>
>
最終更新日
SCS評価制度とは、経済産業省が推進し、サプライチェーンのセキュリティ水準を可視化する新たな公的枠組みです。本記事では、2026年3月の制度構築方針の確定を踏まえ、「SCS評価制度とは何か」「いつから始まるのか」といった基本概要から、★3・★4の要求事項の違い、ISMSとの比較、情シスが直面する課題までを解説します。
この記事でわかること
この記事でわかること
SCS評価制度の定義・背景と、従来のセキュリティチェックシートとの違い
制度が「いつから」始まるか(2024〜2026年の構築タイムライン)
★3・★4の要求事項の違い(項目数・審査スキーム・有効期間)を中心とした評価レベル比較
NIST CSFベース+日本独自「取引先管理」で構成される7大分類の内容
情シスが今すぐ着手すべき実務対応(チェックシート移行・SaaS管理等)
中堅・中小企業向け支援策「サイバーセキュリティお助け隊サービス(新類型)」の概要
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)とは?定義と背景
SCS評価制度は、企業ごとの独自の基準を廃し、社会共通の物差しでサプライチェーン全体のセキュリティ対策水準を評価・証明する仕組みです。
サプライチェーン攻撃の深刻化と実態
2022年の自動車メーカー事例以降、サプライチェーン経由の侵害は規模・頻度ともに拡大しています。攻撃者は直接ターゲットを狙うのではなく、セキュリティ体制が相対的に脆弱な取引先や子会社、委託先を踏み台にして本丸へ侵入する「サプライチェーン攻撃」を常態化させています。
例えば、2022年2月には大手自動車メーカーの主要委託先(子会社)が利用していたリモート接続機器の脆弱性を突かれ、ランサムウェアに感染しました。その結果、大手自動車メーカーのグループ企業国内全工場の稼働が丸1日停止するという甚大な被害が発生しています(トヨタ自動車 公式発表)。さらに2024年9月には、物流アウトソーシング企業がランサムウェア被害を受け、複数の取引先企業に提供していた物流システムが停止し、大規模な事業中断と個人情報の流出を招いた事例も報告されています。独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2026」の組織編においても、「サプライチェーンや委託先を狙った攻撃」は第2位にランクインしており、8年連続で上位を占めています。
従来のセキュリティ確認手法が抱える限界
このような脅威に対抗するため、発注企業は取引先に対して自社が定めるセキュリティ基準を満たすよう要求してきました。しかし、その確認手法は各企業が独自に作成した「セキュリティチェックシート(Excelやスプレッドシート形式)」に依存していました。
この手法には大きな問題がありました。発注者側にとっては、取引先から提出された自己申告の回答が実態を伴っているのかを客観的に担保できず、ブラックボックス化しやすい点です。一方で受注者側(特に中堅・中小企業)にとっては、複数の取引先からそれぞれ異なるフォーマットで年間何十枚ものチェックシートが送られてくるため、「回答業務自体に数十時間を奪われ、本来のセキュリティ対策にリソースを割けない」という本末転倒な事態が生じていたのです。
SCS評価制度の目的とISMSとの違い
こうした業界全体の非効率と脆弱性を解消するため、経済産業省が創設を進めているのが「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」です。この制度は、共通の客観的な評価基準を設け、対策状況を「星(★)」の数で可視化します。
ISMSとの違いは設計思想にあります。ISMSが「組織全体の情報セキュリティ管理のプロセス(PDCAサイクル)が適切に構築されているか」を評価する国際規格であるのに対し、SCS評価制度は「サプライチェーンを構成するIT基盤において、具体的な技術的・組織的対策が実装されているか」に重きを置いています。SCS評価制度は、取引先選定の際の直接的な物差しとして機能するように設計されているのが特徴です。
▲ サプライチェーン攻撃の仕組みと標的となる構造
SCS評価制度の対象範囲と「いつから」始まるかの最新スケジュール
SCS評価制度は、サプライチェーンを構成する企業の「IT基盤」を対象とし、2026年度末頃(2027年3月頃)から★3および★4の本格運用が開始されます。
2024年〜2026年の制度構築タイムライン
SCS評価制度は、2024年7月に経済産業省のサブワーキンググループで検討が始まりました。その後、中間取りまとめや実証事業を経て、2025年12月に制度構築方針(案)のパブリックコメントが実施されました。
そして、2026年3月27日に「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(確定版)」が正式に公表されました。続いて2026年4月には、IPAが本制度の運営主体として特設サイトを公開し、詳細な情報発信を開始しています。
本格運用はいつから始まるのか?
現在公表されているスケジュールによれば、2026年秋頃に評価ガイド等の詳細なマニュアルが提示され、2026年度末頃(2027年2月〜3月頃)から、本制度の主軸となる「★3」および「★4」の申請受付と本格運用が開始される予定です。最も高度な「★5」については、国際基準(自工会ガイドラインLv3等)との整合を図りつつ、2026年度以降に継続して検討されることとなっています。★5の要求事項・審査スキームはいずれも現時点では未定です。
対象となる範囲(スコープ)の限定
制度の適用を考える上で非常に重要なのが「対象範囲」の理解です。経済産業省の方針において、SCS評価制度の対象は「サプライチェーンを構成する企業等のIT基盤(クラウド環境で運用するものを含む)」に限定されています。
したがって、工場を稼働させるための制御システム(OTシステム)は対象外となります。委託元に納品する製品自体(組み込みソフトウェアやIoTデバイスなど)も同様に本制度の直接の評価対象外です。これらについては、業界ごとの個別ガイドライン等で対応することが想定されています。
SCS評価制度の評価基準:NIST CSFベースの7分類
SCS評価制度の評価基準は、国際基準であるNIST CSFに日本独自の「取引先管理」を加えた合計7つの大分類で構成されます。
世界標準の6機能+日本独自の1機能
評価のベースとなっているのは、米国国立標準技術研究所(NIST)が策定した「サイバーセキュリティフレームワーク(CSF)」です。SCS評価制度では、このNIST CSFが定義する6つの機能に、日本市場特有のサプライチェーン構造を考慮した「取引先管理」を追加しています。
統治(ガバナンス整備): 企業として最低限のリスク管理体制や、継続的改善に資する体制の構築。経営層のコミットメントが問われます。
取引先管理: 取引先に課す最低限のルールの明確化と、取引先の把握・管理。これが本制度の要となる日本独自の項目です。
識別(リスクの特定): 自社のIT基盤や資産の現状把握、脆弱性など最新状況の把握と反映。
防御(攻撃等の防御): マルウェア対策、多層防御、アクセス制御による侵入リスクの低減。
検知(攻撃等の検知): ネットワークやシステムにおける不審な挙動、ログの監視・検知。
対応(インシデントへの対応): サイバー攻撃発生時の初動対応プロセスや、被害拡大防止措置の整備。
復旧(インシデントからの復旧): 被害からの事業復旧手順の確立。実証実験の結果を受け、インシデントを前提としたバックアップ対策は★3から必須要件に格上げされています。
情シス担当者は、これら7つの分類に基づいて自社のシステムや運用ルールが網羅的に設計されているかを見直す必要があります。
★1〜★5の評価レベルの違いと比較表
SCS評価制度は5段階で評価されますが、サプライチェーンでの取引基準として実質的に機能するのは、第三者または専門家の確認が伴う「★3」以上です。★5については2026年度以降の検討事項であり、現時点では要求事項・審査スキームとも未定です。
評価レベル(星)の定義と要求事項
経済産業省の公表資料に基づく各レベルの位置づけや要求される項目数は以下の通りです。
段階 | 位置づけ | 要求事項数 | 評価・審査スキーム | 有効期間 | 運用開始時期 |
|---|---|---|---|---|---|
★1 / ★2 | 基礎的対策・継続的対策 | - | 自己宣言(SECURITY ACTION相当) | - | 既存運用 |
★3 | 全サプライチェーン企業が最低限実装すべき対策 | 83項目(大項目26) | 自己評価 + 情報処理安全確保支援士等による専門家確認 | 1年 | 2026年度末頃 |
★4 | 標準的に目指すべき対策(影響度が高い企業向け) | 157項目(大項目43) | 指定評価機関による第三者審査・技術検証 | 3年 | 2026年度末頃 |
★5 | 到達点として目指すべき高度な対策 | 検討中 | 検討中 | 検討中 | 2026年度以降検討 |
自社が目指すべきレベルの判断基準(リスク軸)
企業が「自社はどのレベルを目指すべきか」や「取引先にどのレベルを要求すべきか」を判断する際、経済産業省は以下の2つのリスク軸を用いることを提唱しています。
事業継続リスク: その企業へのサイバー攻撃や業務停止が、サプライチェーン全体に許容できない供給遅延や影響をもたらすか。
情報管理リスク: その企業への攻撃により、機密情報や顧客情報の重大な漏えい被害が生じるか。
発注者として留意すべき点
発注者として留意すべき点がある。事業リスクを考慮せず全取引先に一律★4を要求すると、本来★4を必要としない中小企業に対して157項目もの厳格な第三者審査を課すことになり、過度なコスト負担を強いることになります。結果として取引の硬直化やサプライチェーンの混乱を招きます。リスク区分に応じた「適切な水準の適用と可視化」が制度本来の趣旨です。
▲ SCS評価制度における主軸レベル(★3・★4)の違い
SCS制度開始に向けた情シスの実務対応(クラスタ記事要約)
SCS評価制度の本格運用に向けて、情報システム部門は自社の対策水準を引き上げつつ、委託先管理のフローを再設計する「攻守両面」の実務対応が求められます。
1. サプライチェーン攻撃の脅威理解と対策
脅威の全体像を理解せずに制度対応を進めると、どの対策が本質的で何が形式的な対応に過ぎないかの判断が難しくなります。攻撃者は直接ターゲットを狙わず、取引関係にある関連会社や業務委託先など、セキュリティが手薄な経路を悪用します。自社を守るための全体像や規模別の対策については、サプライチェーン攻撃とは?2026最新事例と加害を防ぐ規模別対策の記事で詳しく解説しています。
2. 従来のチェックシートからの移行・再設計
制度開始後に最初に影響を受けるのが、既存の独自エクセル製チェックシートの運用です。制度が開始されれば、取引先ごとに異なっていたこれらのシートは段階的に廃止され、SCS評価制度の★認定を調達基準に組み込む形へ移行します。自社のヒアリング項目をどのようにSCS制度の標準項目とすり合わせるかについては、【2026年最新】実務で使えるセキュリティ チェック シートの作り方で具体的なアップデート手順を確認してください。
3. ★3取得に向けた83項目の自己評価と準備
自社が受注側として★3を取得するためには、NIST CSFベースの83項目にわたる要求事項を満たす必要があります。単なる「Yes/No」の回答ではなく、専門家(情報処理安全確保支援士等)に対して運用の実態を説明できるよう、規程類の整備や設定の確認が必要です。具体的なチェック項目と準備の進め方は、SCS評価制度チェックリスト★3取得に向けた準備【83項目対応】にまとまっています。
4. SaaS管理とIT資産の可視化による証跡管理
★3以上の評価を取得し維持していくためには、利用しているクラウドサービス(SaaS)やエンドポイントのIT資産を正確に把握していることが大前提となります。「シャドーITが存在しないこと」や「適切なアクセス権限が付与されていること」を証明できなければ、専門家や第三者機関の評価をクリアできません。評価取得に必要なエビデンス整備の手法については、SCS評価制度SaaS対応にIT資産可視化が不可欠な理由で詳しく解説しています。
▲ SCS制度本格運用に向けた情シス部門の実務対応フロー
中堅・中小企業向け支援策:「サイバーセキュリティお助け隊サービス(新類型)」
リソースが限られる中堅・中小企業が安価かつ簡便にSCS評価制度の★3・★4を取得できるよう、「サイバーセキュリティお助け隊サービス(新類型)」が創設されます。
新類型のワンストップサービスモデル
★3であっても83項目もの要求事項を満たす必要があり、専任の情シス担当者が不在の中小企業にとってはハードルが高いのが実情です。そこで経済産業省とIPAは、SCS評価制度の本格運用に合わせて、既存の支援策を拡張した「サイバーセキュリティお助け隊サービス(新類型)」を2026年春より実証開始する方針を打ち出しています。
現行のお助け隊サービスが「基本的なUTMやEDRツールの導入支援」を主眼としていたのに対し、新類型は「SCS評価制度の取得と維持」に特化しています。
具体的には、専門家が企業の現状をアセスメントし、★3取得に不足している部分(規程の作成支援、足りないセキュリティソリューションの提供、有資格者による最終確認手続き)をワンストップで補完するサービスモデルです。実質的に専任情シスがいなくても★3取得の手続きを完結できる設計となっています。
SCS評価制度に関するよくある質問(FAQ)
SCS評価制度に関して、情シス担当者から多く寄せられる疑問をQ&A形式でまとめました。
Q:SCS評価制度とは何ですか?
A:経済産業省が主導し、サプライチェーン全体のセキュリティ対策状況を共通の基準(★1〜★5)で客観的に評価・可視化する公的な枠組みです。
Q:SCS評価制度はいつから開始されますか?
A:2026年秋頃に評価ガイド等が公表され、2026年度末頃(2027年3月頃)から★3および★4の本格運用が開始される予定です。
Q:SCS評価制度の対象はどこまでですか?
A:サプライチェーンを構成する企業の「IT基盤(クラウド環境を含む)」が対象です。工場の制御システム(OT)や委託元へ納品する製品自体は対象外となります。
Q:SCS評価制度とISMSの違いは何ですか?
A:ISMSが組織のマネジメントシステム(PDCA)全体を評価する規格であるのに対し、SCS評価制度はIT基盤の具体的な技術的・組織的対策が実装されているかを直接的に評価します。
Q:★3の有資格者確認とはどのような仕組みですか?
A:企業が自己評価を行った後、「情報処理安全確保支援士」やCISSPなどの資格を持ち、所定の研修を受けた専門家が、その評価内容が妥当であるかを確認し助言を行う仕組みです。
Q:★4の第三者評価はどこが行うのですか?
A:制度の指定委員会によって認定された「指定評価機関」が、客観的かつ厳格な実地審査や技術検証(ログ・設定画面の確認など)を行います。
Q:発注側として、取引先に一律で★4を要求してもよいですか?
A:推奨されません。事業継続リスクや情報管理リスクを評価し、影響が極めて大きい中核的な取引先のみに★4を求め、その他は★3とするなど、リスクに応じた適切な運用が求められます。
Q:SCS評価制度のチェックシート要求事項はいくつありますか?
A:本格運用の基準として、★3は83項目、★4は157項目の要求事項が設定されています。★4は★3の内容を完全に包含しているため、★4を取得した企業は★3基準も同時に満たします。
Q:SaaSやクラウドサービスもSCS評価制度の対象になりますか?
A:はい、対象となります。自社のIT基盤として利用しているクラウドサービスのアカウント管理やアクセス制御などは、重要な評価ポイントに含まれます。
Q:中小企業向けのSCS評価取得支援制度はありますか?
A:はい、安価で簡便に★3・★4を取得・維持するためのワンストップサービス「サイバーセキュリティお助け隊サービス(新類型)」が提供される予定です。
まとめ
SCS評価制度は、サプライチェーン全体に広がっていた「セキュリティチェックシート対応の疲弊」を解消し、社会共通の物差しでリスクを正しく評価するための強力な枠組みです。2026年3月の制度構築方針の確定により、本格運用までのカウントダウンはすでに始まっています。情報システム部門が明日から取り組むべき最初の一歩は、本記事で紹介した各評価レベルの基準を理解し、自社が★3を目指すべきか、★4を目指すべきかのセルフアセスメントを実施することです。各種クラウドツールやIT資産の可視化を進め、監査対応に耐えうる運用基盤を今から構築していきましょう。
対応状況チェックリスト
✅ 自社IT基盤のスコープ(OT除外)を確認した
✅ 目指すべきレベル(★3/★4)の自社判断基準を整理した
✅ SaaS・IT資産の棚卸しに着手した
✅ 情報処理安全確保支援士等の専門家確認に向けた規程類の整備を開始した
✅ 取引先への要求レベルをリスク軸(事業継続・情報管理)で分類した
✅ 2026年度末頃(2027年3月頃)の本格運用開始に向けた社内スケジュールを設定した
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
