Written by WizLANSCOPE編集部
※1 「サプライチェーン強化に向けたセキュリティ対策評価制度」の略称です。(2025年12月に経済産業省が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」より)
「SCS評価制度(セキュリティ対策評価制度)」への対策、何から始める?
経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。
目 次
「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」は、サプライチェーンを構成する各企業の立ち位置に応じて必要なセキュリティ対策を提示・可視化するための制度です。
近年は、セキュリティ対策が強固な企業を直接狙うのではなく、その企業の取引先や関連会社など、比較的対策が手薄な組織を経由して侵入する「サプライチェーン攻撃」が増加しています。
このような攻撃が発生すると、被害は最初に攻撃を受けた企業にとどまらず、取引先やパートナー企業へと連鎖的に拡大する恐れがあります。
こうした背景を踏まえ、本制度は各企業のセキュリティ対策状況を可視化し、サプライチェーン全体のセキュリティ水準を底上げすることを目的として、本制度の検討が進められています。
本記事では、「サプライチェーン強化に向けたセキュリティ対策評価制度」の全体像と、制度開始に向けていまのうちから取り組むべき事項を解説します。
▼本記事でわかること
- SCS評価制度の概要
- SCS評価制度に取り組むメリット
- SCS評価制度とISMS・Pマークの違い
- SCS評価制度の運用開始に向けて取り組むべきこと
制度開始までに全体像を改めて把握したいという企業・組織の方は、ぜひご一読ください。
サプライチェーン強化に向けたセキュリティ対策評価制度とは
SCS評価制度は、サプライチェーンにおけるリスクを踏まえ、企業ごとに求められる対策水準が段階的に整理されています。
具体的には、対策状況を客観的に評価する仕組みとして、「三つ星(★3)」「四つ星(★4)」「五つ星(★5)」の3段階の評価基準を設けることが予定されています。
これにより、これまで各社の自己申告に依拠する部分が多かったセキュリティ対策について、共通の基準に基づく客観的な評価・証明が可能になります。
発注側企業にとっては、取引先の安全性を把握しやすくなるとともに、セキュリティ対策状況を取引判断の条件とすることで、サプライチェーン全体のセキュリティ水準の底上げが図れるようになります。
SCS評価制度は、経済産業省により2026年度末頃の開始を目指して検討が進められており、今後の企業間取引において、極めて重要な指標になることが予想されています。
制度が検討されるに至った背景
SCS評価制度が検討されるようになった背景には、サプライチェーン全体を標的としたサイバー攻撃の深刻化があります。
近年は、セキュリティが強固な大企業を直接狙うのではなく、その企業の取引先や関連会社など、比較的対策が手薄な組織を経由して侵入する「サプライチェーン攻撃」が増加しています。
このような攻撃が発生すると、被害は最初に攻撃を受けた企業にとどまらず、取引先やグループ企業へと波及し、サプライチェーン全体に連鎖的に拡大する恐れがあります。
直接攻撃を受けていない企業にも影響が及び、業務が遅延・停止する事態は、「サイバードミノ」とも呼ばれます。
こうした事態を回避するためには、サプライチェーンを構成するすべての企業が、一定水準以上のセキュリティ対策を講じることが不可欠です。
しかし現状では、統一されたセキュリティ評価基準がなく、企業や取引ごとに求められる要件にバラつきが生じています。
こうした状況を改善するために、国が共通の評価基準を設け、その対策水準を「星の数」で可視化するSCS評価制度の検討が進められています。
SCS評価制度の目的
SCS評価制度には、主に次の3つの目的があります。
| 受注企業への効果 | ・企業が目指すべきセキュリティ水準を標準化することで、取引ごとの個別対応を減らし、効率的な対策実施を可能にする |
|---|---|
| 発注企業への効果 | ・共通の評価基準に基づきセキュリティ対策状況を可視化することで、脆弱な部分を早期に把握し、被害の連鎖的拡大を防ぐ |
| 社会全体での効果 | ・セキュリティ対策に積極的に取り組む好循環を浸透させることで、経済・社会全体をサイバー脅威に強い構造へと転換する |
詳しく確認していきましょう。
参考:サプライチェーン強化に向けたセキュリティ対策評価制度 に関する制度構築方針(案)
受注企業への効果:セキュリティ対策にかかるコストの軽減
企業がセキュリティ対策を進めようとしても、「どの水準を満たせばよいのか」が取引先ごとに異なるため、対応範囲が広がり、コストが増大するという課題があります。
このような課題に対してSCS評価制度が運用されることで、企業が目指すべきセキュリティ水準を統一された基準として明確に把握できるようになります。
発注企業の求める水準が標準化されることで、取引先ごとに個別に確認を行う負担が軽減され、必要な対策を効率的に実行できる環境が整います。
その結果、限られたリソースの中でも、自社のリスクに応じた適切なセキュリティ対策を講じやすくなります。
また、対策状況を共通した基準で整理できるようになることで、発注企業に対して自社のセキュリティ水準を客観的に説明しやすくなるという効果も期待できます。
発注企業への効果:サプライチェーンリスクの低減
近年のサイバー攻撃は、手口が高度化・巧妙化し、被害規模も拡大しています。
なかでも、最初に攻撃を受けた一社を起点に被害が連鎖的に広がる「サプライチェーン攻撃」は、単一企業のセキュリティ対策だけでは被害を防ぎきれないケースが多く、深刻な被害につながるケースも少なくありません。
SCS評価制度は、こうしたリスクの低減を目的として検討が進められています。
共通の基準のもとで各社のセキュリティ対策状況を可視化することで、脆弱な部分を早期に把握し、サプライチェーン全体のセキュリティレベルの底上げを図ることが可能になります。
さらに、発注企業が受注企業のセキュリティ対策状況を客観的に確認できるようになれば、リスクの高い取引先に改善を促すことも可能となり、攻撃の連鎖を抑止する効果も期待されます。
社会全体での効果:サイバーレジリエンスの強化
SCS評価制度は、サプライチェーンを構成する各企業が主体的にセキュリティ対策に取り組むことを促し、その結果として社会全体のサイバーレジリエンスの強化にもつながることが期待されています。
セキュリティ対策を取引条件の一つとする企業が増えると、積極的に対策に取り組む企業も増加し、制度における星の取得を目指す企業も増えることが考えられます。
こうした好循環が社会に浸透すれば、セキュリティ意識の高い企業が増え、サプライチェーン全体の水準は着実に引き上げられていきます。
この積み重ねは、サイバー攻撃やシステム障害が発生した場合でも、迅速に対応・復旧できる力、すなわち「サイバーレジリエンス」の向上に直結します。
最終的には、特定の企業や業界にとどまらず、経済・社会全体をサイバー脅威に強い構造へと転換していくことが、本制度の最終的な目的といえるでしょう。
「SCS評価制度(セキュリティ対策評価制度)」への対策、何から始める?
経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。
SCS評価制度の対象
実際に、SCS評価制度の対象となる企業・組織や、製品・サービスについて解説します。
対象となる企業・組織
SCS評価制度の対象は、サプライチェーンを構成するすべての企業です。
発注元、受注先、再委託先など、立場に関わらず、サプライチェーンを構成するすべての企業が含まれます。
また、星の取得範囲は、「企業グループ全体」「自社単体」「特定部門のみ」など、実態に応じて柔軟に設定することが可能です。
対象となる製品・サービス
SCS評価制度は、オンプレミス環境およびクラウド環境を含むIT基盤を原則として対象とします。
公開サーバーや認証基盤、PCやスマートフォンなどのエンドポイント機器をはじめ、自社ネットワークに接続されたIT基盤を構成するシステムや機器は、原則として評価対象となります。
また、対象となるIT基盤の中に、本制度の要求事項を満たすことが困難なIT機器やソフトウェア(サポート切れなど)がある場合には、例外的に適用範囲からの除外が認められることがあります。
ただし、その際は除外理由を明確にしたうえで、セキュリティ専門家または評価機関による妥当性評価を受ける必要があります。
さらに、IT基盤に接続しているものの、評価対象には含めないと判断した資産については、VLANやファイアウォールなどのネットワーク機器を用いて、評価対象との境界を技術的に分離する必要があります。
なお、製造設備などの制御系(OT)システムについては、IT基盤とは性質が異なるため、本制度では原則として適用範囲には含めないものとして整理されています。
SCS評価制度とISMS・Pマークとの違い
ISMSやPマークをすでに取得している企業の中には、「SCS評価制度における星の取得は本当に必要なのか」と疑問を持つケースも多いでしょう。
結論からいえば、SCS評価制度とISMS・Pマークは目的や評価軸が異なるため、別途対応を検討する必要があります。
それぞれの制度の位置付けは、以下の通りです。
| ISMS(情報セキュリティマネジメントシステム) | ・組織が保有する情報資産を保護するための管理体制を評価する仕組み ・個人情報を含めたすべての情報資産を対象として、管理体制や運用プロセスを評価する |
|---|---|
| Pマーク(プライバシーマーク) | ・個人情報の適切な取り扱いに特化した認定制 ・取得することで、個人情報の取り扱いにおいて一定のレベルを満たしていることを対外的に証明できる |
| SCS評価制度 | ・サプライチェーン上の立ち位置やリスクに応じたセキュリティ対策の実施状況を評価する制度 ・技術的な対策やサイバーセキュリティ対応力を可視化する |
ISMSやPマークは、いずれも自社内部の管理体制の整備や向上に軸を置いています。
一方で、SCS評価制度は、組織の外部からのサイバー攻撃への対策を軸としており、サイバーセキュリティ対策の実装によるサイバーレジリエンスの向上を目的としています。
それぞれカバーする範囲が異なるため、ISMSやPマークを取得済みの企業においても、SCS評価制度への対応は、別途検討する必要があります。
なお、経済産業省の公表資料には、SCS評価制度とISMSは、相互補完的に発展していくと記載されています。
SCS評価制度の仕組み
ここでは、SCS評価制度についての理解を深めるために、以下の4つの観点からSCS評価制度の仕組みを解説します。
- 制度における段階(★3〜★5)
- 審査方法
- 星の取得要請
- 制度の評価基準・要求事項
星の取得を目指す上で重要なポイントとなるため、順に確認していきましょう。
制度における段階
セキュリティ対策評価制度では、対策の水準に応じて「三つ星(★3)」「四つ星(★4)」「五つ星(★5)」の3つの段階が設けられています。
2026年度末頃の運用開始が予定されているのは、このうち三つ星と四つ星です。五つ星については、現在も検討が進められています。
各段階の位置付けは、以下の通りです。
| 成熟度の定義 | 想定される脅威 | 対策の基本的な考え方 |
|---|---|---|
| 三つ星(★3) | ・広く認知された脆弱性などを悪用する一般的なサイバー攻撃 | ・最低限実装すべきセキュリティ対策 |
| 四つ星(★4) | ・サプライチェーン全体に大きな影響をもたらす攻撃 ・機密情報の漏洩など、資産に大きな影響をもたらす攻撃 |
・標準的に目指すべきセキュリティ対策 |
| 五つ星(★5) | ・未知の攻撃も含めた高度なサイバー攻撃 | ・到達点として目指すべきセキュリティ対策 |
出典:サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)概要
審査方法
星の取得にあたっては、各段階で定められた評価基準をすべて満たすことが前提となります。
1項目でも抜け漏れがあれば、星は取得できません。
なお、星の段階ごとに審査方法および有効期間が異なります。
| 段階 | 審査方法 | 有効期間 |
|---|---|---|
| 三つ星(★3) | 専門家の確認付きの自己評価 | 1年 |
| 四つ星(★4) | 評価機関等による第三者評価 | 3年 |
| 五つ星(★5) | 未定(第三者評価を想定) | 未定 |
三つ星は自己評価が基本ですが、企業が実施した評価結果について、セキュリティ専門家による確認および助言を受けた上で、評価が確定します。
四つ星は、評価機関などの第三者による審査を経て、評価が確定します。四つ星については技術検証も課されるため、評価基準を正しく理解した適切な対策が求められます。
なお、SCS評価制度は更新制をとっており、有効期間が設けられています。星を維持するためには、定期的な見直しや継続的な対策の実施が求められます。
星の取得要請
どの段階の星を求めるかは、事業継続リスクや情報管理リスクを考慮し、発注元の企業が判断します。
| 観点 | 三つ星 | 四つ星 |
|---|---|---|
| 事業継続リスク | すべての企業 | ・取引先が停止すると、自社業務に許容できない遅延や停止が発生する |
| 情報管理リスク | ・取引先へのサイバー攻撃により、自社の機密情報に影響が出る恐れがある |
例えば、重要度や機密性の高い情報へのアクセスを許可する企業に対しては、より高い段階の星の取得が求められる可能性があります。
星の段階は、企業間取引における条件の一部として提示されることが想定されています。
制度の評価基準・要求事項
SCS評価制度の評価は、NIST サイバーセキュリティフレームワーク(CSF)に対応した6つの分類に、取引先管理に重点を置いた独自分類を加えた、合計7つの分類をもとに行われます。
星の段階ごとに求められる対策水準が定められており、この内容は、今後のサイバーセキュリティの動向を踏まえて、定期的に見直される想定です。
星ごとに求められる水準の概要は以下のとおりです。
| NIST CSF機能 | 分類 | 三つ星 | 四つ星 |
|---|---|---|---|
| 統治 | ガバナンス整備 | ・企業として最低限のリスク管理体制の構築 | ・継続的改善に資するリスク管理体制の構築 |
| 取引先管理 | ・取引先に課す最低限のルールの明確化 | ・取引先の管理・把握及び取引先との役割・責任の明確化 | |
| 識別 | リスクの特定 | ・自社IT基盤や資産の現状把握 | ・脆弱性など最新状況の把握と反映 |
| 防御 | 攻撃等の防御 | ・不正アクセスに対する基礎的な防御 ・端末やサーバーの基礎的な保護 |
・多層防御による侵入リスクの低減 |
| 検知 | 攻撃等の検知 | ・ネットワーク上の基礎的な監視等 | ・迅速な異常の検知 |
| 対応 | インシデントへの対応 | ・インシデント発生に備えた対応手順の整備 | |
| 復旧 | インシデントからの復旧 | ・インシデント発生から復旧するための対策の整備 | ・インシデントからの復旧手順等の整備 |
出典:サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)
制度の運用開始に向けていまから取り組むべきこと
SCS評価制度は、2026年末頃の運用開始が予定されています。
前述の通り、星の取得は競合優位性の確保にもつながる重要な取り組みであるため、制度開始を待つのではなく、いち早い取得を目指していまから準備を進めることが推奨されます。
ここからは、SCS評価制度の運用開始に向けて、企業がいま取り組むべき項目を整理して解説します。
評価基準の正しい理解
まず重要なのは、SCS評価制度の内容を正しく理解することです。
評価基準をはじめ、評価対象や審査方法などを正確に把握し、自社に求められる水準を明確にする必要があります。
自社がどの段階を目指すかによって、必要となる対策の範囲や深さは異なります。
経済産業省が示している基準では、重要な取引先に対しては四つ星の取得を求めるケースが想定されています。
つまり、自社が取引先にとって重要なパートナーとなることを目指すのであれば、四つ星の取得を視野に入れて、準備を進めることが推奨されます。
経済産業省が公開している資料や関連ガイドラインに目を通し、制度の全体像と要求事項への理解を深めていきましょう。
自社状況の把握
現時点における自社のセキュリティ対策状況を正確に把握することも重要です。
評価基準・要求事項のうち、現時点でどの要件を満たしているのか、どこに不足があるかを洗い出す作業は、いまから進めておくべき取り組みです。
IT資産の棚卸しや既存のセキュリティルール・管理体制の確認を行い、求められる水準とのギャップを明確にしておくことで、優先的に対応すべき課題や項目を絞り込むことができるでしょう。
対策方法・実施スケジュールの検討
目指す水準と現状を照らし合わせることで、不足している対策を明確にできます。
そのうえで、不足している対策について、運用開始までにどのように補完するかを計画することが重要です。
制度開始までの残り時間を逆算し、各対策をいつまでに完了させるかの実行スケジュールを策定しましょう。
なお、対策によっては一定の費用や時間を要するものもあるため、早い段階で優先順位を定め、着実に実行することが求められます。
組織的対策の実施
SCS評価制度への対応は、セキュリティ対策ツールの導入だけで完結するものではありません。
経営層の理解と関与のもとで担当部門にとどまらず、一般従業員も含めた組織全体で取り組む全社的な体制を整えることが求められます。
実際に、評価基準には次のような組織的対策が含まれています。
<組織的対策として求められる要求事項・評価基準の例>
※2025年12月に公表された「要求事項・評価基準案」を基にしています
※評価基準は一部のみ掲載しています
| 要求事項 | 評価基準 | ||
|---|---|---|---|
| ルールの策定 | セキュリティに関する法令、契約等に規定された事項を考慮し、社内ルールを策定及び周知すること | 1-1-1-1 | セキュリティに関連する以下の事項を把握した上で、社内ルールを定めること。 – 自社に関連する法令(事業法、個人情報保護法等) – 所管省庁及び関係団体における基準 – 取引先が提示する制限事項も含めた、関係者からの要求事項 |
| 体制構築 | セキュリティ推進活動を担当する部署、役員及び従業員を決定し、責任及び権限を割り当てること。 | 1-2-1-1 | セキュリティを統括する役員(例えば、CISOを設置する会社の場合は、当該CISO)及びセキュリティ担当部署の役割・責任を定めること。 |
| 教育 | 経営層を含むすべての要員に対して、セキュリティの意識向上のための教育・研修を実施すること | 4-2-1-2 | 役員、従業員、派遣社員及び受入出向者を対象に、年1回以上の頻度で、セキュリティの重要性を再認識する機会を設けること |
| 運用 | 重要な機密情報を取り扱う取引先のセキュリティ対策状況を把握すること。 | 2-1-3-1 | ・以下に示す条件のいずれか若しくは複数に該当する子会社又は取引先を対象に、年1回以上の頻度で、以下の例を参考にセキュリティ対策状況を把握すること。 [対策状況把握の対象とする子会社又は取引先の条件] – 自社の重要な機密情報を提供・共有する – 自社の事業継続にとって重要な位置づけを持つ – 当該取引先の環境から発注者の内部システムへのアクセスが可能 |
このようにSCS評価制度では、技術的対策だけでなく、体制整備や教育の実施といった組織的対策も評価対象となっています。
制度対応を社内プロジェクトとして位置づけ、責任者と推進体制を明確にしたうえで、継続的に改善できる仕組みを定着させることが、審査通過だけでなく、制度を有効に活用するためにも重要です。
SCS評価制度の運用開始に向けて、いまから取り組むべき事項を4つ紹介しましたが、「自社だけで進めるのは難しい」「効率的に準備を進めたい」と感じている方は少なくないと思います。
そこで本記事では、SCS評価制度への対応を支援するサービスについてご紹介します。
SCS評価制度にいまから本気で取り組むなら「ガイドライン対応サポートアカデミー」
本記事で解説した通り、SCS評価制度における三つ星・四つ星の取得には、専門家や第三者評価機関による審査をクリアする必要があります。
特に、四つ星の取得では技術検証も実施されるため、評価基準を正しく理解したうえで対策を講じることが不可欠です。
しかし実際には、「自社だけでは制度対応が難しい」「そもそも何から着手すべきかわからない」といった課題を抱える企業・組織も少なくありません。
こうした課題をお持ちの企業・組織の方に向けて、本記事では、LANSCOPE プロフェッショナルサービスが提供する「ガイドライン対応サポートアカデミー」をご紹介します。
「ガイドライン対応サポートアカデミー」は、お客様のセキュリティレベルの向上をアカデミー形式で支援するコンサルティングパッケージです。
「ガイドラインの内容が難しくてわからない」「前提となるセキュリティ対策の知識が足りない」といったお悩みに対して、コンサルタントによる伴走支援をはじめ、解説動画の提供や個別相談などを通じて、実践的な対策の実行をサポートします。
また、SCS評価制度への対応に関しても、認定要件への適合状況を専門的な視点でチェックし、星の取得に向けた具体的なアドバイスを提供します。※
「ガイドライン対応サポートアカデミー」についてより詳しく知りたい方は、以下のページまたは資料をご確認ください。
「SCS評価制度(セキュリティ対策評価制度)」への対策、何から始める?
経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。
※本サービスの支援内容は2025年12月に経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」で公表した「【参考資料】★3・★4要求事項案・評価基準案」をもとにしています。
まとめ
本記事では「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」をテーマに、制度の全体像やいまから取り組むべき事項について解説しました。
▼本記事のまとめ
- SCS評価制度とは、サプライチェーンを構成する各企業の立ち位置やリスクの大きさに応じて必要なセキュリティ対策を示し、その実施状況を可視化するための制度
- SCS評価制度は、発注者・受注者双方にとって適切なセキュリティ対策の水準を示すとともに、対策にかかるコストの軽減を図ることを目的としており、さらに、制度の運用を通じて、社会全体のサイバーレジリエンスの強化に寄与することが期待されている
- SCS評価制度の運用開始に向けて、いまから取り組むべき事項としては、「評価基準の正しい理解」や「自社状況の把握」「対策方法・実施スケジュールの検討」「組織的対策の実施」などが挙げられる
SCS評価制度を活用することで、発注企業は一定水準のセキュリティ対策を講じた企業を選定しやすくなり、安全性の高い取引環境の構築が期待できます。
また、実際に星の取得を目指す受注企業にとっては、自社のセキュリティ水準を客観的な基準に基づいて示すことができるようになります。
なお、運用開始後のいち早い星の取得は、競合優位性の確保にもつながります。
そのため、運用開始を待つのではなく、サプライチェーン全体のセキュリティ強化とビジネス機会の拡大を見据え、いまから着実に準備を進めていくことが重要です。
なお、「自社だけでの対応に不安がある」「専門家のアドバイスを受けながら、効率的に準備を進めたい」という企業・組織の方は、本記事で紹介した「ガイドライン対応サポートアカデミー」の活用もご検討ください。
「SCS評価制度(セキュリティ対策評価制度)」への対策、何から始める?
経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。
おすすめ記事
