経済産業省と内閣官房国家サイバー統括室が2026年3月27日に「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の制度構築方針を公表しました。2026年度末頃から★3(Basic)と★4(Standard)の運用が始まる予定で、これは「取引先のサイバー対策を見える化する仕組み」が日本でも本格運用に入ることを意味します。
本記事は、中小企業の中でも「発注側ではなく受注側」、つまり大企業や中堅企業から取引を受けている立場の事業者を想定読者にしています。SCS評価制度の概要解説ではなく、取引継続のために何を今週から準備すべきか、★3取得まで具体的にどの順番で動くかを、受注側目線で整理します。
SCS評価制度の全体像 ― 「取引先評価の物差し」が国家標準になる
サプライチェーン経由のサイバー攻撃は、ここ数年で攻撃の本流になりました。大企業を直接狙うより、セキュリティ投資が手薄な取引先を踏み台にする方が成功率が高いためです。SCS評価制度はこの「弱い環」を底上げするための仕組みで、取引先の対策水準を5段階の星印で客観評価できるようにする制度設計です。
制度の3つの基本骨格
制度方針から読み取れる骨格は次のとおりです。まず、★1から★5の5段階評価のうち、2026年度末から運用開始されるのは★3(Basic)と★4(Standard)の2つです。★5(Advanced)は2026年度以降に詳細を検討する段階で、まだ要件は未確定です。次に、評価方法は★3が「専門家確認付き自己評価」、★4が「第三者評価機関による審査+技術検証」と段階的に厳格化されます。そして、認定後は事務局の台帳に登録・公開され、発注側が取引先選定時に参照できる仕組みになります。
★3と★4の違い ― 受注側から見た現実的な選択肢
| 項目 | ★3(Basic) | ★4(Standard) |
|---|---|---|
| 評価方式 | 専門家確認付き自己評価 | 第三者評価機関の文書審査+実地審査+技術検証 |
| 要求事項数 | 26項目 | 43項目 |
| 有効期間 | 1年 | 3年 |
| 主要評価領域 | 役割定義・初期侵入対策・侵入拡大対策・インシデント報告 | 左記+取引先管理・事業継続・サプライチェーン強靭化 |
| 想定取得対象 | 中小企業の最低ライン | 重要取引のある中堅企業・受注先 |
| 準備期間目安 | 3~6か月 | 6~12か月 |
受注側の中小企業がまず狙うべきは★3です。43項目の★4はISMS(ISO/IEC 27001)取得済み組織の延長線で対応するイメージで、社内に専任セキュリティ担当を置けない規模では準備負担が重くなります。一方、★3の26項目は「最低限ここまでやっていれば取引相手として安心」と発注側が判断できる水準で、専門家の確認は必要ですが第三者監査までは求められません。
受注側が直面する3つの現実的プレッシャー
SCS評価制度が始まると、受注側の中小企業には次のような形で取引上の要請が降りてきます。今のうちに想定しておくべき圧力ポイントです。
1. 取引継続要件としての★3取得
発注側の大企業・中堅企業は、自社のサプライチェーンリスク管理として「★3以上を持つ取引先に絞る」という方針を打ち出す可能性があります。これは制度上の義務ではなく、各企業の調達ポリシーとして決まる話ですが、特に重要インフラ事業者・上場企業・公共調達では現実的な要請として広がる見通しです。
影響は調達枠の縮小という形で現れます。同じ条件の取引先が複数あれば、評価を持っている事業者が優先される。逆に評価がないと、取引継続の条件として一定期日までの取得を求められるシナリオが想定されます。
2. 質問票・監査要請の増加
★3を取らない選択肢を取った場合でも、発注側は別の形でセキュリティ対策状況を確認しようとします。具体的にはセキュリティ質問票への回答、年次監査、現地視察などです。一社あたり数十項目の質問票が複数社から届くようになると、受注側のセキュリティ担当者は「同じ内容を異なるフォーマットで何度も書く」非生産的作業に追われます。
SCS評価を取得しておけば、こうした個別質問票への回答負担を「うちは★3を取得済みです」の一言で大幅に軽減できます。発注側にとっても、自社独自の評価項目より国家標準の評価のほうが客観性が高いため、評価取得済みの取引先は質問票を簡略化される傾向が出ると見込まれます。
3. インシデント時の連鎖責任
取引先経由でサイバー攻撃が発注側に波及した場合、損害賠償や取引停止の責任追及が現実化します。実際、2024年以降の国内の大規模インシデントでは、原因企業(被害の起点となった取引先)が契約上の賠償責任を問われるケースが報じられています。
SCS評価制度の取得は「適切な水準の対策を講じていた」ことの客観的証跡にもなります。完全な免責にはなりませんが、訴訟リスクや取引停止リスクを軽減する材料として機能します。
★3取得への実務ロードマップ(受注側中小企業向け)
ここから★3取得を狙う受注側の中小企業向けに、3か月から半年で動くべき実務ステップを整理します。前提として、すでにISMSやプライバシーマークを取得していない中小企業を想定しています。
フェーズ1(着手1か月目)― 自社の現在地把握
最初の1か月でやるべきは「ギャップ分析」です。★3の26項目に対し、自社で何ができていて何ができていないかを棚卸しします。具体的には次の作業を進めます。
・セキュリティ責任者の明確化: 経営層の誰がCISO相当の役割を担うかを文書化
・情報資産の棚卸し: 業務システム・顧客データ・取引先データの所在と保管期間を一覧化
・ネットワーク構成図の整備: 社内LAN・VPN・クラウドサービスの接続関係を可視化
・既存のセキュリティ対策の棚卸し: アンチウイルス・ファイアウォール・バックアップ等の導入状況をリスト化
・従業員教育の実施履歴の整理: セキュリティ教育の実施日・対象者・教材内容の記録確認
このフェーズは「現状把握」が目的で、新しい対策の導入はまだ始めません。ギャップを正確に把握することで、後の投資判断が無駄なく進みます。
PR
ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)構築・運用の実践【第2版】(羽田卓郎)
SCS評価制度の★3要件はISMSの中核要件と多くが重複しています。資産管理・アクセス制御・運用管理・インシデント対応を体系的に整備するための実務手順書として、★3準備の指針になる一冊です。
フェーズ2(2~3か月目)― 必須文書の整備
★3の評価では、対策の実施状況を文書で示せることが必須です。次の文書セットを整備します。
・情報セキュリティ基本方針: 経営層が承認したA4一枚程度の方針文書
・情報セキュリティ管理規程: 役割分担・委託先管理・教育・監査の運用ルール
・インシデント対応手順書: 発見→隔離→経営報告→取引先通知→復旧の各段階の責任者と連絡先
・脆弱性管理プロセス文書: 月次の脆弱性情報収集・パッチ適用判断・適用記録のフロー
・委託先管理表: 自社が業務委託している外部事業者のセキュリティ対策状況を確認した記録
・従業員教育計画: 年次の教育テーマ・対象者・実施時期の計画書
これらの文書は、いきなりゼロから書き起こす必要はありません。IPAやJNSAが公開している中小企業向けテンプレートを下敷きにして、自社の実情に合わせて改訂する進め方が現実的です。
フェーズ3(3~4か月目)― 技術対策の実装
文書整備と並行して、技術対策の実装を進めます。★3の26項目で求められる技術対策の中核は次のとおりです。
・多要素認証(MFA)の導入: 社外からのアクセスがある業務システムへのMFA必須化
・エンドポイント対策の強化: アンチウイルスからEDR(Endpoint Detection and Response)への移行検討
・バックアップ運用の見直し: 3-2-1ルール(3部・2媒体・1部オフサイト)の最低限の実装、可能ならイミュータブル化
・VPN・リモートアクセス機器のパッチ運用: CVE公開から24時間以内のパッチ適用ローテーション
・ログ取得・保管: 主要システムの認証ログを最低6か月、できれば1年保管
・権限の最小化: 管理者権限の棚卸しと不要な権限剥奪
すべてを一気にやる必要はありません。攻撃面の大きいものから優先的に着手します。多くの中小企業ではMFA未導入とVPNパッチの遅れが最も大きな攻撃面なので、まずここから手をつけます。
フェーズ4(5~6か月目)― 専門家確認と申請
★3の最終段階は専門家確認です。セキュリティコンサルタント・情報処理安全確保支援士・公認情報セキュリティ監査人などの有資格者に、自社の自己評価内容を確認してもらいます。専門家は内容を確認し、必要に応じて修正助言を行い、最終的に評価書に署名します。
その後、経営層による自己適合宣誓書を添付して事務局に申請します。受理されると台帳に登録・公開され、★3取得が完了です。費用は専門家費用が主で、20万円~80万円程度が想定範囲(市場価格は2026年5月時点では確定していないため、見積もりは複数業者から取るのが安全)です。
「お助け隊サービス」と公的支援の活用
METIとIPAは中小企業の★3取得を支援するため、「サイバーセキュリティお助け隊サービス」の新類型を準備しています。これは月額数万円台から利用できる中小企業向けの統合セキュリティサービスで、EDR・SOC監視・インシデント対応支援・社員教育などをパッケージで提供するものです。
お助け隊サービスでカバーできる項目
お助け隊サービスを活用すると、★3の技術対策のうち次の項目を外部委託でカバーできます。エンドポイント監視、24時間のセキュリティ監視(簡易版)、インシデント発生時の初動支援、脆弱性情報の通知、年次のセキュリティ教育コンテンツ提供です。
自社で人員を確保せずに★3水準の運用を組める点が最大の利点です。特に従業員50人未満の規模では、専任のセキュリティ担当を置く余裕がないケースが大半なので、お助け隊サービスの活用が現実解になります。
補助金・税制優遇
2026年度のIT導入補助金には「セキュリティ対策推進枠」が継続されており、お助け隊サービスや認定セキュリティ製品の導入費用が補助対象になる見込みです。また、中小企業向けの「サイバーセキュリティ対策投資促進税制」のような税制優遇も検討対象になっており、★3取得に係る投資の一部を税額控除できる可能性があります(適用条件と税率は今後の制度詳細で確定)。
★4を目指すべき中小企業の判断軸
★3だけで取引継続が難しいと判断する場合や、より広範な取引機会を狙う場合は★4を視野に入れます。★4取得を検討すべき条件を整理します。
★4取得が現実的な条件
★4は43項目・第三者評価・3年有効と、★3より重い制度です。投資対効果が見合うのは次のような状況です。重要インフラ事業者の重要取引先である場合、上場企業や公共機関を主要顧客に持つ場合、すでにISMS(ISO/IEC 27001)を取得済みで★4の追加負担が比較的小さい場合、年商10億円以上で専任のセキュリティ担当者を置ける場合、これらに該当すると★4取得の投資対効果が見合いやすくなります。
★4の追加要求事項
★3の26項目に加わる17項目(43-26)は、主に次の領域です。組織ガバナンス強化(取締役会レベルでのセキュリティ報告体制)、取引先管理の包括化(自社の取引先のセキュリティ対策状況を継続的に評価する仕組み)、サプライチェーン強靭化(自社が起点となる連鎖被害を防ぐための仕組み)、事業継続計画(BCP)の整備、技術的な検知・対応能力の高度化(SOCまたはMDR運用)です。
FAQ
Q1. SCS評価制度はいつから運用開始ですか
★3と★4は2026年度末頃から運用開始予定です。具体的な申請受付開始日は今後事務局から発表されます。★5の運用開始時期は2026年度以降の検討事項で未定です。
Q2. SCS評価を取得しないとどうなりますか
制度上の義務はないため、取得しなくても法的問題はありません。ただし発注側企業が「★3以上の取引先に絞る」という調達方針を打ち出した場合、取引継続の条件として取得を求められる可能性があります。実質的な取引要件として広がる見通しです。
Q3. ISMSを取得済みなら★3は簡単ですか
ISMSと★3の要件は多くが重複しているため、ISMS取得済み組織は文書面でかなりの部分が流用可能です。ただし、SCS評価固有の項目(特に取引先管理・インシデント報告の具体的手順)は追加整備が必要です。準備期間は1~3か月程度に短縮できる見込みです。
Q4. 個人事業主・5人以下の零細企業も対象ですか
制度上は業種・規模を問わないため対象に含まれます。ただし要求事項の負担が相対的に大きいため、お助け隊サービスや公的支援の活用が前提になります。発注側が要件を求めない零細規模では、当面は取得を急ぐ必要はないと考えられます。
Q5. 専門家確認はどんな資格者に依頼すればよいですか
制度方針では「セキュリティ専門家」と規定されており、具体的な資格要件は事務局が今後定めます。実務的には情報処理安全確保支援士、CISSP、公認情報セキュリティ監査人(CAIS-Au)、ISMS主任審査員などの有資格者が想定されます。複数業者から見積もりを取り、自社業務に近い経験がある専門家を選ぶのが安全です。
Q6. ★3の有効期間1年は短すぎませんか
1年は確かに短く、毎年の更新作業が発生します。ただしこれは★3が「基礎水準」と位置付けられているためで、対策の継続性を担保する設計です。長期間の有効性が必要な場合は★4(3年有効)を目指す選択肢になります。
Q7. お助け隊サービスはどこから探せますか
IPAの公式サイトに「サイバーセキュリティお助け隊サービス」の認定事業者一覧が掲載されています。地域別・サービス内容別に検索でき、複数業者から見積もりを取れます。新類型(SCS評価制度対応版)は今後追加される見込みです。
Q8. ★3取得後に重大インシデントが起きたら認定はどうなりますか
制度方針では明確な失効条件はまだ示されていません。ただし、認定時の評価内容と実態が乖離していた場合は事務局による調査と認定取消の可能性があります。インシデント発生時は速やかな事務局への報告と是正対応が求められると見込まれます。
関連クラスター記事
本記事と併せて読みたい当サイト掲載のサプライチェーン・ガバナンス系記事は次のとおりです。
・Project YATAとSCS評価制度の中身|日本政府フロンティアAI規制スキームを企業セキュリティ部門目線で読み解く:政策横断の俯瞰
・サプライチェーン攻撃とは?仕組み・被害事例・対策をわかりやすく解説:攻撃メカニズムの基礎
・ゼロトラストとは?概念・仕組み・導入手順をわかりやすく解説:取引先含む信頼境界の再設計
・中小企業のメールセキュリティ対策|SPF・DKIM・DMARCの設定と運用ガイド:受注側の基本対策
PR
ランサムウェア対策 実践ガイド(田中啓介・山重徹/マイナビ出版)
SCS評価制度の★3要件のうち、技術対策セクションは「侵入後の対応」を重視しています。攻撃手法の理解から検知・対応設計まで体系的にカバーした本書は、★3取得準備のうち最も実装が遅れがちな検知・復旧領域の指針として有用です。
まとめ ― 「2026年度末」を逆算して動き始める
SCS評価制度の★3・★4は、2026年度末頃の運用開始というスケジュールが既に確定しています。受注側の中小企業が取引継続を視野に入れて準備するには、今この瞬間から逆算しても準備期間が3~6か月。発注側からの要請が顕在化してから動き始めると、半年遅れで取引機会を失うリスクがあります。
本記事で示した4フェーズのロードマップ(現状把握→文書整備→技術対策→専門家確認)と、お助け隊サービス・補助金の活用方針を起点に、自社の準備計画を立ててください。完璧を目指す必要はなく、まず★3を確実に取得し、必要に応じて★4にステップアップする現実的な道筋を組むことが重要です。
セキュリティ実務の最新情報をメールでお届け
SCS評価制度の運用詳細・★3準備の現場ノウハウ・サプライチェーンセキュリティの最新動向を、メールマガジンで配信しています。
