2025年12月に経済産業省と内閣サイバー統括室により、セキュリティ対策評価制度(SCS評価制度)が発表されました。サプライチェーン全体でのサイバーセキュリティ対策の強化に向けたもので、2026年度末には制度開始が予定されています。
このSCS評価制度は、発注元が一定レベルのセキュリティ対策評価を発注先に求める仕組みで、取引の条件としても利用されることが想定されます。既存の取引先も含めた商機を逃さないためにも、企業はすぐにも対策を始める必要があります。
本記事ではセキュリティ対策評価制度の概要、レベルを示す「★」についての定義、制度への取り組みのロードマップとステップなどを解説します。
また、LRMはSCS評価制度に向けたコンサルティングサービスを提供しています。制度対応が不安な企業へ、既存規程とのギャップ分析から実装まで専門家が徹底サポートします。ぜひご相談ください。
セキュリティ対策評価制度(SCS評価制度)の概要と2026年までのロードマップ
セキュリティ対策評価制度は2025年12月に経済産業省と内閣官房国家サイバー統括室により発表された、企業のセキュリティ対策状況を評価する制度です。2026年度末より制度開始が予定されており、多くの企業にとって事業継続に対して大きな影響があると想定されるため、注目が集まっています。
セキュリティ対策評価制度(SCS評価制度)とは
セキュリティ評価制度は、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度」の略で、別の略称は「SCS(Supply Chain Security)評価制度」です。日本国内のサプライチェーン全体でのセキュリティ強化を大きな目的として発表され、意見公募(パブリックコメント)の受付・反映後、2026年4月の制度構築が目指されています。発注元が取引先に適切なセキュリティ対策評価レベルを提示することが大きな特徴です。
制度の目的はサプライチェーン全体の「可視化」
サプライチェーンを形成する企業のセキュリティ対策状況は外部からは容易に知ることができません。セキュリティチェックリストによる確認なども行われていますが、こちらも自己申告に近いことや作業の手間などの課題があります。
SCS評価制度はセキュリティへの対策状況を可視化する仕組みです。一定レベル以上からは組織外部からのチェックを必須とすることで、第三者によりセキュリティ対策状況が公平に評価されます。
【最新スケジュール】2026年度末の本格運用に向けた流れ
SCS評価制度は2026年4月に制度が構築され、2026年度末(2027年3月)に★3、★4の制度開始が予定されています。
制度開始とともにどの程度の企業が本評価を採用するかは不透明です。しかし、2026年度末には開始し、★3および★4の要件はすでに発表されていることから、急ぎ準備する必要があると考えられます。
出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月26日)を加工して作成
自社の評価目標設定は?★1~★5のレベル定義と選び方
SCS評価制度ではセキュリティ対策のレベルを「★」の数で表現します。★が多いほど高いレベルのセキュリティ対策状況を意味します。経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」に記載されている目標について説明いたします。
※本記事執筆時点では制度案が発表された段階のため、各レベルの詳細については経済産業省などの最新のページよりご確認ください。
【★1・★2】中小企業の第一歩(IPA「SECURITY ACTION」連携)
★1、★2はIPA(独立行政法人情報処理推進機構)の「SECURITY ACTION」に対する取り組みと公開により、企業で宣言することができます。
★1:中小企業の情報セキュリティ対策ガイドライン付録の付録1「情報セキュリティ5か条」への取り組みを行い、自己宣言を行います。
★2:中小企業の情報セキュリティ対策ガイドライン付録の付録3「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、付録2「情報セキュリティ基本方針(サンプル)」を定め、外部に公開します。
【★3】全企業必須の「基礎レベル」(自己評価+専門家確認)
基礎レベルとして全てのサプライチェーン企業が最低限実装すべきセキュリティ対策を評価します。より具体的には基礎的なシステム防御策と体制整備です。★3については、専門家確認付き自己評価となります。また、有効期間は1年で、対策状況を年次で点検し、基準全体の遵守を改めて確認している場合に更新可能となる予定です。
【★4】取引パスポートとなる「標準レベル」(第三者評価)
サプライチェーン企業等が標準的に目指すべきセキュリティ対策を評価します。評価対象となるのは、組織ガバナンス、取引先管理、システム防御・検知及びインシデント対応等包括的な対策です。有効期間は3年で、有効期間内は1年ごとに自己評価を実施し結果を評価機関に提出、3年ごとの更新の際は、第三者評価を受ける必要があることが想定されています。
【★5】業界を牽引する「到達点レベル」(高度なリスク対応)
サプライチェーン企業等が到達点として目指すべき対策レベルです。国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階とされていますが、具体化が進められている途中で詳細は検討中です。第三者による評価となる予定です。
★3、★4の審査をクリアするための対策基準と「IT基盤」の範囲
制度の発表が行われた段階でサプライチェーンを形成する企業が検討すべきなのは、基礎レベルの★3および標準レベルの★4の取得です。これらを取得するために必要な基準を説明します。
NIST CSFベースの大分類と評価項目
★3、★4の評価対象となるのはNIST Cyber Security Framework(CSF)をベースとした6分類と取引先管理を加えた計7分類です。
出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月26日)を加工して作成
2025年12月時点で、★3は「自工会・部工会ガイドライン」のLv1、★4は「自工会・部工会ガイドライン」のLv2とLv3の一部を参照し、上記7つの大分類において★3の評価項目は83項目、★4は157項目が策定されています。ただし、これらは今後も国内の情報セキュリティの動向等を踏まえて、定期的な見直しが発生する可能性があります。
出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月26日)を加工して作成
また、★3、★4は、先行する仕組みである「SECURITY ACTION」、「自工会・部工会ガイドライン」や、国際標準であるISMS適合性評価制度などと相互補完的な制度として発展することを目指すとしています。
LRMではISMS認証取得・運用コンサルティングを中心に情報セキュリティに特化した支援サービスを提供しています。ぜひ、ご相談ください。
見落としがちな「IT基盤」の定義にはスマートフォン・クラウドも含む
制度の対象となるのはサプライチェーンを構成する企業等のIT基盤です。このIT基盤については、「サプライチェーン強化に向けたセキュリティ対策評価制度 に関する制度構築方針(案)」の「2.2.2 制度の対象範囲」で具体的に示されています。
このIT基盤では、メールサーバ、Webサーバなどの公開サーバや認証基盤などを含む基盤に加え、利用する外部クラウドサービス、スマートフォンなどの機器、外部ネットワーク境界も含むことに注意が必要です。
担当者の負担を減らす「取引先管理」の実務ポイント
SCS評価制度での評価対象である取引先管理について、取引先数が多く全ての管理をするのは負荷が高いことが実務管理者にとっては悩みの一つです。そのような場合の、負荷軽減のための考え方について説明します。
取引先との関係整理
可能な限り負荷を減らすためには、詳細に管理する取引先の数と状況把握などの回数を絞ることが大切です。IT基盤において密接な関連がある取引先については、詳細かつ高頻度での管理が必要となりますが、上記以外の一般的な取引先は年1回~数回の状況把握にて管理できる方法を検討しましょう。
まずは取引先との関係を整理し、IT基盤でのやり取りのレベルをラベリングしてみましょう。具体的には、要求事項・評価基準にある以下のポイントに分類すると良いと思います。
- IT基盤での密接な連携の有無
- 機密情報共有の有無
- 重要な取引先かどうか
サプライチェーン全体での責任分担の明確化
サプライチェーンのセキュリティにおいて、自社だけでなくサプライチェーン内の発注元または取引先との協力、連携が必要となります。そして、責任を分担することで実際の対応が見えてきます。
まずはステークホルダー、自社内のIT基盤と連携のある範囲を洗い出しましょう。発注元がサプライチェーン内の基本方針を持つ場合もあります。自社内においては体制の洗い出しを行い、契約などの条文に反映することで責任分担が明らかになります。
サプライチェーン全体での責任分担については、最初から明確になっているものではないため、段階的な整備と継続的な見直しを行いましょう。
制度開始までの準備
SCS評価制度適用開始となるのは2026年度末とされており、早い段階での準備が必要です。準備のステップを説明します。
目標レベルの決定とギャップ分析
SCS評価制度では、自社のビジネス環境や取引先からの要求に応じて、目指すべき「★」の数を選択する必要があります。
【Step0】まずは「★1・★2」の確認から
新制度における★1と★2は、すでにIPAが展開している「SECURITY ACTION」の要件(★1:情報セキュリティ5か条の実践、★2:情報セキュリティ自社診断の実施)がベースとなります。
まだ宣言を行っていない企業は自社の状況をチェックした上で、まずこの「自己宣言」を完了させ、社内の意識向上を図ることが全てのスタートラインとなります。
【Step1】「★3」か「★4」どのレベルを目指すか
自社がどのレベルを目指すべきかは、現在の取引状況と今後の事業戦略から判断します。
★4は「取引先から選ばれ続けるための競争力」に直結しますが、取得のためには一定の予算と準備期間が必要なため、早めの意思決定が重要です。
【Step2】将来的な「★5」への意識
★5は、NIST(米国国立標準技術研究所)やISO/IEC 27001などの国際規格に準拠した最高到達点です。2026年度以降に詳細が検討される予定ですが、重要インフラに携わる企業やグローバル展開を行う企業は、将来的にこのレベルが求められることを念頭に置いたロードマップを描くべきです。
「TEACHモデル」を活用した実効性のある従業員教育
制度の評価において、「教育を実施した記録があるか」だけでなく、「教育により従業員の行動に変化が見られるか」の実効性の観点も重要なポイントです。ここで有効なフレームワークが、LRMが提唱する、行動変容を促す「TEACHモデル」です。
★3・★4の審査では、「形骸化していない教育体制」の有無が大きな評価ポイントとなります。LRMではセキュリティリテラシー向上に向けた「教育」「訓練」「実践」をまとめて実施できるオールインワンのセキュリティ教育クラウド「セキュリオ」をご提案できます。上記のTEACHモデルに準じたセキュリティ教育を実施することで、企業のセキュリティリテラシーの底上げにつながることが期待できます。
例:「セキュリオ」で実現するTEACHモデル
- T(Trigger / 気付き):標的型攻撃メール訓練などを通じ、「自分事」として捉えるきっかけを作る。
- E(Engage / 学び):専門用語を並べた資料ではなく、動画やマンガなど多様な学習機会を提供し能動的な学習を促す。
- A(Adopt / 実践):フィッシング報告機能によるムリのないセキュリティ対策を実施する。
- C(Continue / 継続):年1回の研修で終わらせず、定期的なミニテストを配信するアウェアネス機能で習慣化させる。
- H(Heighten / 高度化):日々の学習データに基づく自動化・個別最適化を行う。
外部支援の活用検討
自社のみで全ての対策を完結させるのは困難です。国の支援策や民間の専門サービスを賢く活用しましょう。
「サイバーセキュリティお助け隊サービス(新類型)」
主に中小企業を対象に、★3・★4の取得に必要な「現状把握(評価)」と「対策支援(ツール提供等)」をワンパッケージにした新サービスが創設される予定です。コストを抑えつつ認証取得を目指したい企業にとって、本サービスは有力な選択肢となります。
出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月26日)を加工して作成
診断・コンサルティングサービス
特に★4を目指す場合には150項目を超える膨大な評価項目への対応が必要となります。自社単独でこれらの正確な解釈を行い、実効性のある体制を構築するのは決して容易ではありません。そのため、専門家が提供する診断サービスの活用が推奨されます。本番の審査に備えて、コンサルティングを受けることで、確実に★を取得できる体制を整えましょう。
LRMでも★4取得に向けたコンサルティング支援サービスを提供しています。すでにISMSを運用中の企業には、既存の仕組みを最大限に活用し、新制度との重複を整理することで工数を最小限に抑えるサポートが可能です。
ぜひご相談ください。
まとめ:2026年に向けて「信頼」を可視化する準備を始めよう
セキュリティ対策評価制度(SCS評価制度)は、サプライチェーン全体のセキュリティ強化を目的として経済産業省などが整備を進めている制度です。取引条件にセキュリティ対策に関する評価を示すことを求めるもので、言い換えれば企業のセキュリティ対策という信頼を可視化することが必要とされます。一部は2026年度末から適用開始予定で、すぐにでも準備を始めたいところです。
SCS評価制度では対策のレベルを「★」の数で示し、直近で適用開始されるのは★3と★4となります。従業員教育の推進や外部支援の活用により、サイバーセキュリティ対策の構築の準備を進めましょう。
