SCS評価制度とは？ 制度の概要や創設の背景、今からできる準備を解説

SCS評価制度とは？

SCS評価制度（サプライチェーン・サイバーセキュリティ評価制度）とは、経済産業省が創設した、企業のIT基盤における基本的なサイバーセキュリティ対策の実施状況を、客観的に評価・認定する制度です。この制度の目的は、これまで各企業が独自に行ってきたセキュリティ対策の状況を「見える化」し、サプライチェーン全体でセキュリティレベルを把握・向上させるための共通の枠組みを提供することにあります。これにより、企業は自社のセキュリティレベルを取引先に明示でき、信頼性の高いビジネス関係を築く一助となります。

SCS評価制度の運用予定の背景

この制度が計画されるに至った背景には、主に2つの社会的・経済的な要請があります。

サプライチェーンの脆弱性を狙った攻撃の深刻化

独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2026」の組織編でも「サプライチェーンや委託先を狙った攻撃」が2位にランクインするなど、セキュリティレベルが相対的に低い取引先を踏み台にして、本来の標的である大企業へ侵入する手口が大きな脅威となっています。

セキュリティ対策状況の客観的な「見える化」の必要性

これまで、取引先のセキュリティレベルを確認するには、各社が独自の基準で作成したアンケートやチェックシートへの回答を求めるのが一般的でした。しかし、この方法では発注側・受注側双方に大きな負担がかかる上、評価の客観性を担保することが困難でした。統一された基準による「見える化」が求められていました。

SCS評価制度の仕組み

SCS評価制度は、まったく新しい制度をゼロから構築するものではなく、既存の制度を土台とし、その上に新たな評価レイヤーを追加する形で設計されています。具体的には、IPAが運用する「SECURITY ACTION 自己宣言制度」を「★1」「★2」として取り込み、さらに「★3」以降を新設するという階層的な構造になっています。

なお、「★3」「★4」は、日本自動車工業会および日本自動車部品工業会が策定した「自工会・部工会ガイドライン」のLv1およびLv2に対応しており、「★5」は現時点でのベストプラクティスに基づく対策と位置づけられています。これにより、企業は自社の状況に応じて、目指すべきセキュリティレベルを段階的に選択し、統一基準に基づいてステップアップしていくことが可能になります。

既存制度をベースにした「★1」「★2」

SCS評価制度の基礎となるのが、IPAが実施している「SECURITY ACTION」です。これは、中小企業が情報セキュリティ対策に取り組むことを自ら宣言する制度であり、SCS評価制度ではそれぞれ「★1」「★2」として位置づけられています。

呼称	概要
★1（一つ星）	中小企業自らが、「情報セキュリティ5か条」に取り組むことを宣言する
★2（二つ星）	中小企業自らが、自社診断の実施後、情報セキュリティ基本方針（情報セキュリティポリシー）を策定、外部に公開した上で、これらを宣言する

新制度の「★3」「★4」「★5」

新制度は、自己宣言である「★1」「★2」とは異なり、認定された評価機関が第三者の視点で企業のセキュリティ対策状況を審査・評価する点が最大の特徴です。これにより、対策状況の客観的な信頼性が担保されます。「★3」から「★5」までの3段階が設けられ、それぞれ想定される脅威のレベルや達成すべき基準が異なります。

	★3	★4	★5
想定される脅威	・広く認知された脆弱性等を悪用する一般的なサイバー攻撃	・供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃 ・機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃	・未知の攻撃も含めた、高度なサイバー攻撃
対策の基本的な考え方	全てのサプライチェーン企業が最低限実装すべきセキュリティ対策 基礎的な組織的対策とシステム防御策を中心に実施	サプライチェーン企業等が標準的に目指すべきセキュリティ対策 組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施	サプライチェーン企業等が到達点として目指すべき対策 国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善工程を整備、システムに対しては現時点でのベストプラクティスの対策を実施
評価スキーム	専門家確認付き自己評価	第三者評価	第三者評価

引用：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度※1）の概要」

「★3」に求められる要求事項・評価基準

「★3」は、「全てのサプライチェーン企業が最低限実装すべきセキュリティ対策」と位置づけられています。具体的には、米国立標準技術研究所（NIST）が策定した「NIST Cyber Security Framework（NIST CSF）」で示された機能に対応した「統治（GV）」「識別（ID）」「防御（PR）」「検知（DE）」「対応（RS）」「復旧（RC）」の6つの分類に、「取引先管理（統治の一部）」を加えた7分類に対して基本的な対策が取られている状態といえます。

「★4」に求められる要求事項・評価基準

「★4」は、「供給停止等によりサプライチェーンに大きな影響をもたらす企業」が想定されており、ITベンダーや重要インフラに関わる企業など、発注者にとってサプライチェーンの中でも特に重要な役割を担う組織が対象になります。「★3」の要求事項を満たした上で、「継続的改善」や「脆弱性などの最新状況の把握と反映」「多層防御による侵入リスクの低減」など「標準的に目指すべきセキュリティ対策」と位置づけられています。厳格なセキュリティ管理体制が求められることになります。

「★5」に求められる要求事項・評価基準は、2026年度に検討

「★5」は「サプライチェーン企業等が到達点として目指すべき対策」であり、国際規格準拠のセキュリティ対策はもちろん、常に改善に取り組みながらベストプラクティスの対策を実施することが求められています。具体的にはISMS適合性評価制度との整合に配慮しつつ、「自工会ガイドライン（Lv3）」といった実績のあるガイドラインなどから対策を選定することが想定されています。しかし、本制度の構築方針を公表した2025年12月時点では「令和8年度（2026年度）以降に検討予定」とされており、詳細は未定です。

SCS評価制度のメリット

SCS評価制度の導入は、サプライチェーンを構成する受注側・発注側双方の企業にとって、多くのメリットをもたらします。これまでのセキュリティ確認における非効率なやりとりを解消し、より本質的な対策にリソースを集中させることが可能になります。

	受注側のメリット	発注側のメリット
メリット	・取引先ごとの個別調査への対応工数を削減 ・自社のセキュリティレベルを客観的に示せる	・取引先のセキュリティレベルを統一基準で把握できる ・サプライチェーン全体のリスク管理を効率化できる

受注側のメリット

受注側の企業にとって最大のメリットは、取引先ごとに個別に行われていたセキュリティチェックシートへの回答といった業務から解放される点です。SCS評価制度の認定を取得していれば、自社のセキュリティレベルを客観的に証明できるため、対応工数を大幅に削減できます。また、統一された基準で自社の信頼性を示せるため、新規取引の開拓でも有利に働く可能性があります。

発注側のメリット

発注側の企業にとっては、これまでブラックボックスになりがちだった取引先のセキュリティレベルを、信頼できる統一基準で把握できることが大きなメリットです。これにより、サプライチェーンにおけるセキュリティリスクの評価が容易になり、リスクの低い取引先を選定したり、リスクの高い取引先に対して具体的な改善を促したりといった、効果的なリスク管理が可能になり、結果としてサプライチェーン全体の強靱化につながります。

SCS評価制度の対象とは？

SCS評価制度の「★3」以上の評価を受けるにあたり、どの範囲が審査の対象となるのかを正しく理解しておくことは非常に重要です。この制度は、企業のIT資産すべてを網羅するものではなく、主に企業の「IT基盤」に焦点が当てられています。

対象となるもの	対象とならないもの
企業のIT基盤（PC、サーバー、ネットワーク機器など）	制御システム（OT）
外部ネットワークとの境界	自社で開発・提供するサービスや製品

SCS評価制度の対象となる組織と適用範囲

本制度の対象となる組織は「サプライチェーンを構成する企業等」であり、2社間の契約における受注側となります。しかし、対策を行う上で、発注者の協力が必要になる場合もあります。その中で、本制度が適用される範囲は主に次の2つの領域です。これらの領域において、評価レベルに応じたセキュリティ対策が適切に実施されているかが問われます。

IT基盤

受注する案件などの業務領域に関わらず、全体の業務に共通するサーバー群が対象。特にインターネット公開サーバー（Webサーバー、メールサーバーなど）は必ず含めるとされています。また従業員が業務で使用するPCやスマートデバイス、クラウドサービスや親会社が提供するグループ共有のネットワークなども含まれます。

外部ネットワーク境界

インターネットなどの外部ネットワークと社内ネットワークの接続点におけるファイアウォールやルーター、VPN装置など。また、ほかの組織の内部システムへ接続する際の境界を構成する機器も含みます。

SCS評価制度の対象にならないもの

一方で、次の領域はSCS評価制度の適用対象外とされています。ただし、これらの領域も事業継続において重要であるため、別途適切なセキュリティ対策を講じることが推奨されます。

製造環境における制御システム（OT）

一方向セキュリティゲートウェイで外部ネットワークと区切られた製造拠点の制御システムなど、物理的な機器を操作・監視するOT（Operational Technology）領域。

ネットワークに接続していない機器

発注元に提供する製品などで、自社のIT基盤を構成するネットワークに接続していない機器。

SCS評価制度の具体的なスケジュール

経済産業省が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」によると、SCS評価制度は2026年度下期の制度開始を目指し、制度運営基盤の整備や利用促進などが進められています。情報システム担当者としては、これらのスケジュールを踏まえて自社の準備計画を立てることが大切です。

本制度は、NIST CSFや自工会・部工会のセキュリティガイドライン、ISMSなどの既存の制度やガイドラインを踏まえた制度になっているため、これらに基づいてリスクアセスメントや情報セキュリティ対策を行っている組織では、一定の準備が整えられた状況だといえます。また、この機会に自社のみならず関連会社も含めたセキュリティの実態把握を行い、整理しておくことが制度運用開始に向けて大切な準備となると考えられます。

今からできるSCS評価制度への対応準備

SCS評価制度の本格運用が始まる前に、企業は自社のセキュリティ体制を見直して、準備を進めておくことが重要です。具体的には、次の3つのステップで準備を進めることをお勧めします。

• 自社のセキュリティレベルをチェックする（リスクアセスメント）
• 目標の評価との差分を整理する
• 体制を整備し、対策を行う

1．自社のセキュリティレベルをチェックする（リスクアセスメント）

まずは、SCS評価制度の目的や各評価レベルで求められる基準を正しく理解することが第一歩です。その上で、自社が現在どのようなセキュリティ対策を実施しているのか、IT資産の管理状況や運用ルール、インシデント発生時の対応フローなどを棚卸し、現状を正確に把握・整理することが重要となります。なお、経済産業省のこちらのページでは、★3、★4の要求事項・評価基準の詳細な草案が公開されていますので、参考にしてください。

2．目標とするレベルと現状との差分を整理する

次に、自社の事業内容や取引先との関係性を考慮し、SCS評価制度のどの評価レベルを目指すべきかを定めます。そして、その目標レベルで求められている評価項目と、ステップ1で整理した自社の現状とを比較し、不足している対策項目（差分）を具体的に洗い出します。洗い出した項目は、リスクの大きさや対策の難易度などを考慮して、対応の優先順位を決定します。

3．継続的に運用できる体制を整備して対策を行う

最後に、定めた優先順位に基づき、具体的なセキュリティ対策を実行に移します。例えば、管理が不十分だったソフトウェアやデバイスの情報を最新の状態に更新する、脆弱性診断を実施して発見された問題点を修正するなどです。また、対策を実施するだけでなく、その対策が適切に行われていることを客観的に証明するための資料や各種ログを、いつでも提示できるように整理・保管しておく体制を整えることも、審査を見据えた上で不可欠です。

セキュリティ対策の強化を図る際は、ぜひＳｋｙ株式会社へ

Ｓｋｙ株式会社は、SCS評価制度への対応を包括的に支援します。「SKYSEA Client View」は、制度の準備に不可欠なIT資産の現状把握やログ管理、デバイス制御など、組織内のIT運用管理を大幅に効率化します。また、専門エンジニアが脆弱性診断などを行う「セキュリティ診断ソリューション」もご提供。ソフトウェアを活用した継続的な運用管理と、専門家による客観的な評価を組み合わせることで、SCS評価制度が求めるセキュリティレベルの達成をサポートします。

まとめ

本記事では、経済産業省が新たに創設を進める「SCS評価制度」について、その背景や仕組み、企業が得られるメリットや準備すべきことについて解説しました。サプライチェーンを狙ったサイバー攻撃が深刻化するなか、自社のセキュリティレベルを客観的に証明し、取引先からの信頼を勝ち得るための重要な一手となります。制度の本格運用が開始される前に、自社の現状を把握し、目標とするレベルに向けた準備を計画的に進めていくことをお勧めします。