によって補完することが想定されています。
令和8年度末ごろの制度開始にあわせ、新類型としての基準案公表や先行版のサービスインが予定されており、自社のみでの対応が困難な組織にとって有効な選択肢となる見込みです。
中小企業向けサイバーセキュリティ対策支援者リスト
「中小企業向けサイバーセキュリティ対策支援者リスト」は、国家資格である情報処理安全確保支援士のうち、中小規模の組織に対する支援が可能な専門家を可視化したリストです。各専門家の得意分野や対応領域がまとめられており、自組織の対策を相談する相手を探す際に役立ちます。
SCS評価制度の本格運用後は、★3評価を取得するために必要な確認や助言をおこなうセキュリティ専門家についても本リストに順次掲載される予定です。
自組織にセキュリティの専門人材が不足している場合でも、このリストを活用して適切な外部アドバイザーをみつけることで、円滑に評価制度への対応を進められるようになります。
資産管理面などの要求事項へ対応できるIT資産管理ツール
サプライチェーン強化に向けたセキュリティ対策評価制度への対応を効率的に進めるうえで、IT資産管理ツールは非常に有効なソリューションの一つです。
例えばディー・オー・エスが提供するIT資産管理ツール「SS1」およびクラウド型ツール「SS1クラウド」には、サプライチェーン強化に向けたセキュリティ対策評価制度に役立つ機能が多く含まれています。
インベントリ収集による台帳自動作成機能を活用して自組織の「現状把握」をおこなえるだけではなく、Windows OSの更新プログラム管理・USBメモリの使用制限機能などによって、サプライチェーン強化に向けたセキュリティ対策評価における★3・★4の内容に対応可能です。
SS1/SS1クラウドの詳細な製品情報や機能については、ぜひ概要資料をダウンロードしてご確認ください。
よくある疑問:SCS評価制度と既存制度・ガイドラインの違い
SCS評価制度は、既存のセキュリティ認証やガイドラインを置き換えるものではなく、それらと相互に補完しあう関係にあります。
各制度は目的や対象・評価の観点が異なるため、それぞれの違いを理解することが重要です。
「SECURITY ACTION セキュリティ対策自己宣言」との違い
「SECURITY ACTION」は、中小組織自らが情報セキュリティ対策に取り組むことを自己宣言する制度であり、「★1」や「★2」といった段階が設けられています。
これに対し、SCS評価制度(★3~★5)はその上位に位置づけられるものです。
自己宣言だけでなく、より客観的な指標や基準にもとづいて評価される点が大きな違いとなります。
もし、SCS評価制度への対応に対してハードルの高さを感じている場合は、まずは準備段階として本制度への取り組みから始めることをおすすめします。
ISMS・Pマークとの違い
ISMS(情報セキュリティマネジメントシステム)認証は、組織が情報セキュリティを管理する「仕組み」が国際規格(ISO/IEC27001)に適合しているかを評価するものです。
またPマーク(プライバシーマーク)は、個人情報の取り扱いに関する体制が適切であるかを評価します。
両制度はリスクの特定・分析・評価を経て「組織に必要なセキュリティ施策を考えられる」仕組みづくりに焦点が当たっており、実施するセキュリティ対策自体を自社で検討しなければなりません。
これに対しSCS評価制度は、サプライチェーンのセキュリティ確保という特定の目的に焦点を当て、具体的な技術的・組織的対策が要求事項の通りに実施されているかという「実践状況」を評価する点で異なります。何を実施するべきかを検討する負担がある程度緩和されるという点がメリットです。
特にISMSとSCS評価制度は相互補完的な関係をとることが示唆されていますが、これらは根本的に異なる制度であると理解しておきましょう。
自工会ガイドラインとの違い
自工会/JAPIAサイバーセキュリティガイドラインは、日本自動車工業会と日本自動車部品工業会が策定した、自動車産業に特化したセキュリティ基準です。
業界固有のサプライチェーンリスクを想定した詳細な要件が定められています。
一方、SCS評価制度は特定の業界に限定されず、日本のあらゆるサプライチェーンで汎用的に利用できることを目指した制度です。
まとめ
サプライチェーン強化に向けたセキュリティ対策評価制度は、今後の組織間取引における新たなスタンダードとなる可能性を秘めています。
この制度で評価されることは、自社のセキュリティレベルを客観的に証明し、取引先からの信頼を獲得することに直結します。
特にサプライチェーンを構成する中小規模の組織にとって、本制度への対応は事業継続のための重要な課題です。
本格運用がはじまる前に、自社の現状を把握し、目標レベルとのギャップを埋めるための準備を早期にはじめることが、すべての組織に求められています。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
