経産省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」とは?わかりやすく解説
更新日時:2026.06.15
サイバー攻撃の手口が「直接攻撃」から「サプライチェーン攻撃」へとシフトし、社会全体のリスクが深刻化しています。
この状況を受け、経済産業省は企業のセキュリティ対策状況を可視化する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の検討を進めており、2026年度末の運用開始を目指しています。本制度は、今後の企業間取引における新たな判断基準の一つとなることが予想される、重要な枠組みです。
本記事では、SCS評価制度の概要や検討状況を整理し、今企業が準備すべき対策の考え方について分かりやすく解説します。
※本記事の内容は2026年3月27日時点の公表情報「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」に基づいており、今後の検討により内容が変更される可能性があります。
SCS評価制度の背景と影響:なぜ今、制度化が必要なのか?
サプライチェーン攻撃は、企業間のつながりを悪用したサイバー攻撃です。攻撃者はセキュリティ対策が脆弱な企業の隙を突いて侵入し、そこを「踏み台」にして、最終的なターゲットへと被害を広げていきます。
こうした巧妙な攻撃は、もはや一企業の被害では済みません。サプライチェーン全体、さらには社会基盤や事業継続そのものを揺るがす深刻なリスクとなっています。
※出展:サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針
なぜ「制度化」が必要なのか?
一方で、企業のセキュリティ対策は、外部からその実態を正確に把握することが難しいという課題があります。
これまでは各企業が独自のチェックリストを送り、取引先の状況を確認し合ってきました。しかし、実際には「自己申告なので実態が見えにくい」「取引先ごとに基準がバラバラで、回答側の負担も限界」といった問題が山積みになっています。
こうした「見えないリスク」を解消するため、経済産業省は新たな評価基準を策定し、企業の対策レベルが適正かどうかを客観的に可視化できる仕組みの検討を進めています。
| 課題 | 得られる効果 | |
|---|---|---|
| 発注企業 | 取引先によって対策レベルがバラバラで、どこまで対策を求めるべきか判断が難しい。 | 国が定めた共通ルールで確認できるようになり、取引先の選定や管理がスムーズになる。 |
| 受注企業 | 取引先ごとに違う調査票を渡されるため、その都度回答する作業が大きな負担。 | ★の取得だけで自社の対策を証明できるようになり、説明の手間や二重の対応を減らせる。 |
SCS評価制度の概要
本制度は、取引先を含めた全体のセキュリティ強化を図ることを目的としています。
具体的には、企業の対策レベルを★3~★5(★5は今後検討)で区分し、それぞれの段階に応じて求められる対策や評価の方法が整理されています。
| 段階 | 対象と想定する脅威 | 対策の基本的な考え | 評価スキーム |
|---|---|---|---|
| ★1 | 情報セキュリティ6か条に取組むことを宣言 (中小企業向けの「SECURITY ACTION」をベースとした対策) |
自己宣言 | |
| ★2 | セキュリティ自社診断+基本方針の策定・公開 (中小企業向けの「SECURITY ACTION」をベースとした対策) |
自己宣言 | |
| ★3(基本) |
|
最低限実装すべきセキュリティ対策 | 専門家確認付き自己評価 |
| ★4 |
|
標準的に目指すべきセキュリティ対策 | 第三者評価 |
| ★5(検討中) |
|
到達点として目指すべき対策 | 第三者評価 |
※出展:
SECURITY ACTION
サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)概要
★1〜2は、中小企業向けの「SECURITY ACTION」をベースとした、自ら対策に取り組むことを自己宣言する段階です。一般的なサイバー攻撃への基本的な対処ができている状態を目指します。
★3になると、一般的なサイバー攻撃を想定した「最低限実装すべき25項目」の対策が求められます。ここでは自己評価だけでなく、専門家による確認プロセスが必要となります。
★4〜5では、サプライチェーン全体に甚大な影響を与える脅威を想定しています。事業継続や取引先管理まで含めた「44項目」の包括的な対策が必要となり、専門機関による書類・実地審査や技術検証といった第三者評価を経て認定されます。
制度で用いるセキュリティ要求事項・評価基準
SCS評価制度の具体的な評価項目は、グローバル標準である「NIST Cyber Security Framework(CSF)」の機能に対応した6つの分類に、「取引先管理」を加えた、合計7つの分類で構成されています。
それぞれの分類において、★のランク(レベル)ごとに達成すべき対策事項が定義されています。
| NIST CSFにおける機能大分類 | ★3 | ★4 | |
|---|---|---|---|
| 統治(GV) | ガバナンスの整備 | 企業として最低限のリスク管理体制の構築 | 継続的改善に資するリスク管理体制の構築 |
| 取引先管理 | 取引先に課す最低限のルール明確化 | 取引先の管理・把握及び取引先との役割・責任の明確化 | |
| 識別(ID) | リスクの特定 | 自社IT基盤や資産の現状把握 | 脆弱性など最新状況の把握と反映 |
| 防御(PR) | 攻撃等の防御 |
|
多層防御による侵入リスクの低減 |
| 検知(DE) | 攻撃等の検知 | ネットワーク上の基礎的な監視等 | 迅速な異常の検知 |
| 対応(RS) | インシデントへの対応 | インシデント発生に備えた対応手順の整備 | |
| 復旧(RC) | インシデントからの復旧 | インシデント発生から復旧するための対策の整備 | インシデントからの復旧手順等の整備 |
要求事項・評価基準は、サイバーセキュリティの動向などを踏まえ、今後定期的にアップデートされていく予定です。
※出典:サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針
評価スキーム
本制度では、★3は「1年」、★4は「3年」という有効期間が設けられる方向で検討されています。
認証を維持するためには、制度が求める基準を継続して満たし続ける運用体制が求められます。日々の業務の中でいかにセキュリティレベルを保っていくかが、今後は重要になってくると想定されます。
| ★3 | ★4 | ★5 | |
|---|---|---|---|
| 評価実施主体 | 適合性評価の対象となる組織自身(自己評価) | 指定委員会から指定を受けた評価機関(第三者評価) | 検討中 |
| 有効期間 | 1年 | 3年 | |
| 必要な手続き |
|
|
|
| 合格基準 |
|
||
| ★の取消しなど |
|
||
※出典:サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針
スケジュール
本制度は、2026年度下期の運用開始を目指して、制度の運営基盤の整備や利用促進に向けた準備が進められています。開始直前に慌てて対策を始めるのではなく、まずは現在の自社のレベルがどの段階にあるのか、今のうちから把握しておくことが重要です。
今から準備しておくべき3つのアクション
1. 自社の現状を把握する
まずは、現在の自社の対策状況が、SCS評価制度のどのレベルに近いのかをセルフチェックしてみましょう。経済産業省のサイト(こちら)で公開されている「★3・★4要求事項・評価基準案」には、★のランクごとに求められる具体的な対策が詳しく記載されています。この資料をガイドとして活用し、今の自社に足りない要素を確認することから始めるのがおすすめです。
2. 認証の維持を見据えた「継続的な運用」
本制度には有効期間が設けられているため、認証を維持し続けるには、次回の更新時にも基準をクリアしていることが前提となります。そのため、審査の直前だけ対応するのではなく、日々の業務の中でセキュリティ対策が適切に機能し続けるような状況を作っておくことが大切です。
3. 組織全体での取り組みと体制整備
本制度の対象は、システム上の技術的な対策だけではなく、組織のガバナンス・取引先管理、自社IT基盤への検知・防御等、組織全体に影響がおよぶ範囲を対象評価対象となっています。
IT部門だけで完結させるのではなく、他部署との連携や社内ルールの周知など、組織一丸となって取り組める体制を今のうちから整えておくことが、スムーズな認定取得への近道となります。
【中小企業向け支援策:お助け隊サービスの活用】
中小企業が本制度をよりスムーズに活用できるよう、経済産業省および独立行政法人情報処理推進機構(IPA)では新たな支援策「サイバーセキュリティお助け隊サービス」の検討も進めています。
専門家による確認などをパッケージ化することで、企業側の準備負担を軽減し、認定取得を後押しするスキームが想定されています。
「どこから手をつければいいか、専門的なリソースが足りない」という企業にとっても、こうした支援策を有効に活用することが、現実的な選択肢となってくるでしょう。
効率的なセキュリティ運用を支援する『SPPM Secure Series』
SCS評価制度に対して、自社の環境をどのように整えていくべきか、お悩みの担当者様も多いかと思います。
AXSEEDでは、モバイル端末やPCの統合管理を支援する「SPPM Secure Series」を展開しています。SCS評価制度でも重要視される「IT資産の把握」や「端末の適切な防御」といった領域において、効率的な運用をサポートすることが可能です。
▶関連資料:SPPM Secure Seriesご紹介資料
制度開始を見据えた体制づくりや、管理ツールの活用についてお困りごとがございましたら、ぜひお気軽にご相談ください。
まとめ
本記事では「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」について、概要や今から取り組むべき事項について解説しました。
SCS評価制度の導入は、自社のセキュリティレベルを客観的に証明する大きな機会となります。2026年度末の本格的な運用開始に向けて、まずは経産省のガイドを活用した現状把握から準備を進めていくことが大切です。
取引先や社会からの信頼を信頼をより確かなものにするためのツールとして、ぜひ前向きに活用していきましょう。
本記事のまとめ
- SCS評価制度とは、企業のセキュリティ対策を可視化する仕組みです。サプライチェーン攻撃の脅威に対し、自社の対策レベルを客観的に証明するための新制度として、2026年度下期の本格運用が目指されています。
- SCS評価制度は、技術面だけでなく組織全体のガバナンス体制が評価されます。ITシステムの防御だけでなく、社内ルールの整備や教育、取引先の管理状況まで含めた「組織としての備え」が重要な判断基準となります。
- SCS評価制度には有効期間が設けられる予定であり、認証を維持するためには日々の業務の中で継続的に運用していく仕組みを構築することが重要となります。
