SCS評価制度とは、サプライチェーン全体のセキュリティ強化を目的として、2026年度末に本格開始が予定されている新しい制度です。
本記事では、経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の概要や創設の背景、具体的な評価基準について分かりやすく解説します。
企業に求められる対策や、今から始めるべき準備についても紹介します。
SCS評価制度とは、サプライチェーン全体のセキュリティ強化を目的として、2026年度末に本格開始が予定されている新しい制度です。
本記事では、経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の概要や創設の背景、具体的な評価基準について分かりやすく解説します。
企業に求められる対策や、今から始めるべき準備についても紹介します。
SCS評価制度は、正式名称を「サプライチェーン強化に向けたセキュリティ対策評価制度」といいます。
経済産業省および情報処理推進機構(IPA)が中心となり、専門家を集めたワーキンググループでの議論を経て制度構築方針が策定されました。
この制度は、企業におけるセキュリティ対策の取り組み状況を客観的に評価し、サプライチェーン全体でのセキュリティ水準の向上を目指すための最新の基準です。
2026年度末の本格運用開始が予定されています。
SCS評価制度が創設された背景には、主に2つの目的が存在します。
一つは、近年被害が拡大しているサプライチェーン攻撃への対策を強化することです。
もう一つは、各企業のセキュリティ対策レベルを客観的な指標で「見える化」し、取引先が安全性を判断できる仕組みを構築する必要性が高まったことにあります。
サプライチェーン攻撃は、セキュリティ対策が比較的脆弱な中小企業などを経由して、その取引先である大企業へ侵入するサイバー攻撃です。
攻撃の踏み台にされると、自社だけでなく取引先にも甚大な影響を及ぼす可能性があります。
このような攻撃手口の巧妙化と被害の深刻化を受け、国も強く注意喚起を行っており、サプライチェーン全体で対策を講じることが急務となりました。
従来、企業のセキュリティ対策レベルを測る統一された指標が存在せず、取引先がその安全性を客観的に評価することは困難でした。
特に大企業が新たな取引先を選定する際や、既存のサプライチェーンのリスクを管理する上で、各社のセキュリティレベルを可視化し、信頼性を判断できる共通の仕組みが必須となりました。
この制度により、対策状況が明確な基準で示されます。
SCS評価制度では、企業のセキュリティ対策の実施状況を5段階の星で評価します。
この評価基準や評価項目は、米国の国立標準技術研究所が発行するサイバーセキュリティフレームワークなどを参考に設計されています。
企業は自社の状況や取引上の要求に応じて、目標とするレベルを設定し、対策に取り組むことになります。
最も基本的なレベルである1と2は、IPAが実施しているSECURITY ACTION制度の内容がベースとなっています。
「★1」を取得するには、情報セキュリティ6か条に取り組むことを宣言することが求められます。
「★2」では、5分でできる情報セキュリティ自社診断を実施し、それに加えて自社で情報セキュリティ基本方針を策定し、外部に公開することが必要です。
比較的取り組みやすい内容であり、セキュリティ対策の第一歩と位置づけられています。
「★3」は、多くの中小企業が目指す現実的な目標レベルとされています。
この段階では、NISTサイバーセキュリティフレームワークを参考に設定された、基本的なセキュリティ管理策26項目の要求事項を満たすことが必要です。
外部からの脅威に対する防御や内部のインシデント対応など、組織として最低限実施すべき対策が網羅されており、取引継続の条件となる可能性があります。
「★4」は、より高度で網羅的なセキュリティ体制を構築している企業を対象とします。
要求事項は43項目となり、基本的な対策に加えて、リスクアセスメントに基づく管理策の導入や、インシデント発生時の具体的な対応プロセスの文書化など、より厳格な運用が要件となります。
重要な社会インフラを担う企業や、機密性の高い情報を取り扱う企業などが目指すレベルです。
最高レベルである「★5」の具体的な評価基準については、現時点では詳細が固まっておらず、2026年度以降に検討される予定です。
情報セキュリティマネジメントシステム(ISMS)の国際規格である「ISO/IEC27001」認証などを参考に、継続的な改善プロセスや高度な脅威インテリジェンスの活用など、極めて高いレベルのセキュリティ体制が求められると想定されています。
(※経済産業省参照:サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) (METI/経済産業省))
SCS評価制度の評価対象は、原則として組織が事業活動で利用するIT基盤全体です。
これには、自社で管理するサーバーやネットワーク機器だけでなく、外部のクラウドサービスの利用も含まれます。
どこまでが評価範囲になるかを正確に把握し、適切なセキュリティ対策を講じることが重要です。
評価対象には、社内で使用するPCやサーバー、ネットワーク機器といった物理的なIT資産が含まれます。
また、外部のクラウドサービス(IaaS,PaaS,SaaS)や、リモートワークで利用する従業員の端末など、外部ネットワークとの接続点も評価範囲です。
これらのIT資産を正確に把握する資産管理が、セキュリティ対策の第一歩となります。
一方で、工場の生産ラインなどを制御するOT(Operational Technology)システムや、ネットワークに一切接続されていないオフラインの機器は、原則としてSCS評価制度の評価対象外です。
ただし、OTシステムが社内ITネットワークと接続されている場合は、その接続点が評価の対象に含まれる可能性があるため注意が必要です。
SCS評価制度への取り組みは、企業のセキュリティレベルを向上させるだけでなく、ビジネス上のメリットももたらします。
対策を講じる受注側企業にとっては信頼性の証明となり、取引先を選定する発注側企業にとってはリスク管理が容易になるなど、双方にとって利点があります。
SCS評価制度の認定を取得することで、自社のセキュリティ対策レベルを客観的な指標でアピールできます。
これにより、発注元からの信頼を獲得しやすくなり、新規取引の獲得や既存契約の継続において有利に働くことが期待されます。
将来的には認定取得企業の一覧が公開され、発注企業が取引先を探す際に参照される可能性もあります。
発注側は、取引先のセキュリティレベルを統一された基準で把握できるようになります。
これにより、サプライチェーン全体のリスク評価が容易になり、セキュリティレベルの低い企業を起因とするインシデントの発生を未然に防げます。
公表される認定取得企業のリストなどを活用することで、安全性の高い取引先を効率的に選定することも可能になります。
SCS評価制度は2026年度末の本格開始を目指して準備が進められています。
本格運用が始まってから慌てて対応するのではなく、公表されているロードマップを参考に、今から計画的に準備を進めることが重要です。
まずは自社の現状を把握することから着手する必要があります。
IPAが公開している「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」に関する情報によると、評価基準の詳細や評価機関に関する要件の検討・詳細化は2026年度に行われるとされています。また、制度構築方針は2026年3月27日に公表されました。制度の本格運用開始時期については現時点では確認できませんが、この計画に沿って、自社の準備を進めていくことが求められます。
※ 上記は制度運営基盤の整備状況等により変更となる可能性があります。
(経済産業省参照:サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) (METI/経済産業省))
制度の本格開始に向けて、今からでも取り組める準備は3つのステップに分けられます。
まずは自社のセキュリティレベルを正確に把握し、次に事業内容や取引先の要求水準を踏まえて目標を設定します。
そして最後に、目標達成に向けた具体的な計画を立て、継続的に運用できる体制を構築することが重要です。
最初のステップは、自社のセキュリティ対策が現在どのレベルにあるかを客観的に評価するリスクアセスメントの実施です。
IPAが提供している「情報セキュリティ対策ベンチマーク」や「5分でできる!情報セキュリティ自社診断」などのツールを活用する方法があります。
これにより、自社の強みと弱点を明確にし、優先的に取り組むべき課題を洗い出します。
アセスメントによって現状を把握したら、次に目指すべき評価レベルを決定します。
自社の事業規模や取り扱う情報の重要性、主要な取引先から求められるであろうセキュリティ水準などを総合的に勘案して目標を設定します。
IPAが今後公開する予定の要求事項を記載したチェックシートなどを参考に、具体的な目標を定めると良いでしょう。
目標レベルが定まったら、その要求事項を満たすための具体的な対策計画を策定し、実行に移します。
セキュリティ対策は一度行えば終わりではなく、新たな脅威に対応するために継続的な見直しと更新が不可欠です。
担当者を定め、定期的に運用状況を確認するなど、PDCAサイクルを回せる体制を構築して対応を進めます。
ここでは、SCS評価制度に関して多く寄せられる質問とその回答を紹介します。
PマークやISMS認証との違いや、中小企業が最初に取り組むべきことなど、具体的な疑問について解説します。
対応が推奨されます。
Pマークは個人情報保護、ISMSは組織全体の情報セキュリティマネジメントを対象としており、サプライチェーンセキュリティに特化したSCS評価制度とは目的や評価項目が異なります。
ただし、ISMS認証で求められる管理策はSCS評価制度の上位レベルと重なる部分が多いため、既存の取り組みは有利に働きます。
IPAが提供する自己診断ツールなどを活用し、自社の現状を把握することから始めるのが第一歩です。
その上で、必要に応じてセキュリティ専門家や評価機関の支援サービスの利用を検討してください。
自治体などが実施するセミナーへの参加や、IT導入補助金といった公的支援の活用も、費用を抑えながら対策を進める上で有効な手段となります。
全く関係ありません。
本記事で解説しているSCS評価制度は、経済産業省が主導する国のセキュリティ制度の略称です。
一方で、SCSK株式会社は国内大手のITサービス企業であり、同社独自の人事評価制度とは、名称が偶然似ているだけで全くの別物です。
検索する際は両者を混同しないよう注意が必要です。
SCS評価制度は、サプライチェーンを構成するすべての企業にとって重要な取り組みとなります。
この制度は、自社のセキュリティレベルを客観的に証明し、取引上の信頼性を高める機会となる一方で、対応が遅れればビジネス上のリスクにもなり得ます。
2026年度末の本格開始に向けて、ロードマップを確認し、早期に自社の現状把握と目標設定に着手することが求められます。