【2026年最新】経済産業省「SCS評価制度(セキュリティ対策評価制度)」完全ガイド|背景・要件・実務対策を網羅したロードマップ

2026/4/30 最終更新日時 : 2026/4/30 スータブル・ソリューションズサービス担当者スータブル・ソリューションズサービス担当者

2026年3月、経済産業省(METI)および内閣官房国家サイバー統括室は、日本の産業界におけるサイバーセキュリティの「転換点」となる指針を公表しました 。それが「サプライチェーン強化に向けたセキュリティ対策評価制度(通称:SCS評価制度)」です 。

これまでのセキュリティ対策は「個社」の努力に委ねられてきましたが、今後は「サプライチェーン全体」での強靭性が問われます 。本記事では、全40ページの構築方針書を徹底的に解剖し、ビジネスリーダーや実務担当者が今すぐ知るべき情報を網羅的に解説します。

1. なぜ「SCS評価制度」が必要なのか? ― 深刻化するサプライチェーンリスク

近年、日本の製造業やサービス業を支えるサプライチェーンを狙ったサイバー攻撃が激化しています

1.1 現状の課題:可視化と負担のジレンマ

現在、企業間取引におけるセキュリティ確認には、主にExcel等の「独自チェックリスト」が使われていますが、以下の課題が表面化しています

  • 委託元企業の苦悩:委託先の対策が可視化しづらく、要求事項の適正性を担保することも困難 。
  • 委託先(受注側)の疲弊:複雑なサプライチェーン下で、様々な委託元から異なる要求を求められ、特に中小企業において過度な負担が生じている 。

1.2 制度の理念:格付けではなく「共通の物差し」

SCS評価制度は、事業者のセキュリティレベルを競わせる「格付け」ではありません

  • 適切な対策の提示:包括的なリスク分析に基づき、企業が直面するリスク(事業継続、データ保護、不正アクセス)に応じた共通の対策を示します 。
  • 社会的コストの削減:業界横断的なコンセンサスを形成することで、取引に伴う社会的コストの低減を目指します 。

2. 制度の全容:対象範囲と運用体制

2.1 評価の対象範囲(スコープ)

本制度は、企業体における「IT基盤」を対象としています

  • IT基盤に含まれるもの:Web・メール等の公開サーバ、認証基盤、PC・スマートデバイス等のエンドポイント機器、およびネットワーク機器(FW、ルータ、VPN装置等) 。
  • クラウドサービスの扱い:責任共有モデルに基づき、自社側の対策やサービス提供者の対策状況確認(ISMAP登録確認等)が必要となります 。
  • 対象外となるもの:製造環境等の制御(OT)システム、および発注元に提供する製品そのものは、別のガイドライン等での対応が想定されています 。

2.2 制度の運用体制

制度の信頼性を担保するため、政府のガバナンスが効く体制が構築されています

  • スキームオーナー:経済産業省の監督のもと、独立行政法人情報処理推進機構(IPA)が運営を担います 。
  • 運営審議委員会:制度についての基準策定や審議を行います 。
  • 事務局:制度の管理運営、★3〜4取得事業者の一覧登録・公開、ロゴマークの発行などを行います 。

3. レベル別要件の徹底解説:★3・★4・★5の違い

本制度は、IPAが運営する「SECURITY ACTION」を準備段階(★1・★2)とし、本格的な評価として★3から★5までの段階を設けています

3.1 ★3(一つ星):基礎的な防御の確立

すべてのサプライチェーン構成企業が最低限実装すべき基準です

  • 想定脅威:広く認知された脆弱性等を悪用する一般的なサイバー攻撃 。
  • 要求事項数:26件 。
  • 評価スキーム専門家確認付き自己評価 。企業自らが行った評価に対し、有資格のセキュリティ専門家(情報処理安全確保支援士等)が確認・助言し、事務局へ提出します 。
  • 有効期間:1年 。

3.2 ★4(二つ星):標準的に目指すべき包括的な対策

サプライチェーンにおいて標準的に目指すべき、より高度な基準です

  • 想定脅威:供給停止や機密情報漏えいに直結する、企業への標的型攻撃 。
  • 要求事項数:43件 。
  • 評価スキーム第三者評価 + 技術検証 。指定された評価機関による審査に加え、VPN装置等の外部境界機器に対する脆弱性検査(技術検証)が必須となります 。
  • 有効期間:3年(有効期間内は年次での自己評価報告が必要) 。

3.3 ★5(三つ星):高度なマネジメントとベストプラクティス

  • 想定脅威:未知の攻撃も含めた、高度なサイバー攻撃 。
  • 対策の方向性:国際規格(ISO/IEC 27001等)に基づくマネジメントシステムの確立と、最新のベストプラクティスに基づく技術対策の実行 。
  • ステータス:令和8年度(2026年度)以降に詳細を具体化する予定です 。

4. セキュリティ要求事項の詳細 ―― 具体的になにをすべきか?

NISTサイバーセキュリティフレームワーク(CSF)等に基づき、対策は以下の7分類に整理されています

① ガバナンスの整備

  • ★3:セキュリティ担当者の明確化、対応方針の策定 。
  • ★4:経営層への定期報告、不備の是正プロセスの確立 。

② 取引先管理

  • ★3:他社との機密情報の取扱い明確化、接続している外部サービスの把握 。
  • ★4:機密情報共有先の把握、重要な取引先の対策状況把握 。

③ リスクの特定

  • ★3:情報資産やネットワーク構成の現状把握 。
  • ★4:脆弱性管理体制・プロセスの明確化 。

④ 攻撃等の防御

  • ★3:ID・パスワードの適切な設定・管理、内外ネットワーク境界の分離 。
  • ★4:重要な保管データの暗号化、ログの収集・分析、出口対策(不正通信遮断) 。

⑤ 攻撃等の検知

  • ★3:ネットワーク上の基礎的な監視 。
  • ★4:情報機器等の挙動監視と迅速な異常検知 。

⑥ インシデントへの対応

  • ★3/★4共通:インシデント対応手順の作成・整備 。

⑦ インシデントからの復旧

  • ★3:復旧するための対策整備 。
  • ★4:復旧目標(RPO/RTO)を満たす具体的な手順の整備 。

5. 【実務深掘り】制度開始に向けた「階層別」アクションプラン

令和8年度(2026年度)下期の運用開始に向けて、組織が今すぐ着手すべき実務を整理します

5.1 経営層(ガバナンス層):投資と交渉の準備

  • CISOの任命と権限委譲:セキュリティを経営課題として位置づけ、予算とリソースを確保します 。
  • パートナーシップ構築の検討:経済産業省と公正取引委員会が公表した事例に基づき、取引先との適正な費用負担に関する協議の準備を進めます 。

5.2 実務担当者(管理層):資産とルールの棚卸し

  • IT資産の完全棚卸し:適用範囲(法人単位、または事業部単位)を確定させ、管理対象機器をリストアップします 。
  • 規程の最新化:IPAのガイドライン等を参考に、★3の26項目に合致する「情報セキュリティ規程」および「手順書」の整備を開始します 。
  • 専門家パートナーの選定:★3取得には専門家(登録セキスペ等)の署名が必須です。IPAの「支援者リスト」等を活用し、継続的に支援を受けられる専門家を探します 。

5.3 IT・セキュリティ部門(技術層):堅牢なIT基盤の構築

  • 脆弱性管理プロセスの確立:★4の「技術検証」に合格できるよう、定期的なパッチ適用と脆弱性スキャンのプロセスをルーチン化します 。
  • ログ管理と復旧テスト:★4で求められるログの収集体制を整え、実際にRTO(復旧時間目標)通りに復旧できるかシミュレーションを実施します 。

6. 中小企業のための強力な支援スキーム

6.1 サイバーセキュリティお助け隊サービス(新類型)

★3・★4の取得・更新を支援するための新しいサービスが登場します

  • 診断と対策のセット:中小企業の対策状況を診断し、不足項目をITツールと人的支援の組み合わせで補完します 。
  • 安価なパッケージ:一定の価格要件の下、中小企業が自助努力で達成しづらい項目(規程整備、教育等)も支援されます 。

6.2 専門家マッチングと指導ツール

  • 中小企業向け専門家リスト:登録セキスペ等の有資格者の得意分野を可視化したリストにより、最適な専門家を探せます 。
  • 5テーマの実施要領:情報資産の洗い出しやリスク分析など、具体的な指導テーマに沿った支援ツールが整備されています 。

7. 国内外の関連制度との関係性

本制度は、既存の仕組みや国際標準と相互補完的な関係を目指しています

  • ISMS(ISO/IEC 27001)との比較:ISMSは「組織のリスクアセスメントに基づくマネジメントシステム」を重視するのに対し、本制度(★3・4)は「代表的な脅威に基づく具体的な対策の実行」を重視します 。
  • 自工会・部工会ガイドラインとの連携:★3はLv1に、★4はLv2に対応しており、自動車業界等の先行基準との整合性が図られています 。
  • 海外制度(Cyber Essentials等)との調整:英国のCyber Essentials等との将来的な相互認証の可能性も念頭に、調査・意見交換が継続されています 。

8. 【FAQ】現場の切実な疑問に回答

Q. 取得しないと取引ができなくなりますか?

A. 法令上の義務ではありませんが、発注元企業がサプライヤー選定の基準として「★3以上の取得」を要請するケースが増えることが想定されます

Q. 費用負担はどう考えればいいですか?

A. セキュリティ対策はサプライチェーン全体の利益に資するものです。経済産業省・公正取引委員会は、発注者と受注者がパートナーシップを構築し、適正な費用負担について円満に合意することを推奨しています

Q. すでに高度な対策をしている場合は?

A. ★5への対応や、ISMS、TICS、JC-STAR等の関連制度との柔軟な使い分けが想定されています

9. まとめ:2026年度に向けたアクション・タイムライン

令和8年度(2026年度)下期の本格運用開始は、決して先の話ではありません

  1. 令和7年度(2025年度):実証事業の結果や公表される要求事項案をチェックし、社内のIT資産の棚卸しを完了させる 。
  2. 令和8年度(2026年度)上期:公表される自己評価ガイドに基づき規程を整備。お助け隊サービス等の活用を検討する 。
  3. 令和8年度(2026年度)下期事務局への申請開始 。ロゴマークを取得し、自社の「信頼」を可視化する。

本制度への対応は、単なるコストではなく、貴社がサプライチェーンの中で「選ばれ続けるパートナー」であり続けるための重要な投資です。

投稿者プロフィール

スータブル・ソリューションズサービス担当者
スータブル・ソリューションズサービス担当者
スータブル・ソリューションズは日々のITに関するQ&Aから、ITインフラ周りの構築・保守サポートまでワンストップで対応します。IT化の信頼おけるパートナーとして貴社に最適なソリューションを提案し、課題解決にオーダーメイド型のサービスを提供します。

【有資格】
■事業免許
総務省 届出電気通信事業者 A-10-3067号
東京都公安委員会 事務機器商営業許可 第306660205689号
東京都 産業廃棄物収集運搬許可 第13-00-119879号
神奈川県 許可番号 01400119879号

■取得認証
情報セキュリティマネジメントシステムISO27001認証(登録番号 JUSE-IR-402)
情報処理支援機関「スマートSMEサポーター」(認定番号 第16号-21100052(18))
前の記事

「ひとり情シス」の限界を突破する3つの対策|属人化リスクを解消して業務を効率化する方法

2026/4/2
次の記事

ひとり情シスの限界を突破する3つの対策|属人化リスクを解消し業務効率を最大化する方法New!!

2026/4/30