ネットワークセキュリティ事業部

中小企業も無関係ではない「SCS評価制度」とは

本記事は、2026年3月27日に経済産業省・内閣官房国家サイバー統括室が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)にもとづいて解説しています。

これから取引先に聞かれるかもしれないセキュリティ対策

近年、企業を狙ったサイバー攻撃が急増しています。ニュースでも「ランサムウェア」「情報漏えい」といった言葉をよく見かけるようになりました。

こうした背景のなか、国が整備を進めているのが SCS評価制度(正式名称:サプライチェーン強化に向けたセキュリティ対策評価制度)です。企業のセキュリティ対策の状況を共通のものさしで評価・可視化し、取引先が確認できるようにする仕組みで、★3・★4については2026年度末頃の制度開始(申請受付の開始)が目指されています。

「うちは小さい会社だから関係ない」と思うかもしれませんが、実はこの制度は 中小企業こそ影響を受ける可能性が高い制度 と言われています。今回は、中小企業の立場からわかりやすく解説します。

サプライチェーン全体でセキュリティを可視化するSCS評価制度の概要図

なぜこの制度が作られるのか

背景にあるのは サプライチェーン攻撃の増加 です。サプライチェーンとは、取引先・外注企業・下請企業・システム会社など、事業をささえる企業のつながりのことです。

最近の攻撃では、大企業を直接狙うのではなく、セキュリティが弱い取引先を経由して侵入する 手口が増えています。IT保守会社やシステム開発会社、外注先のパソコンが感染し、そこを踏み台に大企業のネットワークへ侵入する——そんな事例が実際に起きています。

つまり、取引先も含めて安全でなければ意味がない、という状況になっているのです。

これまでの課題

これまで企業は、取引先のセキュリティレベルを確認するために、セキュリティチェックシートやアンケート、自己申告などを行ってきました。しかしこの方法には、

  • 本当に対策しているのか分かりにくい
  • 企業ごとに質問内容がバラバラ
  • 回答する側の負担が大きい

といった課題があり、発注側・受注側の双方に手間がかかっていました。そこで、共通のものさし(評価制度) を作り、双方の負担を軽くしながら全体の底上げを図ることになったのです。

SCS評価制度の仕組み ── ★で「可視化」する

SCS評価制度では、企業のセキュリティ対策の状況を ★(星)で可視化 します。なお、これは対策レベルを競わせる「格付け制度」ではなく、あくまで 対策状況を見える化する ための仕組みです。

  • 対象は、企業の IT基盤(クラウド環境で運用するものを含む)です。工場などの制御(OT)システムや、提供する製品そのものは直接の対象ではありません。
  • 評価基準を満たすために、特定のセキュリティ製品の導入が必須というわけではありません
SCS評価制度の評価段階(★3=専門家確認付き自己評価、★4=第三者評価が必須、★5は今後検討)

段階は、まず ★3・★4 の2つからスタート します(★5は今後検討)。★3は基礎的な対策、★4はより広い範囲・組織的な対策を求める段階で、★4では第三者評価が必須になります(くわしくは次の章)。

評価のやり方(★3と★4で異なります)

評価の方法(評価スキーム)は段階によって異なり、これが★3と★4の大きな違いです。

  • ★3:専門家確認付きの自己評価 ── 自社で行った評価結果を、セキュリティ専門家(情報処理安全確保支援士=登録セキスペ)の確認・助言を経て確定させます。要求事項は 26件、有効期間は 1年 です。
  • ★4:第三者評価が必須 ── 自社以外の評価機関による評価を受けます。実地審査や技術検証を含む評価で、対策の実施状況を確認します。要求事項は 43件、有効期間は 3年 です。

なお、上位の段階は下位段階の事項を含みますが、★3を先に取得していなくても★4に取り組むことができます(★3の取得は★4の前提条件ではありません)。さらに高度な★5は第三者評価を前提に、要求事項・評価スキームを今後具体化する予定です。

※ ★1・★2に相当する基礎的な取組については、IPAが運営する「SECURITY ACTION」が参照先とされています。

要求事項を満たす具体的な実装例をまとめた評価ガイド等は、2026年秋頃の公表予定です。

中小企業の目標は、まず「★3」

中小企業の場合、まず目標になるのは ★3(基礎的な対策) です。★3では、主に次のような対策が想定されています。

  • OSやソフトの更新
  • ウイルス対策ソフトの導入
  • パスワード管理
  • セキュリティの管理体制づくり

特別に難しい対策ではなく、基本的なIT管理 が中心です。★3は専門家確認付きの自己評価で取得を目指せるため、中小企業にとって現実的なスタート地点になります。

中小企業が気にすべきポイント

この制度は 発注する側(委託元)が使う制度 ですが、実際に対応するのは 受注する側(中小企業) です。将来的には、取引先から「御社のセキュリティ対策はどのレベルですか?」「SCS評価の★3を取得していますか?」といった確認が行われる可能性があります。

つまり、セキュリティ対策が取引条件の一つになる可能性 があるのです。

一方的な押し付けにならないよう配慮されている

ここで一つ安心できる点があります。制度は、委託元が 適切な段階(★)を提示して対策を促し、実施状況を確認する ことを想定しており、一方的な強制を前提にしていません。

発注側が一方的にセキュリティ対策や★取得を押し付けると、独占禁止法や中小受託取引適正化法(取適法/旧・下請法) 上の問題となる可能性があります。国(経済産業省・公正取引委員会)は「問題とならないケース」を想定した事例と解説を公表しており、協議・支援・価格交渉などを通じて 取引先と協力してセキュリティを高めていく 考え方が示されています。

中小企業向けの支援策

国は、中小企業が★3・★4に取り組みやすいよう、次のような支援策を進めています。

  • サイバーセキュリティお助け隊サービス(新類型)の新設 ── 中小企業が★3・★4を安価かつ簡便に取得できるようにするための支援。2026年春頃から実証事業が始まる予定です。
  • 「中小企業の情報セキュリティ対策ガイドライン」の改訂・公開 ── SCS評価制度で求められる要求事項に対応する形で内容が拡充されました。
  • 専門家(登録セキスペ)による支援 ── IPAが「中小企業向けサイバーセキュリティ対策支援者リスト」を整備し、★3の専門家確認などを依頼しやすくしています。

中小企業が今からできること

中小企業が今からできる4つの基本対策(OS更新・ウイルス対策・パスワード管理・バックアップ)

SCS評価制度はまだ準備段階ですが、今からできることがあります。まずは次の4つです。

  1. OS・ソフトを最新にする ── Windowsやソフトを更新し、弱点をふさぎます。
  2. ウイルス対策ソフトを入れる ── 導入して常に有効にしておきます。
  3. パスワード管理を徹底する ── 使い回しを避け、管理ルールを決めます。
  4. データをバックアップする ── ランサムウェアに備えて保全します。

サイバー攻撃の多くは 基本対策の不足 を狙っています。これらを整えるだけでも大きな効果があります。

まとめ

SCS評価制度は、サプライチェーン全体のセキュリティ水準を底上げする ための仕組みです。今後の企業取引では、セキュリティ対策やリスク管理ができている企業が、より選ばれやすくなる可能性があります。

ただし、いきなり高度な対策が求められるわけではありません。まずは 基本的なIT管理を整えること から。小さな会社でも、できることから少しずつ取り組んでいきましょう。

DXやセキュリティについて相談したい方へ

当社では、企業向けに DX相談・セキュリティ対策相談・IT活用相談 などを行っています。中小企業のIT活用やセキュリティ対策についてお困りの方は、お気軽にご相談ください。

出典:経済産業省・内閣官房国家サイバー統括室「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(2026年3月27日公表)

お問い合わせフォームはこちら

TOP