【無料ウェビナー 6月3日開催!】SCS評価制度、何から手をつければいい?
サプライチェーンを狙ったサイバー攻撃が深刻化するなか、取引先も含めたセキュリティレベルの把握と、サプライチェーン全体での水準向上が急務になっています。こうした背景から経済産業省が創設したのが「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」です。
本記事では、★1〜★5の評価レベルの違いや対象企業の範囲、開始時期、ISMSなど既存制度との関係、そして今から始められる準備ステップまでをまとめて解説します。
【無料相談開催中!】SCS評価制度についての疑問点や不安点、なんでもお問い合せください
SCS評価制度の正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」で、SCSは「Supply Chain Security」の略です。経済産業省と内閣官房国家サイバー統括室が主導し、企業のセキュリティ対策状況を共通基準で評価・可視化することで、サプライチェーン全体のセキュリティ水準の向上を目指しています。
ポイントは、PCI DSS のような強制力を持つ規格とは異なり、認証取得を希望する企業が自主的に申請する任意の制度であるという点です。対策状況を共通の物差しで「見える化」することで、サプライチェーン全体の底上げを図る仕組みといえます。順に見ていきましょう。
※ 参照:経済産業省|SCS評価制度の構築方針を公表しました
近年、サプライチェーンを狙ったサイバー攻撃は増え続けており、IPAが公表した「情報セキュリティ10大脅威 2026」でも、「サプライチェーンや委託先を狙った攻撃」が上位に挙げられています。セキュリティが比較的手薄な取引先を踏み台にして大企業へ侵入する手口は、もはや定番の攻撃パターンのひとつです。こうした脅威に対し、従来は受注者ごとに独自のチェックシートやアンケートでセキュリティレベルを確認するのが一般的でした。しかし、この方法では受注者側は複数の発注者(委託元)からそれぞれ異なるフォーマットへの回答対応に追われる「回答疲れ」が生じ、発注者側も多数の受注者(委託先)へのアンケート送付・回収・評価といったプロセスへの「評価疲れ」が生じていました。双方にとって非効率な状態が常態化していたのです。こうした状況が重なり、サプライチェーン全体のセキュリティ対策が業界共通の課題として認識されるようになっています。
※ 参照:IPA|情報セキュリティ10大脅威 2026
※ 参照:経済産業省|SCS評価制度の構築方針を公表しました
SCS評価制度は、既存制度を土台にした階層構造をとっています。★1・★2はSCS評価制度の段階として設けられているわけではなく、IPAが運営する自己宣言制度「SECURITY ACTION」と接続される形で設計されています。SCS評価制度で新設されたのは★3以降です。自己宣言ではなく、セキュリティ専門家や第三者評価機関による確認が入る点が大きな違いです。各段階には有効期間も設けられており、★3は年次更新、★4は3年(年次での自己評価が必要)、★5は検討中となっています。★3〜★5の概要を以下にまとめました。
| ★3 | ★4 | ★5 | |
|---|---|---|---|
| 想定される脅威 | 広く認知された脆弱性等を悪用する一般的なサイバー攻撃 | サプライチェーンに大きな影響を及ぼす企業への攻撃、機密情報の漏えいリスク | 未知の攻撃を含む高度なサイバー攻撃 |
| 対策の考え方 | すべてのサプライチェーン企業が最低限実装すべき対策 | 標準的に目指すべき包括的な対策(ガバナンス・検知・対応を含む) | 到達点として目指すべきベストプラクティス |
| 評価方式 | 専門家確認付き 自己評価 |
第三者評価 | 第三者評価 |
| 有効期間 | 年次更新 | 3年(年次での自己評価が必要) | 検討中 |
| 要求事項・評価基準 | 26項目 (評価基準81項目) |
43項目 (評価基準153項目) |
検討中 |
| 対応ガイドライン | ・自工会/部工会ガイドラインLv1 ・Cyber Essentials 等 ※★3で対処する脅威等に照らして精査し、対策事項を抽出 |
・自工会/部工会ガイドラインLv2~3相当(Lv3は一部項目) ・分野別ガイドライン 等 ※★4で対処する脅威等に照らして精査し、対策事項を抽出 |
・自工会/部工会ガイドラインLv 3 ・ISO/IEC27001 等 |
★3の要求事項は26項目(評価基準81項目)、★4は43項目(評価基準153項目)で構成されており、いずれもNIST CSF(サイバーセキュリティフレームワーク)が定める6つの機能に対応した分類に、取引先管理の分類を加えた合計7分類がベースになっています。なお、上位レベルは下位を包括する設計のため、★3を先に取得しなくても★4を直接取得することができます。
※ 参照:経済産業省|SCS評価制度の構築方針を公表しました
「自社は対象になるのか」は、制度への関心が高まったときに最初に浮かぶ疑問でしょう。結論として、業種・規模を問わずサプライチェーンに関わる企業が対象になりえますが、評価が適用されるスコープには明確な線引きがあります。
それぞれ確認していきましょう。
SCS評価制度の対象は「サプライチェーンを構成する企業等」で、2社間の取引における受注者側が主な対象として想定されています。業種や企業規模による制限は設けられていないため、発注元から★3や★4の取得を求められれば、中小企業であっても対応が必要になる可能性があります。
一方で、受注者側だけが一方的に対応するわけではありません。制度構築方針では、対策を行う上で発注者の協力が必要になる場面もあると明記されています。たとえば、グループ内での共同利用を含め、発注者が提供するIT基盤やネットワークを利用している場合などは、発注者との連携が前提になります。
※ 参照:経済産業省|SCS評価制度の構築方針を公表しました
SCS評価制度は企業のIT資産すべてを対象にするわけではなく、主にIT基盤と外部ネットワーク境界にフォーカスしています。対象・対象外の線引きを整理すると、次のようになります。
| 区分 | 具体例 |
|---|---|
| 対象:IT基盤 | 業務用PC・サーバー群、クラウドサービス、スマートデバイス、グループ共有ネットワークなど |
| 対象:外部ネットワーク境界 | ファイアウォール、VPN装置、ルーター、他組織との接続境界を構成する機器 |
| 対象外:OT(制御システム) | 製造拠点の制御システムなど、外部ネットワークと物理的に分離されたOT領域 |
| 対象外:ネットワーク未接続機器 | 自社IT基盤のネットワークに接続していない製品・機器 |
| 対象外:自社開発の製品・サービス | 委託元に提供するソフトウェアや製品そのもの |
| 取得単位 | 原則として法人、または個人事業主単位※ |
※法人の場合、取得組織が設定した適用範囲での取得も可。その際は専門家・評価機関による適用範囲の確認が必要になる。
とくに注意したいのは、インターネット公開サーバー(Webサーバー、メールサーバーなど)は必ず評価対象に含めるとされている点です。OTや自社製品は対象外ですが、これらについても別途適切なセキュリティ対策を講じることが推奨されています。
※ 参照:経済産業省|SCS評価制度の構築方針を公表しました
SCS評価制度のスケジュールは、以下のとおり整理できます。
| 時期 | 内容 |
|---|---|
| 2025年4月 | 制度構築に向けた「中間取りまとめ」を公表 |
| 2025年12月 | 制度構築方針(案)を公表、意見公募を実施 |
| 2026年3月 | 意見公募の結果を反映し「制度構築方針」を正式公表 |
| 2026年10月頃 | ★3・★4の要求事項・評価基準の解説書を公開予定 |
| 2026年秋頃 | 評価ガイド等を公表予定 |
| 2027年3月頃 | ★3・★4の運用開始を予定 |
| 未定 | ★5の対策基準・評価スキームの具体化を検討 |
制度構築方針はすでに正式公表されており、「案」の段階は完了しています。★3または★4を取得した企業は、運営事務局を担うIPAのWebサイトで台帳に登録・公開される予定です。
「2027年3月頃ならまだ先」と感じるかもしれませんが、IT資産の棚卸しやギャップ分析、運用ルールの文書化には相応の時間がかかります。とくに複数部門にまたがる調整や経営層の承認が必要なケースでは、早めに動き出しておくことが得策です。
SCS評価制度の話を聞いて「ISMSやNIST CSFとどう違うのか」「既存の取り組みが無駄になるのでは」と不安に思う方もいるかもしれません。結論から言えば、SCS評価制度はこれらの既存制度を置き換えるものではなく、相互補完的な位置づけです。
ISMSは情報セキュリティを継続的に改善するための「マネジメントの仕組み」を包括的に評価する制度です。対してSCS評価制度は、サプライチェーンにおける具体的なセキュリティ対策の実施状況に焦点を絞っています。
ISMS認証を取得済みの企業であれば、★3の要求事項の多くをすでにカバーしている可能性が高いでしょう。ただし、SCS評価制度では取引先管理やサプライチェーン固有のリスクへの対応が重視されるため、追加の差分対応は発生します。経済産業省は、SCS評価制度をISMS適合性評価制度と相互補完的に発展させていく方針を示しています。
SCS評価制度の★3・★4の要求事項は、NIST CSFが定める6つの機能(統治:GV、識別:ID、防御:PR、検知:DE、対応:RS、復旧:RC)に「取引先管理」を加えた7分類で構成されています。NIST CSFをベースに対策を進めてきた企業にとっては、既存の取り組みをそのまま活かせる部分が多いはずです。
自工会(日本自動車工業会)・部工会(日本自動車部品工業会)が策定した「自工会/部工会・サイバーセキュリティガイドライン」との対応関係も明確に示されています。★3はLv1相当、★4はLv2〜3相当(Lv3については一部の項目)に対応しており、すでにガイドラインへの準拠を進めている自動車業界のサプライヤーにとっては、制度対応の負荷が比較的小さく済む可能性があります。
※ 参照:経済産業省|SCS評価制度の構築方針を公表しました
SCS評価制度の導入は、発注者・受注者の双方にとって実務的なメリットをもたらします。背景で触れた「回答疲れ・評価疲れ」という課題に対し、制度がどう応えるかをまとめました。
| 受注者のメリット | 発注者のメリット | |
|---|---|---|
| 工数削減 | 多数の発注者(委託元)ごとに異なるフォーマットへ個別対応する「回答疲れ」から解放される | 多数の受注者(委託先)へのアンケート設計・送付・回収・評価といった「評価疲れ」のプロセスが不要になる |
| 客観性の確保 | 自社のセキュリティレベルを統一基準で証明できる | 受注者のセキュリティレベルを信頼できる共通基準で把握できる |
| ビジネス上の効果 | 新規取引の開拓時に信頼性を示しやすくなる | リスクの高い取引先への改善要請が具体的になる |
この制度は対策状況を共通の物差しで「見える化」することで、サプライチェーン全体の底上げを図る仕組みといえます。入札条件や取引継続の判断材料として活用されることが想定されており、早期の取得がビジネス上の安心材料になるケースは増えていくでしょう。
制度の全体像がつかめたところで、運用開始までに何をしておくべきかを整理します。準備は大きく4つのステップで進めるのが現実的です。取得するレベルを先に決めることで、必要な評価項目が絞り込まれ全体の効率が上がります。
はじめに制度の全体像をつかんだうえで、自社が目指す評価段階を経営観点で決めましょう。レベルを先に定めることで、次のギャップ分析の対象が★3の26項目か★4の43項目かに絞り込まれ、余分な作業を省けます。
目指すレベルを選ぶ際の目安として、制度構築方針では「事業継続リスク」または「情報管理リスク」への該当有無を確認するフローが示されています。どちらかのリスクに当てはまれば★4、いずれにも該当しなければ★3が目安です。取引先から要求がある場合は、そちらも判断材料に加えましょう。
目標段階が決まったら、自社の現状を把握するところから始めます。対象となるIT資産(PC、サーバー、ネットワーク機器、クラウドサービスなど)の管理状況、運用ルール、インシデント発生時の対応フローを洗い出し、どこまで整備できているかを確認しましょう。
ロードマップに沿って、具体的な対策を実行に移します。
たとえば、管理が不十分だったソフトウェアやデバイスの情報を最新に更新する、脆弱性診断を実施して発見された問題を修正するといった技術面の対策に加え、運用ルールの文書化やインシデント対応手順の策定といった組織面の整備も欠かせません。
見落としがちなのが、対策の実施状況を証明するためのエビデンスの整備です。評価の際には対策の実施状況を示す資料が必要になると想定されるため、日常的に記録を蓄積し、いつでも提示できる状態にしておく必要があります。ISMS等の既存取り組みがあれば最大限に活用し、差分だけ対応することで工数を抑えられます。
こうした棚卸しやギャップ分析、エビデンス整備を自社のリソースだけで進めるのが難しい場合は、セキュリティ専門ベンダーのアセスメント支援を活用するのも有効な選択肢です。
評価を受けて認定を取得したあとも、有効期間内は継続的な維持管理が必要です。
★3は年次更新、★4は3年ごとの更新(年次での自己評価が必要)となるため、対策状況の記録やエビデンスの蓄積は取得後も続けましょう。制度への対応は一度きりではなく、継続的なセキュリティ運用の一環として位置づけておくことが大切です。
ここまで見てきたとおり、SCS評価制度への対応にはIT資産の棚卸し、ギャップ分析、運用ルールの文書化、エビデンス整備と多くの工程が必要です。しかし、情シス担当者が通常業務と並行してこれらを進めるのは容易ではありません。ユービーセキュアでは、こうした負荷を軽減するために「SCS評価制度 事前セキュリティアセスメント支援サービス」を提供しています。
本サービスは、7,000社以上・グローバル98か国で活用されているセキュリティ評価プラットフォーム「Secure SketCH」をベースに、公開済みのチェックリストにもとづいて専門家が組織のリスクと対策状況を評価します。Secure SketCHにはセキュリティレベルを「偏差値」で可視化する機能があり、現状把握から対策の優先順位づけまでを効率的に進められます。
アセスメントにとどまらず、評価結果をもとにした具体的なソリューションの提案・提供までワンストップで対応できる点も強みです。
「制度の要求事項をどう読み解けばいいのか」「資産の可視化や脆弱性管理を具体的にどう進めればいいのか」といった実務面の疑問をお持ちの方に向けて、ユービーセキュアではオンラインセミナーも開催しています。
【無料相談開催中!】SCS評価制度についての疑問点や不安点、なんでもお問合せください
2026年6月3日(水)14:00~オンラインセミナー「サプライチェーンセキュリティ評価制度、何から手をつければいい? 〜資産把握・脆弱性管理の実践アプローチ〜」を開催します。
本ウェビナーでは、SCS評価制度の要求事項を実務視点で整理したうえで、対応の核心となる「情報資産の可視化」と「脆弱性管理の継続運用」をどう実現するかを、ツール活用の観点から具体的に解説します。
制度対応の道筋を明確にしたい情報システム・セキュリティ担当者の方は、ぜひご参加ください。
SCS評価制度は、サプライチェーン全体のセキュリティ対策状況を★レベルで可視化する経済産業省の新制度です。IPAが運営する「SECURITY ACTION」(★1・★2)と接続される形で設計されており、★3以降が本制度の新設部分として専門家や第三者機関による評価が加わります。★3・★4は2027年3月頃に運用開始が予定されており、業種・規模を問わずサプライチェーンに関わる企業が対象となりえます。
制度の要求事項と自社の現状を照合し、ギャップを把握するところから着手するのが最も現実的な第一歩です。ISMSやNIST CSFなど既存の取り組みがあれば、その延長線上で対応を進められるため、ゼロからのスタートにはなりません。
「自社だけでは対応が難しい」「どこから手をつければいいか」という場合は、ユービーセキュアが6月3日に開催する無料オンラインセミナーもぜひご活用ください。制度の要求事項の読み解き方から、資産把握・脆弱性管理の実践的なアプローチまでを解説します。
制度の詳細は今後さらに具体化される部分もあるため、運営事務局を担うIPAのSCS評価制度公式サイトを継続的にウォッチしながら、段階的に準備を進めていきましょう。