防衛装備品調達基準 × SCS評価制度 ― NIST SP 800-171対応との関係を整理

SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。

防衛装備品の調達では、2023年に防衛省が「装備品等の開発及び製造における情報セキュリティ基準」を策定し、米国NIST SP 800-171（連邦政府の非機密情報の保護）に準拠した約110項目の管理策が要求されるようになりました。これは防衛装備品の主契約企業（プライム）だけでなく、Tier1〜Tier3のサプライヤーまでが対象となる広範な要件です。

そこに2027年2〜3月頃に運用開始予定のSCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）が加わると、防衛サプライチェーンに属する企業は「防衛調達基準 × SCS★4／★5」の二重対応を迫られます。本記事では、両制度の関係を整理し、防衛系中小企業の対応戦略を解説します。

防衛装備品調達基準の概要

NIST SP 800-171との関係

防衛省の情報セキュリティ基準は、米国NIST SP 800-171（Protecting Controlled Unclassified Information）をベースに、日本固有の要件を加えた構成です。約110項目の管理策が14のファミリー（アクセス制御、監査と説明責任、認証、構成管理、インシデント対応、保守、媒体保護、人的セキュリティ、物理的保護、リスクアセスメント、セキュリティアセスメント、システムと通信の保護、システムと情報の整合性、サプライチェーンリスク管理）に整理されています。

適用対象と段階導入

防衛省の情報セキュリティ基準は、装備品の重要度・契約規模により段階的に適用されています。プライムから新規契約を獲得するには基準への適合が前提となり、Tier2/Tier3のサプライヤーにも一次企業から要件が継承されます。

• 2023年〜：プライム（主契約企業）への適用
• 順次：Tier1サプライヤーへの拡大
• 中長期：Tier2/Tier3を含むサプライチェーン全体への拡大

米国CMMCとの関係

米国ではNIST SP 800-171への適合をCMMC（Cybersecurity Maturity Model Certification）として認証化しています。日本の防衛装備品調達基準は、CMMCのような第三者認証スキームではなく、自己宣言＋契約上の遵守義務で運用されている点が異なります。

SCS評価制度との対応関係

重なる領域

防衛装備品調達基準とSCS評価制度（特に★4）の重なる主な領域は次のとおりです。

• アクセス制御と多要素認証
• ログ管理・監査・説明責任
• 構成管理（端末、ネットワーク、サーバ）
• インシデント対応
• メディア保護（USBメモリ、可搬媒体）
• 物理的保護
• リスクアセスメントとセキュリティ評価
• 通信・保存時の暗号化
• サプライチェーンリスク管理

両制度ともサプライチェーンセキュリティの観点を含むため、コンセプトレベルでは共通する管理策が多くあります。

異なる領域

異なる領域も明確にあります。

• 管理策の粒度：防衛調達基準（NIST 800-171）は約110項目、SCS★4は157基準。粒度が異なる
• CUI（Controlled Unclassified Information）の概念：防衛調達基準は「管理対象非機密情報」の取扱が中心／SCSは情報の機密区分を企業判断に委ねる
• 媒体・物理的保護の深さ：防衛は媒体・施設のセキュリティに踏み込んだ要件／SCSは事業所一般の要件
• 第三者認証の有無：防衛調達基準は契約ベースで自己宣言が中心／SCS★4は第三者評価＋技術検証が必須
• 適用対象：防衛は防衛装備品の調達に限定／SCSはサプライチェーン全般

防衛サプライチェーンの対応戦略

プライム企業（主契約企業）

防衛装備品のプライムは、防衛調達基準への対応が最優先で、すでに大規模な体制整備が進んでいるはずです。SCS★4・★5への対応は、サプライヤー管理（Tier1への要求事項継承）の文脈で必要になります。

• 防衛調達基準で実装した管理策をSCS★4の証跡として活用
• Tier1サプライヤーにSCS★4取得を求めることで、サプライチェーン全体のセキュリティを底上げ
• 防衛省以外の取引（民生品、政府調達）でもSCS★4を活用

Tier1サプライヤー

Tier1の中堅企業は、プライムから防衛調達基準への適合を求められつつ、政府調達・民生品取引でSCS★4が必要となるケースが増えます。両方を同時取得する戦略が現実的です。

• 防衛調達基準対応で整備した管理策をSCS★4の証跡に流用
• 不足するのは「サプライチェーン全体の可視化」「取引先のSCS★取得促進」など
• ISMS／ISMS-Pをすでに取得している企業は、3制度のマッピング表を整備

Tier2/Tier3サプライヤー

Tier2/Tier3の中小企業は、防衛調達基準への対応負担が重く、対応に苦慮しているケースが多くあります。SCS評価制度の★3を先行取得することで、**「最低限のセキュリティ対策ができている証明」**として一次企業からの信頼を得る道があります。

• まずSCS★3を取得して基盤を固める
• プライム／Tier1からの要求に応じて防衛調達基準への部分対応を進める
• 中長期的にSCS★4へステップアップしつつ、防衛調達基準の全項目対応を目指す

二重対応を効率化する3つのポイント

ポイント1：管理策のマッピング表整備

防衛調達基準（NIST 800-171）約110項目とSCS★4の157基準のマッピング表を作成し、1つの管理策が複数の制度の要求を満たすことを可視化します。これにより、対策の重複実装や運用記録の二重作成を防げます。

ポイント2：CUI管理を起点とした情報資産整理

防衛調達基準ではCUI（管理対象非機密情報）の特定と保護が出発点です。社内の情報資産を「CUI／一般機密／公開情報」に分類し、CUIに対しては防衛要件、それ以外にはSCS要件で管理する階層的な情報管理設計が効率的です。

ポイント3：技術的対策の集約

両制度ともMFA、暗号化、ログ管理、エンドポイント保護を求めます。Microsoft 365 E5 / Microsoft Defender / Microsoft Purview等の統合環境を活用すると、両制度の技術的要件を1つの基盤で満たせます。

米国国防総省との取引がある企業

米国DoD（国防総省）への直接・間接的な納入があるサプライヤーは、CMMCへの対応が必要です。CMMC、防衛省調達基準、SCS★4の三重対応となるため、ISMS／ISO 27001をベースに、各制度のマッピング表で要件を整理する設計が現実的です。

情シス365による防衛サプライヤー支援

情シス365では、防衛サプライチェーンに属する中堅・中小企業向けに次の支援を提供しています。

• 防衛調達基準（NIST 800-171）とSCS★4の管理策マッピング作成
• CUI識別と情報資産分類の支援
• Microsoft 365 / Microsoft Purviewによる統合的な情報保護
• ログ管理基盤・EDR・MDM等の技術的対策の実装
• 規程・運用記録の整備
• 専門家確認・第三者評価機関対応の伴走

なお、機密度の高い案件は専門の防衛系セキュリティコンサルティング事業者と連携して対応します。

防衛系サプライヤーのSCS対応に関する60分無料相談はこちら →

あわせて読みたい

• SCS評価制度とは？★3〜★5の評価基準と中小企業が今やるべき準備
• SCS評価制度★3・★4の評価基準比較｜セルフチェックリスト付き
• 自工会・部工会ガイドライン × SCS評価制度
• 政府調達ロードマップ × SCS評価制度