Written by WizLANSCOPE編集部
目 次
「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)」は、サプライチェーンを構成する各企業の立ち位置に応じて必要なセキュリティ対策を提示・可視化するための制度です。
本記事では、SCS評価制度における評価スキーム(評価方法)について、現時点で公表されている内容をもとに解説します。
▼本記事でわかること
- SCS評価制度の評価方法
- SCS評価制度の評価の流れ
- SCS評価制度の審査・評価における注意点
- SCS評価制度の開始に向けて取り組むべきこと
「具体的にどのような審査が実施されるのか知りたい」「どのような流れで審査が進められるのかを把握したい」という企業・組織の方は、ぜひご一読ください。
「SCS評価制度(セキュリティ対策評価制度)」への対策、何から始める?
経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。
サプライチェーン強化に向けたセキュリティ対策評価制度の概要
経済産業省が主導する「SCS評価制度」では、企業・組織のセキュリティ対策状況を評価する仕組みとして、3段階の評価基準を設けることが予定されています。
本制度を活用することで、企業・組織のセキュリティ対策状況について、統一された基準に基づいて、客観的に評価・証明することが可能になります。
これにより、発注企業にとっては取引の安全性を確保しやすくなるとともに、セキュリティ対策状況を取引条件の一つとすることで、自社・取引先・委託先・グループ企業などを含めたサプライチェーン全体のセキュリティ水準の底上げが図れるようになります。
本記事では、SCS評価制度の具体的な評価方法や評価の流れについて、2026年3月時点で公表されている内容をもとに解説します。
「まずはSCS評価制度の全体像を知りたい」という方は、下記の記事をご確認ください。
SCS評価制度の評価対象
SCS評価制度は、特定の業種・業界に限って適用される制度ではなく、サプライチェーンを構成するすべての企業を対象とした制度です。
発注元・受注先・再委託先など、立場に関わらず、すべての企業が対象となります。
また、評価対象となるのは、オンプレミス環境およびクラウド環境を含むIT基盤です。
具体的には、公開サーバーや認証基盤、PCやスマートフォンなどのエンドポイント機器をはじめ、自社ネットワークに接続されたIT基盤を構成するシステムや機器が原則として評価対象となります。
なお、製造設備などの制御系(OT)システムについては、IT基盤とは性質が異なるため、本制度では原則として適用範囲には含めないものとして整理されています。
SCS評価制度の評価方法
SCS評価制度で星を取得するためには、評価・審査を受ける必要があります。
この評価・審査方法は、取得を目指す星の段階によって内容が異なります。
| 段階 | 予定されている評価方法 |
|---|---|
| 三つ星(★3) | ・文書確認 |
| 四つ星(★4) | ・文書確認 ・実地審査 ・技術検証 |
それぞれの評価おいて、具体的にどのような内容が実施されるのかを確認していきましょう。
なお、2026年度末頃の運用開始が予定されているのは三つ星と四つ星であり、五つ星については現在も検討が進められています。
文書確認
文書確認は、三つ星・四つ星で共通して実施される評価方法です。
企業が作成した自己評価の内容について、記載内容に矛盾がないか、評価基準から見て十分な事項が記されているかなどが確認されます。
所要期間は1〜2日程度が目安とされており、三つ星の場合はセキュリティ専門家が、四つ星の場合は指定委員会から指定を受けた評価機関が確認を行います。
三つ星では、記載内容に明らかな不適合が認められない場合、登録機関への申請を経て星を取得することができます。
一方で、四つ星を目指す企業は、実地審査および技術検証へと進みます。
実地審査
相対的に重要性が高いと考えられる対策事項について、証拠確認を含めた評価が行われます。
実地審査では、例えば以下のような内容が確認される予定です。
- 脆弱性の管理体制、管理プロセス
- セキュリティインシデント対応手順
- 事業継続要件に沿った復旧準備
このような内容について、ヒアリングや規程確認が行われるほか、実際の操作画面を用いて設定状況を確認するなど、証拠に基づいた検証も予定されています。
審査は、指定委員会から指定を受けた評価機関が実施し、所要期間は1〜2日程度が目安とされています。
なお、実地審査はリモートでの実施も可能とされています。
技術検証
技術検証は、四つ星の取得を目指す企業を対象とした審査プロセスであり、技術検証事業者が実施します。
この審査では、企業がインターネット上に公開している機器のうち、 VPN装置やルーターなどの、脆弱性を悪用された場合に組織内部への侵入リスクが高い機器を対象に、脆弱性検査を含む技術的な検証が実施されます。
検証にあたっては、評価基準No.4-4-4-3に基づき、インターネットとの境界に設置されるネットワーク機器のOSおよびファームウェアについて、CVSS基本値7.0以上の脆弱性を有していないことが確認されます。
また、この検証については、直近に実施した脆弱性診断の結果など、同等の内容を証明できる証拠を提出することで、代替することも可能とされています。
所要期間は、事前準備や報告書作成を除き、1〜2日程度が目安です。
なお、実地審査および術検証のより具体的な実施内容については、現在も検討が進められています。
SCS評価制度における評価・審査の流れ
三つ星と四つ星では、評価の主体や工程が異なります。
ここでは、星の段階別の評価の流れについて現時点で公表されていることを解説します。
なお、五つ星については、現在も検討が進められています。
三つ星
三つ星の審査は、企業による自己評価を基本としつつ、セキュリティ専門家による確認を通じて行われます。
このセキュリティ専門家は、情報処理安全確保支援士やCISSPなどの公的資格を保有し、所定の研修を受講していることが前提となります。
三つ星の審査は、以下の流れで進められます。
| 1 | 適用範囲の決定 |
|---|---|
| 2 | 三つ星の要求事項に基づいた自己評価の記入 |
| 3 | セキュリティ専門家による審査の実施 |
| 4 | 不適合事項への対応(必要に応じて社内外の専門家の支援を活用) |
| 5 | セキュリティ専門家による最終確認および署名 |
| 6 | 経営層による自己適正宣誓 |
| 7 | 事務局への提出、台帳登録 |
まず、制度で定められた要求事項をもとに、企業の担当者が自己評価を実施し、自社の対策状況を整理します。
次に、セキュリティ専門家による内容確認が行われます。
この専門家は外部に依頼することも可能ですが、社内に要件を満たす人材がいる場合は、社内で対応することも認められています。
確認の結果、不適合事項が見つかった場合は、専門家からの助言を踏まえて内容を補強します。
SCS評価制度では、すべての評価基準への適合が求められており、1項目でも不足がある場合は星を取得することはできません。
最終確認が完了した後、専門家の署名および経営層による宣誓書を添えて、登録機関へ申請します。
申請内容に問題がなければ、三つ星を取得できます。
四つ星
四つ星の審査の主体となるのは、指定委員会に指定された評価機関です。
この評価機関は、制度に基づき一定の要件を満たすことが求められており、セキュリティ専門家を責任者として配置することや、情報保護・品質管理に関するマニュアルの整備および向上などが要件とされています。
四つ星の審査は、以下の流れで進められます。
| 1 | 適用範囲の決定 |
|---|---|
| 2 | 自社での回答準備(自己評価の実施) |
| 3 | 第三者評価機関による審査の実施(実地検査) |
| 4 | 技術検証事業者による検証の実施 |
| 5 | 不適合事項への対応 |
| 6 | 第三者評価機関による最終確認 |
| 7 | 事務局への提出、台帳登録、証書発行 |
まず、社内で評価基準を確認し、現状の対策がどの程度要件を満たしているかを把握します。
そのうえで、第三者評価機関に対して審査を依頼します。
評価機関による審査では、ヒアリングや規程・操作画面の確認を行う「実地審査」と、リスクの高い外部公開機器を対象とした「技術検証」の両方が実施されます。
すべての審査を通過した場合に、四つ星として登録・公開されます。
審査の過程において不適合事項が指摘された場合、企業は当該不適合に是正対応を行い、その結果を是正報告としてまとめ、一定期間内(例:評価機関からの指摘事項が通知されてから1ヶ月以内)に提出する必要があります。
提出した内容について改めて確認が行われ、不適合が解消されたと判断された場合には、次のステップに進むことが可能になります。
なお、それぞれの段階における要求事項・評価基準について詳しく知りたい方は、下記の記事をご確認ください。
SCS評価制度の審査・評価における注意点
星の取得をスムーズに進め、制度を効果的に活用するためには、あらかじめ押さえておきたい注意点・ポイントがあります。
- 継続的な取り組みが求められる
- 認証方式を見直す
詳しく確認していきましょう。
継続的な取り組みが求められる
SCS評価制度は更新制をとっており、三つ星は1年、四つ星は3年の有効期間が設けられています。
三つ星を維持するためには、年次で対策状況を点検し、要求事項への遵守状況を確認した上で、自己評価の更新版を登録機関へ提出する必要があります。
四つ星は有効期間が3年ですが、維持のためには、年に1回の自己評価を実施し、その結果を評価機関に提出することが想定されています。
なお、三つ星・四つ星どちらの段階においても、前回取得時に設定した適用範囲や対策状況に影響を及ぼす変更があった場合には、セキュリティ専門家または評価機関による再確認・再評価を受ける必要があります。
このようにSCS評価制度では、星の取得後も継続的な点検や見直しが求められます。
一度取得すれば終わりというものではなく、社内ルールや技術的対策を定期的に見直し、セキュリティ水準を維持・向上させていくことが重要です。
認証方式を見直す
セキュリティ対策を進める上で盲点になりやすいのが、古くから運用しているサーバーや機器の存在です。
システムのアップデートを継続していても、そもそもの設計自体が古い場合には、多要素認証などの新しい認証方式に対応していないケースがあります。
このような機器は、アップデートだけで対応することには限界があるため、利用停止や構成の見直し、別の手段への移行などを検討する必要があります。
制度の要件を満たすことを目的とするだけでなく、自社のセキュリティ水準を実質的に高める観点から、認証基盤を含めた全体の対策状況を見直すことが推奨されます。
SCS評価制度の想定スケジュール
三つ星および四つ星は、2026年度末頃の制度開始(申請受付の開始)が目指されています。
出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(令和8年3月)
運用開始後にいち早く星を取得するためには、開始を待つのではなく、今から必要な対策を計画的に進めていくことが重要です。
特に、社内規程の整備やシステム対応には相応の時間を要するため、運用開始時期から逆算し、早めの準備をはじめましょう。
なお、五つ星の評価スキームや開始時期については、2026年度以降に要求事項や評価基準の具体化に向けた検討が進められる予定です。
三つ星・四つ星とは異なる枠組みおよびスケジュールで進むため、動向を注視しつつ、段階的に対応を検討する必要があります。
また、開始時期や内容については、制度運営基盤の整備状況などにより変更となる可能性がある点にも留意が必要です。
制度開始に向けて取り組むべき対策
SCS評価制度で星を取得するためには、段階ごとに定められた要求事項・評価基準をすべて満たす必要があります。
1項目でも対応が漏れてしまうと星を取得できないため、まずは要求事項・評価基準の内容を正確に理解することが重要です。
その上で、自社の現状とのギャップを把握し、セキュリティツールの導入や、社内ルールの見直しに向けた現実的なスケジュールを策定することで、制度への対応をよりスムーズに進めることができます。
制度の運用開始後は、星の取得を取引条件とする企業が増加することが想定されます。
このような状況において制度対応が後手に回っていると、「準備が間に合わなかった」「開始後に検討すればよいと考えていた」などの理由で、競合他社にビジネスチャンスを奪われる可能性があります。
こうした事態を避けるためにも、制度対応の重要性を改めて社内で共有し、計画的に準備を進めていくことが求められます。
なお、SCS評価制度は更新制をとっているため、星の取得後も継続的に取り組める体制を構築しておくことが重要です。
SCS評価制度にいまから本気で取り組むなら「ガイドライン対応サポートアカデミー」
本記事で解説した通り、三つ星・四つ星の取得には、セキュリティ専門家や第三者評価機関からの審査をクリアする必要があります。
特に、四つ星の取得を目指す場合は、書類での審査以外にも、実地審査や技術検証が想定されているため、評価基準を正しく理解した上で、対策を進めていくことが欠かせません。
しかし、いまから計画的に対策を進めようとしても、「そもそも何から始めればよいかわからない」「正しく制度理解が進められているか不安」といった課題を抱える企業・組織は少なくありません。
こうした課題をお持ちの企業・組織の方に向けて、LANSCOPE プロフェッショナルサービスが提供する「ガイドライン対応サポートアカデミー」をご紹介します。
「ガイドライン対応サポートアカデミー」は、お客様のセキュリティレベルの向上をアカデミー形式で支援するコンサルティングパッケージです。
「ガイドラインの内容が難しくてわからない」「前提となるセキュリティ対策の知識が足りない」といったお悩みに対して、コンサルタントによる伴走支援をはじめ、解説動画の提供や個別相談などを通じて、実践的な対策の実行をサポートします。
SCS評価制度への対応に関しても、認定要件への適合状況を専門的な視点でチェックし、星の取得に向けた具体的なアドバイスを提供します。※
「ガイドライン対応サポートアカデミー」についてより詳しく知りたい方は、以下のページまたは資料をご確認ください。
「SCS評価制度(セキュリティ対策評価制度)」への対策、何から始める?
経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。
※本サービスの支援内容は2025年12月に経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」で公表した「【参考資料】★3・★4要求事項案・評価基準案」をもとにしています。
まとめ
本記事では「SCS評価制度の評価方法」をメインテーマに、評価方法の詳細や段階別の評価の流れなどを解説しました。
▼本記事のまとめ
- SCS評価制度は、サプライチェーンを構成するすべての企業を対象とした制度であり、評価の対象となるのは、オンプレミス環境およびクラウド環境を含むIT基盤(一部除外あり)
- 三つ星・四つ星の取得には、セキュリティ専門家や第三者評価機関による審査が必要であり、特に四つ星の取得には、「実地審査」と「技術検証」が実施される
- SCS評価制度は更新制を採用しているため、取得を目的として一時的にセキュリティ体制を構築するのではなく、継続的に維持できる体制を構築することが重要
- 現時点では2026年度末の運用開始が予定されているが、運用開始後の一早い星の取得を目指すためには、今から計画的に対策を進めることが重要
SCS評価制度で星を取得するためには、評価・審査を通過する必要があり、要求事項・評価基準は、段階によって内容が異なります。
目指す星の段階は原則として発注企業側が判断するものとされていますが、経済産業省が示している考え方では、重要な取引先に対しては四つ星の取得を求めるケースが想定されています。
そのため、制度自体への理解を深めることはもちろん、評価基準の内容についても、計画的に把握・対応を進めていくことが重要です。
なお、「自社だけでは制度への対応に不安がある」「専門家のアドバイスを受けながら、効率的に準備を進めたい」という企業・組織の方は、本記事で紹介した「ガイドライン対応サポートアカデミー」の活用もご検討ください。
「SCS評価制度(セキュリティ対策評価制度)」への対策、何から始める?
経済産業省は2026年に「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始を予定しています。制度開始後にいち早く認定を受けるためにいますぐに始められる対策を解説します。
おすすめ記事
