サプライチェーンを起点としたサイバー攻撃が増加する中、取引先を含めたセキュリティ対策の強化が求められています。こうした背景を解決する手段として検討されているのが、SCS評価制度です。
本記事では、SCS評価制度の仕組みや評価基準、活用するメリット、対応前に整理すべきポイントなどを解説します。
目次
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)とは、2025年12月に経済産業省が発表し、中心となって進めている制度です。サプライチェーンを構成する各組織のセキュリティ対策状況を共通の基準で客観的に評価し、その結果を明確にすることでサプライチェーン全体のサイバー攻撃への耐性向上を目的としています。
SCS評価制度は、2026年度上期(4~9月)に導入準備が進められ、2026年度下期(10月~2027年3月頃)に正式な運用が開始される予定です。
参考:サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)について_経済産業省
SCS評価制度では、企業が実施しているサイバーセキュリティ対策を共通の基準に基づき段階的に評価する枠組みが採用されています。評価レベルは「★3」「★4」「★5」の3段階とされ、それぞれ想定される脅威や求められる対策水準が整理されています。
段階ごとに求められる水準を明確にすることで、サプライチェーン全体で共通の基準を持てるのが特徴です。
「SECURITY ACTION」は、独立行政法人情報処理推進機構(IPA)が推進する制度であり、中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言する枠組みです。取り組み状況に応じて「★1」や「★2」といった段階が設けられており、基本的な対策の実施状況を示す仕組みとなっています。
これに対して、SCS評価制度はより高い水準の対策を対象とする制度として位置づけられています。自己宣言にとどまらず、定められた基準に基づいて対策状況を評価する点が特徴です。
近年、企業単体ではなく取引網全体を標的とするリスクが指摘されるようになり、こうした環境の変化を背景にSCS評価制度が注目されるようになっています。
SCS評価制度が注目を集めている理由を、以下の3つの視点から解説します。
サプライチェーン攻撃の増加
取引先ごとに異なるセキュリティ要求
中小企業における対応負荷の問題
サプライチェーン全体を標的としたサイバー攻撃が増加していることが、SCS評価制度への関心を高めています。特定の組織だけでなく、取引関係にある複数の企業を連鎖的に影響下に置く攻撃は、被害の拡大や事業継続への影響が大きくなりがちです。
こうした攻撃のリスクを踏まえ、取引のつながり全体で対策状況を共有しやすい仕組みへのニーズが高まっています。
サプライチェーン攻撃の事例や対策については、以下の記事で詳しく紹介しています。
サプライチェーン攻撃とは?主な攻撃パターンや具体的な対策を紹介
サプライチェーン上では、発注企業ごとに求められるセキュリティ対策の水準や確認項目が異なる場合があります。取引先ごとに個別のチェックリストや基準への対応が必要となり、特に中小企業にとっては負担が大きくなる傾向があります。
同じ企業であっても、取引先によって求められる内容が変わる状況では対策の整理や説明に多くの工数を要します。このような背景から、共通の評価基準を設ける制度への関心が高まっています。
中小企業では、限られた人員やリソースでセキュリティ対策を進めることが難しいという課題があります。サプライチェーンにおける評価基準や要件が企業ごとに異なると、同じ企業が複数のセキュリティチェックに対応する負担が増えます。
SCS評価制度は共通の基準に基づいた評価スキームを提供することにより、こうした負担の軽減につながる可能性があるとして注目されています。
SCS評価制度は、サプライチェーン全体のセキュリティ水準を底上げすることを目的として設計が進められています。
SCS評価制度の具体的な内容は、主に以下の3つにまとめられます。
リスク範囲
対象範囲
評価制度
これらの構成要素について、以下から解説します。
SCS評価制度では、サプライチェーンに関連するリスクを前提として評価基準が構成されています。制度構成方針案では、取引先へのサイバー攻撃による機密情報の漏えいや改ざん、攻撃に起因する部品供給の停止やクラウドサービスの停止といった事業継続への影響が想定されています。
さらに、取引先やマネージドサービスを踏み台とした不正侵入なども想定内に含まれています。SCS評価制度では、こうした事象を想定したうえで企業に求められる対策水準を段階的に整理できる仕組みがあります。
SCS評価制度では、サプライチェーンを構成する企業が保有・運用するIT基盤が評価の対象とされています。具体的には、自社内で構築・運用しているオンプレミス環境のシステムや、クラウド上で利用・管理している情報システムなどが対象です。
一方で、製造設備などの制御系システム(OT)や取引先に提供する製品はSCS評価制度の直接的な評価対象とは位置づけられていません。これらについては、別途定められた制度やガイドラインに基づく対策が想定されています。
上述したように、SCS評価制度は「★3」から「★5」の3段階で整理されており、それぞれの段階ごとに求められる対策内容が示されています。
「★3」は広く認知された脆弱性を悪用する一般的なサイバー攻撃への対応を前提とし、すべてのサプライチェーン企業が最低限実装すべき対策が示されています。「★4」では供給停止などのサプライチェーンに大きな影響を与える攻撃や機密情報への攻撃を想定し、標準的に目指すべき対策が位置づけられています。
一方、「★5」は未知の攻撃も含めた高度なサイバー攻撃への対応を想定し、到達点として目指す対策水準が示されています。
SCS評価制度における評価レベルでは、目指すべき目標や評価スキームなどが異なります。
ここでは、★3・★4・★5それぞれの要求事項について解説します。
★3は、すべてのサプライチェーン企業が実装すべきセキュリティ対策として設定されています。このレベルでは、基本的なシステム防御策やセキュリティ体制の整備が中心となり、企業が最低限のセキュリティ衛生レベルを満たすことが期待されています。★3は、専門家による確認付きの自己評価によって評価される方式とされています。
★4は、サプライチェーン企業が標準的に目指すべきセキュリティ対策水準として位置づけられています。この段階では、★3の対策に加えて組織的なセキュリティ管理や取引先との関係管理、システム防御と検知、インシデント発生時の対応体制など、より包括的な対策が求められます。★4の評価方法は、第三者評価を用いる方式です。
★5は、サプライチェーン企業が到達点として目指すべき最高水準のセキュリティ対策を示す段階です。このレベルでは、国際規格などに基づくリスクベースの考え方に沿って、自社のリスク評価や改善プロセスを継続的に実施する体制が求められます。★5の認定方法も第三者評価が用いられる見込みですが、対策基準や評価スキームの詳細は令和8年度以降に具体化が検討される予定です。
SCS評価制度を活用することで企業単体だけでなく、社会全体や取引関係においても多くのメリットがあります。
ここでは、社会全体・受注企業・発注企業のそれぞれで得られるメリットについて解説します。
SCS評価制度が普及することで、サプライチェーン全体で一定水準のセキュリティ対策が実施されやすくなり、社会全体のセキュリティ水準の向上につながるとされています。企業間で共通の基準が示されることにより、サイバー攻撃やシステム障害が発生した際の対応力や復旧力の強化が期待されています。
また、十分な対策を講じている企業が評価を通じて可視化されることで、セキュリティ対策への投資を後押しする環境が整うと考えられています。こうした動きは、企業全体の取り組みを継続的に高める契機となるでしょう。
受注企業にとっては、求められるセキュリティ水準が整理される点が大きな利点です。評価制度を活用することで自社がどの段階を目指すべきかが明確になり、専門家による客観的な確認を通じて現状の課題や優先順位を把握しやすくなります。
また、評価結果を取引先に示すことで自社の対策状況を客観的に説明できるようになります。一定の水準を満たしていることを示せるため、セキュリティ体制に関する説明責任を果たしやすくなり、既存取引の継続や新規取引の検討においても判断材料となるでしょう。
発注企業にとっては、取引先に求めるセキュリティ対策の水準を明確に示せるようになることがメリットです。評価制度では対策内容が体系的に整理されているため、どのレベルを満たすことを求めるのかを具体的に提示しやすくなります。
また、サプライチェーン攻撃は対策が十分でない企業を経由して被害が広がるケースが指摘されていますが、SCS評価制度を活用することで取引先ごとの対策状況を把握しやすくなります。必要な水準を揃える取り組みを進めやすくなるため、サプライチェーンに起因するリスクの抑制やデータやシステムの安全性確保にも役立ちます。
SCS評価制度への対応を検討する際は、いきなり外部審査を意識するのではなく、自社の現状を整理することから始める必要があります。
SCS評価制度への対応を始める前に、以下の準備を行いましょう。
セキュリティレベルの自己評価
目指すレベルのギャップ分析
対策の実行と改善ができる体制を構築
社内育成を実施
それぞれ、詳しく解説します。
制度対応を検討する際は、まず自社のセキュリティ対策がどの水準にあるのかを把握することが大切です。自己評価を行う際は、IPAが公表している「サイバーセキュリティ経営ガイドライン」などを参照すると良いでしょう。
また、社内で利用している情報資産を一覧化し、利用状況や管理方法を確認することもおすすめします。誰がどの権限を持ち、どのデータがどこで管理されているのかを整理することで、現行対策の不足や見落とされているリスクが明らかになります。
目指すレベルに対して、「どこが足りていないか」を明確にするのも事前準備の一つです。多くの場合、基準となるのは★3の要求事項であり、その水準に照らして自社の取り組みがどこまで対応できているのかを一つずつ確認します。
確認の過程では、対策が形式的に存在しているだけで運用が定着していない部分や、ルールはあるものの記録や監視体制が整っていない部分などが見えてきます。不足や不均衡を具体的に把握することで優先順位を整理し、実行可能な改善計画へと落とし込めるようになります。
不足している対策が明確になったら、それを一つずつ具体的な取り組みに落とし込んでいきます。必要に応じて新たなセキュリティツールを導入するのはもちろん、既存の社内規程の見直しや運用ルールの整備を行います。
また、実施した施策が適切に機能しているかを確認し、環境や脅威の変化に応じて見直す仕組みを整えておくことも欠かせません。こうした循環的な取り組みを社内に定着させることが、制度対応を一時的な施策で終わらせないためのポイントです。
制度対応を進めるうえでは、担当部門だけでなく情報を扱う部門や受発注に関わる従業員が制度の内容を理解していることが前提です。制度の概要や自社が目指す評価レベル、必要となる対応内容などを社内で共通認識を持てるように整理しておく必要があります。
そのためには、研修や資料共有を通じて制度の考え方や評価基準を周知し、日常業務の中でどのような対応が求められるのかを具体的に伝えることが重要です。なお、評価基準は今後変更される可能性もあるため、教育内容を適宜更新できるような体制を整えておくことをおすすめします。
引用元:システム開発のIC
SCS評価制度への対応は、単にセキュリティツールを導入すれば完了するものではありません。自社のIT基盤の整理や評価基準との照合、体制整備などを含めて進める必要があり、自社だけで全体像を整理するのが難しいケースもあります。
ICは、ITソリューションやシステム開発を手がけており、企業の業務やシステム構成を踏まえた支援を行っています。単に技術的な対策を講じるのではなく、既存環境の整理や課題の洗い出しを行いながら実際の運用に即した形で仕組みを整えることが可能です。
また、現行システムの課題整理から要件の明確化、設計・開発、導入後の運用を見据えた支援まで対応しています。SCS評価制度への備えやセキュリティ体制の見直しを検討している場合は、ぜひICにご相談ください。
SCS評価制度は、サプライチェーンを構成する企業のセキュリティ対策状況を共通の基準で評価する仕組みとして検討が進められている制度です。★3から★5までの段階に応じて求められる対策水準が整理され、想定されるリスクや評価対象も明確化されています。評価基準が体系化されることで、受注企業・発注企業の双方にとって対策水準の明確化やリスク管理の整理につながる側面があります。
ただし、SCS評価制度の対応は一時的な対策の導入で完了するものではありません。自社のセキュリティレベルを客観的に把握し、改善を継続できる体制を整えることが前提となります。
SCS評価制度を単なる評価制度としてではなく、自社のセキュリティ体制を見直す機会として捉える姿勢が求められます。