2026年3月27日、経済産業省および内閣官房国家サイバー統括室は、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」を公表しました。いわゆる「SCS評価制度」は、サプライチェーンを構成する企業のセキュリティ対策状況を共通の基準で評価し、可視化するための制度です。
本制度をめぐっては、これまで開始時期や要求水準についてさまざまな見方がありました。しかし、今回の公表によって、制度の目的、対象範囲、★3・★4の基本構造、評価スキーム、開始目標時期などの主要な論点が明らかになりました。一方で、評価ガイドや提出様式、実際の運用の細部については、今後さらに具体化される予定です。
サイバーセキュリティ総研では、制度対応に関する情報発信において、推測と事実を混同しないことを重視しています。本記事では、現時点で公表されている内容を前提に、SCS評価制度の概要、★3・★4・★5の位置付け、ISMSとの関係、企業が今から進めるべき現実的な準備について整理します。
SCS評価制度とは
SCS評価制度の正式名称は、「サプライチェーン強化に向けたセキュリティ対策評価制度」です。制度の対象は、サプライチェーンを構成する企業などのIT基盤であり、クラウド環境も含まれます。
一方で、一般的にIT基盤に該当しないと考えられる製造環境などの制御システム(OT)や、委託元などに提供する製品そのものは、直接の対象とはされていません。つまり、この制度は主に、企業の業務システム、ネットワーク、端末、サーバ、クラウド利用環境などにおけるセキュリティ管理を評価する枠組みとして理解するのが適切です。
また、SCS評価制度は、企業を序列化するための格付け制度ではありません。制度の狙いは、委託元企業と委託先企業の間で、必要なセキュリティ対策レベルを共通の基準で確認しやすくし、サプライチェーン全体のセキュリティ底上げにつなげることにあります。
SCS評価制度の開始時期
現時点で公表されている内容では、SCS評価制度は2026年度末頃の制度開始、すなわち申請受付開始が目指されています。
ただし、この時期は現時点での目標であり、制度運営基盤の整備状況などによって変更される可能性があります。そのため、「いつから必ず開始される」と断定的に捉えるのではなく、2026年度末頃の開始を視野に準備を進めつつ、今後の公表情報を継続的に確認することが重要です。
★3・★4・★5の違い
SCS評価制度では、現時点で★3と★4の要求事項および評価基準が公表されています。★5については、今後検討される位置付けです。
★3の位置付け
★3は、基礎的なセキュリティ対策を評価する段階です。自己評価をベースとしつつ、専門家の確認を経る仕組みが想定されています。まずはこの★3を基準に、自社の現状を整理し、足りない部分を把握することが現実的な出発点になります。
★4の位置付け
★4は、★3よりも広い範囲や高度な対策を含む段階であり、第三者評価機関による評価が前提となります。サプライチェーン上の役割や取引先から求められる説明責任によっては、将来的に★4を視野に入れた整備が必要になる企業もあると考えられます。
★5は今後検討
★5については、現時点では具体的な要求事項や評価基準が定まっておらず、今後検討される予定です。そのため、現段階で★5を前提とした準備を急ぐよりも、まずは★3・★4の公表内容に基づき、足元の基盤整備を進める方が合理的です。
SCS評価制度の要求事項をどう読むべきか
今回公表された資料では、★3・★4の要求事項と評価基準が示されています。ただし、企業が注意すべきなのは、要求事項の方向性が示されたことと、その具体的な実装方法や証跡の作り方の細部まで完全に確定したことは同じではない、という点です。
今後、評価ガイドなどの補足資料が公表される予定であり、実務でどのように対応すべきかはそれらを含めて判断する必要があります。そのため、制度解説においては、「現時点で公式に確認できること」と「それをどのように実装するかという実務上の解釈」を分けて考えることが重要です。
特に、MFA、ログ管理、脆弱性対応、監視、インシデント対応などは重要な論点ですが、現時点で特定製品の導入が制度上必須とされているわけではありません。製品名で考えるのではなく、要求事項と評価基準を満たせる状態にあるかどうかで判断すべきです。
企業が今すぐ確認すべき準備
SCS評価制度への対応を考えるうえで、今から取り組むべきことは少なくありません。ただし、制度対応を名目に場当たり的な投資を進めるのではなく、基礎的なセキュリティ運用を整えることが結果として近道になります。
1. IT資産と接続関係の把握
まず必要になるのは、自社が保有・利用している端末、サーバ、クラウドサービス、ネットワーク機器、外部接続先などの把握です。制度の対象はIT基盤であり、そもそも何を保有し、どことつながっているのかを説明できなければ、要求事項とのギャップ分析は始まりません。
2. アクセス制御と認証の見直し
クラウド利用が一般化している一方で、アカウントの棚卸し、不要アカウントの削除、退職者や異動者への対応、管理者権限の最小化などが十分でない企業は少なくありません。本人認証の強化やアカウント管理の整備は、制度対応に限らず優先度の高い領域です。
3. ログ取得・保管・確認体制の整備
対策を講じていると説明するだけでは不十分で、実際にどのログを取得し、どこに保管し、誰がどのように確認しているのかを示せることが重要になります。ファイアウォール、認証基盤、クラウド管理画面、プロキシ、エンドポイントなど、主要なログ取得対象を整理しておくことが求められます。
4. 脆弱性対応とパッチ管理の運用
脆弱性情報の収集、対象資産の特定、パッチ適用判断、適用記録、例外管理といったプロセスが整っていないと、制度対応以前に、自社のセキュリティ対策状況を説明することが難しくなります。特定ツールの導入有無ではなく、継続的な運用が行われているかが重要です。
5. インシデント対応と復旧準備
報告、初動対応、調査、封じ込め、復旧、再発防止までの流れが整理され、担当者や連絡体制が明確になっているかも重要なポイントです。文書だけを作って終わらせるのではなく、実際に機能する体制になっているかを確認する必要があります。
ISMSとSCS評価制度の関係
ISMSを取得していればSCS評価制度への対応が不要になる、という整理には現時点ではなっていません。一方で、ISMSを適切に運用している企業は、リスクアセスメント、規程整備、教育、内部監査、是正措置、文書管理などの基盤がすでにあるため、SCS評価制度への対応を進めやすい傾向があります。
ただし、SCS評価制度は、取引先への説明やIT基盤運用の可視化という実務色が強いため、ISMSの既存文書をそのまま流用できるとは限りません。ISMS取得企業であっても、SCS評価制度の要求事項と照合し、追加で必要な運用や証跡を確認することが重要です。
中小企業が取るべき現実的な進め方
中小企業にとって現実的なのは、まず★3を基準に現状のギャップ分析を行い、足りない基礎対策を整備することです。最初から★4前提で全方位の対策を一気に実施しようとすると、予算や運用負荷の面で無理が生じやすくなります。
特に、資産管理、認証、ログ、脆弱性対応、バックアップ、インシデント対応といった基本運用を整えることは、SCS評価制度への備えとしてだけでなく、実際のサイバー攻撃リスクへの耐性向上にも直結します。制度への対応を特別なものとして捉えるより、基礎運用を整える機会と考える方が現実的です。
まとめ|SCS評価制度は「制度対応」より「基盤整備」で考える
2026年3月27日の公表によって、SCS評価制度の主要な枠組みはかなり見えるようになりました。一方で、実際の申請手続きや評価ガイド、運用の細部は今後さらに具体化される予定です。そのため、現時点では制度の名前だけに振り回されるのではなく、公表済みの要求事項を起点に、自社のIT基盤運用を見直すことが重要です。
具体的には、IT資産の把握、アクセス制御と認証の整備、ログ管理、脆弱性対応、インシデント対応、復旧準備といった基礎的な運用を整えることが、SCS評価制度への対応としても、サプライチェーン全体の防御力向上としても最も合理的な進め方です。
サイバーセキュリティ総研による支援
サイバーセキュリティ総研では、SCS評価制度への対応を、単なる認証取得準備ではなく、実効性のあるセキュリティ運用整備の一環として支援しています。
たとえば、以下のような支援が可能です。
- 公表済み要求事項に基づく現状ギャップの整理
- ★3取得を前提とした優先順位付け
- 既存のISMS運用とSCS要求事項の照合
- MFA、ログ管理、脆弱性管理、インシデント対応などの実装・運用方針整理
- 取引先説明に活用しやすいルール・証跡整備の支援
SCS評価制度への向き合い方や、自社の現状とのギャップ整理に課題を感じている場合は、サイバーセキュリティ総研までお気軽にご相談ください。