-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
取引先を経由したサイバー攻撃の被害が増加するなか、経済産業省と内閣官房国家サイバー統括室は、サプライチェーン全体のセキュリティ水準を底上げするための新しい制度の整備を進めています。それが「サプライチェーン強化に向けたセキュリティ対策評価制度」、通称SCS評価制度です。
2026年度末ごろの運用開始が予定されているこの制度は、企業のセキュリティ対策状況を★3〜★5の段階で可視化し、発注企業が取引先に対して一定のセキュリティレベルを求める基準として活用されることが想定されています。対応が遅れると、取引機会に影響が出る可能性もあります。
この記事では、制度の概要・★レベルの基準・運用開始スケジュール・企業が今から準備すべきことを整理して解説します。
目次
[開く][閉じる]- 制度の背景と目的
- 制度の概要
- ★3・★4・★5の違い
- SECURITY ACTIONとの関係
- どの企業が対象になるか
- 発注者・受注者それぞれへの影響
- 2026年度までの流れ
- ★5の検討状況
- 発注企業がすべきこと
- 受注企業がすべきこと
- 中小企業向け支援策
- 既存認証との違い
- 両方取得するケース
- いつから始まるのか
- どの企業が対象になるのか
- 中小企業でも対応が必要か
- ISMSを取得していれば対応済みか
- ★3と★4はどちらを取得すべきか
- 取得しないと取引に影響するのか
サプライチェーン強化に向けたセキュリティ対策評価制度とは
「サプライチェーン強化に向けたセキュリティ対策評価制度」は、経済産業省と内閣官房国家サイバー統括室が主導する新しいセキュリティ評価の仕組みです。略称は「SCS(Supply Chain Security)評価制度」と呼ばれます。
企業のセキュリティ対策状況を統一的な基準で可視化し、サプライチェーン全体のセキュリティ水準を底上げすることを目的としています。
制度の背景と目的
近年、大企業を直接狙うのではなく、セキュリティ対策が比較的手薄な取引先を経由してサイバー攻撃を仕掛ける「サプライチェーン攻撃」が深刻化しています。
IPAが公表する「情報セキュリティ10大脅威」でも、サプライチェーンや委託先を狙った攻撃が8年間(2019〜2026年)にわたってランク入りしており、組織全体でのセキュリティ強化が急務となっています。
こうした状況にもかかわらず、発注企業が取引先のセキュリティ対策状況を外部から客観的に判断することは容易ではありませんでした。また、受注企業にとっても、複数の取引先からそれぞれ異なるセキュリティ対策を求められることが大きな負担となっていました。
SCS評価制度は、こうした課題を解消するために設計されています。
企業のセキュリティ対策状況を★の段階で可視化することで、発注企業が取引先のセキュリティレベルを効率的に確認できるようにし、サプライチェーン全体のリスク低減を目指しています。
なお、本制度は企業のセキュリティ対策レベルを競わせるための格付け制度ではなく、あくまで対応状況を可視化する仕組みです。
制度の概要
SCS評価制度では、企業のセキュリティ対策状況を★3・★4・★5の3段階で評価します。なお、既存の制度「SECURITY ACTION」における★1・★2の宣言については後述します。
各企業は自社の立ち位置や取引先から求められる要件に応じて、目標とする★レベルを設定し、対策を進める形になります。
具体的には、2社間の取引契約において、発注元企業が委託先企業に対して適切な★レベルを提示し、対策の実施を促すとともに実施状況を確認することが想定されています。
制度の運用開始は2026年度末ごろが予定されており、まず★3・★4の運用が始まる見込みです。
評価の仕組みと★レベルの基準
SCS評価制度では、企業のセキュリティ対策レベルに応じて★3・★4・★5の3段階が設けられています。
上位の段階はそれ以下の段階で求められる事項を包括しますが、★3を取得していなければ★4を取得できないという順序制限はありません。
なお、SCS評価制度の最新情報や実務的な運用ガイドラインはIPAが順次公開予定です。
★3(Basic)
すべてのサプライチェーン企業が最低限実装すべき段階です。基礎的なシステム防御策と体制整備を中心とした25項目の対策が求められます。
評価方式は「専門家確認付き自己評価」で、自社で評価した結果を情報処理安全確保支援士などの有資格者を含む社内外のセキュリティ専門家が確認・助言する形で進めます。
評価は1年に1回実施することが必要です。
★4(Standard)
サプライチェーン企業が標準的に目指すべき段階です。
組織ガバナンス・取引先管理・システム防御・検知・インシデント対応など、44項目の包括的な対策の実施が求められます。
評価方式は第三者評価機関による審査(文書確認・実地審査・技術検証)が必要です。第三者評価は3年に1回ですが、審査がない年も★3と同様に年1回の自己評価が必要です。
なお、評価コストの負担を抑える観点から詳細は今後検討予定です。
★5
到達点として目指すべき最も高度な段階です。
国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備したうえで、現時点でのベストプラクティスに基づく対策の実施が求められます。
評価方式は第三者評価ですが、対策項目・評価スキームの詳細は今後検討予定です。
SECURITY ACTIONとの関係
IPAが運営する「SECURITY ACTION」は、中小企業が自社のセキュリティ対策状況を自己宣言する制度で、★1と★2の2段階が定義されています。
★1は「情報セキュリティ6か条」への取り組み宣言、★2は情報セキュリティ基本方針の策定・公開と取り組み宣言が要件で、いずれも自己宣言で完結します。
SCS評価制度の★3・★4・★5は、このSECURITY ACTIONの★1・★2に続く形で設計されており、連続した段階として位置づけられています。
なお、SCS評価制度において★1・★2の自己宣言申請は必須ではありません。すでに社内でセキュリティ対策の基盤が整っている企業や、本格的な取り組みを進めたい企業は、★3から対応を開始することも可能です。
一方で、「どこから手をつければよいかわからない」「社内リソースが限られている」という企業は、まずSECURITY ACTIONの★1・★2から着手し、段階的にステップアップしていくアプローチも有効です。
いずれの場合も、★3への対応は25項目の対策実施と専門家による確認が求められるため、外部の支援を活用しながら計画的に進めることが現実的です。
(※)SECURITY ACTIONについて詳しくは、こちらのページをご覧ください:IPA|SECURITY ACTIONとは?
また、★1の要件となる「情報セキュリティ6か条」は、IPAの「中小企業の情報セキュリティ対策ガイドライン」に記載されています:IPA|中小企業の情報セキュリティ対策ガイドライン
対象企業と適用範囲
SCS評価制度はどの企業が対象になるのか、また発注者・受注者それぞれにどのような影響があるのかを整理します。
どの企業が対象になるか
SCS評価制度は、業種や規模を問わず、サプライチェーンに属するすべての企業が対象となります。
特に以下のような企業・事業者は制度の影響を受けやすく、優先的に対応を検討することが推奨されています。
- 政府機関・重要インフラ事業者・主要製造業など、高いセキュリティレベルが求められる発注者層
- BPO事業者・製品部品製造業など、様々な業界からセキュリティ要請を受ける中間層
- BtoB取引を行う中小企業全般など、サプライチェーンを下支えするエンド層
情報システムの開発・構築・運用を受託する事業者や、クラウドサービス(IaaS・PaaS・SaaS)を提供する事業者も、制度の対象範囲に含まれる可能性が高いとされています。
発注者・受注者それぞれへの影響
発注企業(発注者側)にとっては、取引先のセキュリティ対策状況を統一の★レベルで確認できるようになります。
これにより、これまで各社が独自に行っていたセキュリティチェックシートによる確認作業の負担を軽減できることが期待されています。
一方で、取引条件として★レベルを提示する立場にもなるため、委託先に求める★レベルを早めに検討しておく必要があります。
受注企業(受注者側)にとっては、自社のセキュリティ対策状況を客観的な基準で示せるようになり、取引先への説明が効率化されます。
制度開始後、発注企業が2社間の取引契約において委託先に適切な★レベルを提示するケースが出てくることが想定されます。
運用開始までのスケジュール
2025年4月に中間取りまとめが公表され、同年12月に制度構築方針(案)が公表・意見公募が開始されました。
2026年4月から9月は制度立ち上げの準備期間となり、業務プロセスの整備や制度の試行的な実施検討が進められます。
そして2026年度上期末頃(2026年9月頃)を目安に★3・★4の運用開始が想定されています。
運用開始後の2026年度下期(10月以降)には、取得企業の公表が予定されています。
★5の検討時期
★5については、2026年度以降に対策基準や評価スキームの具体化が検討される予定です。
現時点では★5の詳細な要件や運用開始時期は未定であり、今後の動向を注視する必要があります。
企業が今から準備すべきこと
2026年度末頃の運用開始まで時間があるように見えますが、セキュリティ対策は一朝一夕で完了するものではありません。
今から準備を始めることが重要です。
発注企業がすべきこと
発注企業は、自社の取引先に求めるセキュリティレベルを整理する必要があります。
- どのレベルを基準にするか
- 既存取引先の対応状況
- 今後の取引方針
発注企業はまず、自社のサプライチェーンを構成する委託先を洗い出し、どの委託先にどの★レベルを求めるかを検討することが優先されます。
委託先に求める★レベルを決定したら、早めに委託先へ周知・連絡することで、受注側の準備期間を確保できます。
また、自社の委託先管理プロセスを見直し、セキュリティ要件を取引条件に組み込む準備を進めることも重要です。
受注企業がすべきこと
受注企業は、自社の現状を把握し、必要な対策を進める必要があります。
- 現状のセキュリティ対策の棚卸し
- 不足している項目の特定
- 優先順位をつけた対応
まず、目標とする★レベルを見極めることが出発点です。
取引先から求められる要件を確認したうえで、現状のセキュリティ対策状況と目標★レベルとのギャップを分析し、対応計画を立案します。
★3を目指す場合は、基礎的なシステム防御と体制整備、★4を目指す場合は組織ガバナンスやインシデント対応体制の整備など、より包括的な対策が必要になります。
いずれも対応には一定の時間がかかるため、早めの着手が求められます。
特に中小企業は、まず★3レベルの達成を目標にするのが現実的です。
中小企業向け支援策
リソースが限られる中小企業向けには、経済産業省とIPAが「サイバーセキュリティお助け隊サービス」(新類型)を創設する予定です。
このサービスでは、★3・★4の取得時および更新時にセキュリティ対策状況を評価し、未達成項目についてはITツールの導入や人的支援によって達成を支援する内容が想定されています。
国が認定した民間事業者が安価に提供する形が検討されており、中小企業が制度に取り組みやすい環境づくりが進められています。
ISMSやPマークとの関係
SCS評価制度の検討を進めるなかで、「すでにISMSやPマークを取得しているが、新たに対応が必要なのか」という疑問を持つ企業も多くあります。
ここでは既存認証との違いと、両方を取得するケースについて解説します。
既存認証との違い
ISMSは組織全体の情報セキュリティ管理体制を評価する国際規格で、リスクベースで幅広い情報資産を対象とします。Pマークは個人情報の適切な取り扱いを証明する国内認証制度です。
いずれも組織のセキュリティ管理体制を第三者が評価する点でSCS評価制度と共通していますが、目的と対象範囲が異なります。
SCS評価制度はサプライチェーンのリスクに特化し、取引関係における企業間のセキュリティレベルを可視化することを目的としています。
ISMSがリスクベースで組織全体を評価するのに対し、SCS評価制度は取引先との関係性や委託先管理の観点から必要なセキュリティ対策を定義している点が特徴です。
両方取得するケース
ISMSやPマークをすでに取得している企業は、その取り組みがSCS評価制度の対応にも活用できる可能性があります。特にISMSで整備したリスク管理体制やインシデント対応フローは、★4・★5で求められる要件と重なる部分があります。
ただし、ISMSを取得していれば自動的にSCS評価制度への対応が完了するわけではありません。既存認証の取り組みを棚卸しし、SCS評価制度の要求事項とのギャップを確認することが必要です。
その際、以下の点に注意が必要です。
ISMSを取得している場合 ISMSは組織が自ら適用範囲を決定できるため、取得済みの範囲がSCS評価制度で求められる範囲と一致しているとは限りません。適用範囲に差分がある場合は、追加対応が必要になります。
Pマークを取得している場合 Pマークは全社が適用範囲となりますが、対象とする情報は個人情報に限られます。SCS評価制度では個人情報以外の情報資産も対象となるため、Pマーク取得のみではSCS評価制度への対応は完了しません。
ISMSやPマークについて詳しく知りたい方は、以下の記事もあわせてご覧ください。
よくある質問(FAQ)
SCS評価制度の導入を検討する際によく寄せられる質問をまとめました。
Q:サプライチェーン強化に向けたセキュリティ対策評価制度はいつから始まりますか
★3・★4については2026年度末頃(2026年9月頃)の運用開始が想定されています。★5については2026年度以降に詳細が検討される予定です。
どの企業が対象になりますか
業種・規模を問わず、サプライチェーンに属するすべての企業が対象です。特に情報システムの開発・運用を受託する事業者やクラウドサービスを提供する事業者は対象に含まれる可能性が高いとされています。
Q:中小企業でも対応が必要ですか
必要です。ただし、中小企業向けには「サイバーセキュリティお助け隊サービス」(新類型)などの支援策が設けられる予定です。まずは取引先から求められる★レベルを確認し、できる範囲から対応を始めることが現実的です。
Q:ISMSを取得していれば対応済みになりますか
ISMSの取り組みはSCS評価制度の対応に活用できる部分がありますが、自動的に対応済みとなるわけではありません。SCS評価制度はサプライチェーンに特化した基準であるため、既存の取り組みとのギャップを確認する必要があります。
Q:★3と★4はどちらを取得すべきですか
取引先から求められる要件によって異なります。まずは発注企業から求められる★レベルを確認することが優先です。要件が指定されていない場合は、自社のセキュリティリスクや事業規模に応じて判断します。すべての企業が最低限目指すべき水準として★3が位置づけられています。
Q:取得しないと取引に影響しますか
発注企業が取引条件として★レベルの取得を求めるケースが出てくる可能性はあります。
対応が遅れると取引機会を失うリスクがあるため、早めの準備が重要です。
まとめ:2026年度のSCS評価制度運用開始に向けて今から動き出そう
サプライチェーン強化に向けたセキュリティ対策評価制度は、サプライチェーン全体のセキュリティ対策を可視化し、取引先選定の新たな基準となることが想定されている制度です。
2026年度上期末頃に★3・★4の運用が開始される見込みであり、早ければ2027年度の取引条件として本制度が参照される可能性があります。
発注企業・受注企業ともに、制度開始を待たずに自社の対応状況を整理しておくことが重要です。
まずは自社が発注側・受注側のどちらの立場にあるかを確認し、目標とする★レベルと現状のギャップを把握することが最初の一歩になります。
Writer
codebook 編集部
著者
株式会社マキナレコードが運営するセキュリティメディア「codebook」の編集部です。マキナレコードでは、「安心・安全な社会を実現するために、世界中の叡智を集め発信し、訴求していく」ことをミッションとして掲げています。本サイトにおいてもこのミッションを達成すべく、サイバーインテリジェンスや情報セキュリティに関する多様な情報を発信しています。
