SCS評価制度とは?経産省が進めるサプライチェーンセキュリティ評価と企業が今すぐ始めるべき対策
更新日:2026-07-17 公開日:2026-07-17 by Bitmoss
|
SCS評価制度とは、サプライチェーンを構成する企業のセキュリティ対策状況を、共通の基準で評価・可視化する制度です。 2026年3月27日に制度構築方針が公表され、★3・★4については2026年度末ごろの申請受付開始が予定されています。 まずは自社のIT基盤や運用体制を把握し、不足している対策を優先順位に沿って改善することが重要です。 |
近年、企業に対するサイバー攻撃では、自社だけでなく、取引先や委託先を経由して被害が広がる「サプライチェーン攻撃」が大きな課題となっています。
こうした背景を受け、経済産業省と内閣官房国家サイバー統括室は、サプライチェーン全体のセキュリティ水準向上を目的とした「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築を進めています。
今後は大企業だけでなく、その取引先や委託先となる中小企業にも、一定水準のセキュリティ対策や評価結果の提示を求められる可能性があります。
一方で、次のような疑問を持つ方も少なくありません。
- 「SCS評価制度では何を評価されるのか」
- 「自社も対象になるのか」
- 「SecurityScorecardというサービスとは何が違うのか」
- 「何から対策を始めればよいのか」
この記事では、SCS評価制度の概要や対象範囲、企業に求められる対応、SecurityScorecardとの関係について、実務の視点からわかりやすく解説します。
SCS評価制度とは
SCS評価制度は、サプライチェーンを構成する企業のセキュリティ対策状況を、共通の基準で評価・可視化するための制度です。
正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」で、2026年3月27日に制度構築方針が公表されました。詳細は経済産業省の公式ページ(サプライチェーン強化に向けたセキュリティ対策評価制度(METI))で確認できます。
近年のサプライチェーン攻撃では、攻撃者がセキュリティ対策の比較的弱い関連会社や委託先を経由し、取引先のシステムへ侵入するケースが問題となっています。
そのため、自社だけを守るのではなく、取引先を含むサプライチェーン全体で、一定水準のセキュリティ対策を確保することが求められています。
なお、SCS評価制度は、企業同士の優劣を競わせる格付け制度ではありません。取引に必要なセキュリティ水準を分かりやすく提示し、対策の実施状況を確認するための仕組みとして位置付けられています。
なぜ制度化が進められているのか
これまでは、委託元企業がそれぞれ独自のセキュリティチェックシートを作成し、取引先や委託先へ回答を求める方法が一般的でした。
しかし、この方法では企業ごとに評価項目や基準が異なるため、委託元には取引先を評価する負担が、委託先には複数のチェックシートへ回答する負担が生じます。
SCS評価制度では共通の基準を設けることで、次の実現を目指しています。
- 企業間における評価方法の標準化
- 委託元・委託先双方の確認負担の軽減
- セキュリティ対策状況の可視化
- サプライチェーン全体のセキュリティ水準向上
SCS評価制度は任意の制度
SCS評価制度は、すべての企業に一律で取得を義務付ける規制ではなく、任意の制度です。
ただし、委託元企業が取引契約などにおいて、委託先に一定段階の評価取得や対策の実施を求めることは想定されています。
したがって、制度上の取得義務がない企業でも、取引先から対応を依頼されるケースは十分に考えられます。
★3・★4の評価段階が設けられる
SCS評価制度では、セキュリティ対策の段階として★3・★4を設け、★5については今後検討される予定です。
| 段階 | 評価方法の概要 | 想定される位置付け |
|---|---|---|
| ★3 | セキュリティ専門家の確認を経た自己評価 | 基礎的なセキュリティ対策を確認する段階 |
| ★4 | 第三者評価機関による評価 | より広範で高度な対策を確認する段階 |
| ★5 | 今後検討 | 高度なサイバー攻撃への対応を想定 |
★3・★4については、2026年度末ごろの申請受付開始が予定されています。ただし、詳細な評価方法や提出様式などは、制度開始までに具体化される予定です。
どのような企業が関係するのか
SCS評価制度は、特定の業種や企業規模だけを対象とした制度ではありません。
サプライチェーンを構成する企業であれば、業種や規模を問わず対象となる可能性があります。
特に、次のような企業は早めに制度の動向を確認しておく必要があります。
- 大企業や重要インフラ企業から業務を受託している企業
- 官公庁や自治体と取引している企業
- システム開発や運用保守を受託している企業
- クラウドサービスやITサービスを提供している企業
- 複数の取引先からセキュリティチェックへの回答を求められている企業
取引先から要請される前に自社の対策状況を把握しておけば、急な確認依頼にも対応しやすくなります。
SCS評価制度では何が評価されるのか
SCS評価制度では、企業のIT基盤に関するセキュリティ対策の実施状況が、共通の基準に基づいて確認・評価されることが想定されています。
対象となるIT基盤には、自社で保有するサーバーだけでなく、クラウド環境で運用しているシステムも含まれます。
評価では、個別の製品やサービスを導入しているかどうかだけではなく、組織として必要な対策を定め、継続的に運用できているかが重要になります。
例えば、次のような領域について確認や見直しが必要になります。
- セキュリティ方針や責任体制の整備
- IT資産や利用サービスの把握
- アカウントやアクセス権限の管理
- 脆弱性やセキュリティ更新への対応
- ログの取得や監視
- インシデント発生時の対応体制
- 委託先やクラウドサービスの管理
- バックアップや事業継続への備え
また、SCS評価制度は、EDRや資産管理システムなど、特定のセキュリティ製品の導入を一律に求める制度ではありません。
企業の規模やシステム構成に応じて、要求事項を満たすための適切な対策を選ぶことが必要です。
SCS対応でWebサイトやクラウド環境の見直しが重要な理由
SCS評価制度では、クラウド環境を含む企業のIT基盤が対象となります。
そのため、社内システムだけでなく、企業が運用するWebサイトやサーバー、クラウド環境についても、適切に管理されているか確認する必要があります。
また、Webサイトやインターネットに公開されたシステムは、攻撃者だけでなく、外部のセキュリティ評価サービスからも状態を確認されやすい領域です。
例えば、次のような状態は、外部からセキュリティ上の問題として認識される可能性があります。
| 確認されやすい領域 | 問題となる状態の例 |
|---|---|
| DNS設定 | 不要なレコードや管理されていないサブドメインが残っている |
| SSL/TLS | 古い暗号化方式や不適切な証明書設定が使用されている |
| メール認証 | SPF、DKIM、DMARCが適切に設定されていない |
| Webサイト | CMSやプラグインに既知の脆弱性が残っている |
| サーバー | 不要なポートやサービスがインターネットへ公開されている |
| クラウド環境 | アクセス権限や公開範囲が適切に管理されていない |
これらは、SCS評価制度の評価項目と外部評価サービスの評価項目が完全に同一であることを意味するものではありません。
しかし、日頃のインフラ運用やWebサイト管理に問題があれば、自社のセキュリティリスクが高まるだけでなく、取引先から改善を求められる要因にもなります。
SCS対応で企業が最初に取り組むべき5つのステップ
SCS評価制度への対応は、すべての対策を一度に実施するものではありません。
まずは自社の現状を把握し、リスクや取引上の必要性に応じて優先順位を付けることが重要です。
STEP1 現在のセキュリティ状況を把握する
最初に、自社が保有・利用しているIT資産と、現在実施している対策を整理します。
まずは、以下の8項目をチェックしてみましょう。
何ができていて、何が不足しているかを可視化することが、SCS対応の第一歩です。
STEP2 リスクに応じて優先順位を付ける
確認した課題をすべて同時に解決しようとすると、担当者の負担が大きくなります。
まずは、次の観点から優先順位を付けましょう。
- 外部へ公開され、攻撃を受ける可能性が高い
- 問題が発生した場合の事業への影響が大きい
- 取引先から早急な改善を求められている
- 比較的短期間で改善できる
例えば、既知の脆弱性への対応、期限切れが近い証明書の更新、不要な公開ポートの停止、退職者アカウントの削除などは、優先的に確認したい項目です。
STEP3 運用体制と役割分担を見直す
セキュリティ対策は、システムの設定を変更するだけでは継続できません。
担当者の異動や退職によって、次のような問題が起きることがあります。
- サーバーやクラウド環境の管理者が分からない
- DNSやドメインの管理会社が分からない
- 管理者アカウントが共有されたままになっている
- 更新や障害対応の手順が引き継がれていない
- 問題発生時の連絡先や判断者が決まっていない
管理対象、担当者、更新手順、緊急時の連絡経路を文書化し、担当者が変わっても継続できる運用体制を整えましょう。
STEP4 必要に応じてインフラ構成を見直す
古いサーバーや運用負荷の高い環境では、セキュリティ対策を継続すること自体が難しい場合があります。
例えば、次のような環境では、移行や構成変更も検討する必要があります。
- サポートが終了したOSやミドルウェアを利用している
- CMSやプラグインを安全に更新できない
- 共用サーバーの制約により必要な設定変更ができない
- アクセス権限やログを適切に管理できない
- サーバーやクラウド環境の管理者が不在になっている
- バックアップや復旧方法が確立されていない
現在の環境で必要な対策を継続できない場合は、クラウド環境への移行やマネージドサービスの活用、専門事業者への運用委託なども有効な選択肢になります。
STEP5 継続的に点検・改善する
SCS対応で重要なのは、一度対策を実施して終わりにしないことです。
サイバー攻撃の手法や脆弱性は日々変化しているため、次のような取り組みを定期的に行う必要があります。
- CMS、OS、ミドルウェアのアップデート
- 脆弱性情報とセキュリティ更新情報の確認
- SSL/TLS証明書やDNS設定の棚卸し
- アカウントやアクセス権限の見直し
- 不要なサーバー、サブドメイン、公開サービスの整理
- ログやアラートの確認
- バックアップと復旧手順の確認
- 定期的なセキュリティ診断
評価を受ける直前だけ対策するのではなく、日頃の運用に点検と改善を組み込むことが、結果的にSCS対応への近道となります。
SCS対応は制度への対応であると同時に、自社の事業継続や取引先からの信頼を守る取り組みでもあります。
SecurityScorecardはSCS対応にどう関係するのか
SCS評価制度について調べると、「SecurityScorecard(セキュリティスコアカード)」という名称を目にすることがあります。
両者は企業のセキュリティ状況を評価・可視化する点では関連しますが、位置付けは異なります。
| 項目 | SCS評価制度 | SecurityScorecard |
|---|---|---|
| 位置付け | 国が制度構築方針を示すセキュリティ対策評価制度 | 民間企業が提供するサイバーリスク評価サービス |
| 主な目的 | 企業間で必要なセキュリティ水準を共有し、対策状況を可視化する | インターネット上から観測できる情報などをもとに、企業や取引先のサイバーリスクを可視化する |
| 評価方法 | 専門家確認付き自己評価や第三者評価 | 外部から収集・観測した情報などをもとに継続的に評価 |
| 主な活用場面 | 取引契約における必要なセキュリティ水準の提示・確認 | 自社や取引先のリスク把握、継続的なモニタリング |
つまり、SCS評価制度は企業間で利用する共通の評価制度であり、SecurityScorecardは企業や取引先のサイバーリスクを外部から可視化するための民間サービスの一つです。SecurityScorecardを使えば、自社や取引先の状態を外部視点で把握し、改善箇所を検討する参考にできます。
ただし、SecurityScorecardのスコアを上げることとSCS評価制度の要求事項を満たすことは別物であり、SCS対応にSecurityScorecardの導入が必須というわけでもありません。
評価サービスのスコアそのものを目的にするのではなく、結果を現状把握の材料として、実際のセキュリティ対策や運用改善につなげることが大切です。
よくある質問(FAQ)
Q. SCS評価制度への対応は義務ですか?
SCS評価制度は任意の制度であり、すべての企業に一律で★の取得を義務付けるものではありません。
ただし、委託元企業が取引契約などにおいて、委託先に一定の評価取得やセキュリティ対策を求める可能性があります。
Q. SCS評価制度はいつ始まりますか?
★3・★4については、2026年度末ごろの申請受付開始が予定されています。
ただし、詳細なスケジュールや提出様式、評価方法については、制度開始までに具体化される予定です。最新情報は、制度のスキームオーナーであるIPA(情報処理推進機構)の公式サイト(SCS評価制度|IPA)で公表されます。
Q. 中小企業も対象になりますか?
業種や企業規模を問わず、サプライチェーンを構成する幅広い事業者が対象となる可能性があります。
特に、大企業や重要インフラ企業、官公庁などと取引している企業は、早めに自社の対策状況を確認しておくことが重要です。
Q. SecurityScorecardを導入しなければ対応できませんか?
SecurityScorecardを含む、特定の評価サービスやセキュリティ製品の導入が必須となる制度ではありません。
自社の規模やシステム構成に応じた方法で、SCS評価制度の要求事項を満たす必要があります。
Q. SCS対応では何から始めればよいですか?
まずは、自社が保有・利用しているIT資産、クラウドサービス、Webサイト、アカウント、委託先などを整理し、現在の対策状況を把握しましょう。
そのうえで、外部公開されているシステムや事業への影響が大きいシステムなど、リスクが高い領域から優先的に改善します。
Q. SCS評価制度とISMAPは何が違いますか?
SCS評価制度は、企業のサプライチェーン全体のセキュリティ対策状況を評価する制度です。一方、ISMAPは政府機関等が利用するクラウドサービスを対象とした登録制度です。
対象や目的は異なりますが、どちらも企業や組織のセキュリティ水準を高めるための取り組みという点で共通しています。
🔶SCS対応は、まず現状把握から始めましょう
取引先から突然セキュリティ対応を求められても、
どこに課題があるのか分からなければ適切な対策は進められません。
フューチャースピリッツでは、Webサイトやクラウド環境、サーバー運用を含めた
インフラ全体の見直しをご支援しています。
「自社の環境がSCS対応の観点で十分か確認したい」「クラウド運用やセキュリティ体制を見直したい」
という方は、お気軽にご相談ください。
まとめ
SCS評価制度は、取引先を含むサプライチェーン全体のセキュリティ対策状況を、共通の基準で可視化する制度です。
2026年3月27日に制度構築方針が公表され、★3・★4については2026年度末ごろの申請受付開始が予定されています。
任意の制度ではありますが、今後は取引先から一定水準のセキュリティ対策や評価取得を求められる可能性があります。
重要なのは、制度への対応だけを目的にするのではなく、自社のIT資産や運用体制を把握し、必要な対策を継続的に実施できる状態を整えることです。
まずは現在のセキュリティ状況を可視化し、リスクの高い領域から優先順位を付けて改善を進めましょう。