【2026年度開始】SCS評価制度とは?中小企業が知っておくべきサプライチェーン・セキュリティ新制度を徹底解説
「取引先からセキュリティ対策の強化を求められたが、何をすればいいかわからない」「取引先ごとに異なるセキュリティチェックシートへの対応で疲弊している」——こうした声は、中小企業のIT担当者からよく聞かれます。
2025年12月26日、経済産業省と内閣官房国家サイバー統括室は、こうした課題を解決する新たな仕組みとして**「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」**の制度構築方針(案)を公表しました。
この制度は2026年度末(2027年3月頃)の開始を目指しており、将来的には取引条件や政府調達の要件に組み込まれる見通しです。つまり、中小企業にとって「知らなかった」では済まされない制度になる可能性があります。
この記事では、SCS評価制度の全体像から中小企業が今すぐ着手すべき準備まで、できるだけわかりやすく解説します。
なぜ今、サプライチェーンのセキュリティ制度が必要なのか
サプライチェーン攻撃の急増
近年、サイバー攻撃の手法は大きく変化しています。攻撃者は、セキュリティ対策が堅牢な大企業を直接攻撃するのではなく、その取引先(サプライチェーン)の中で最もセキュリティが手薄な企業を踏み台にして、最終的なターゲットに到達する手法を多用するようになりました。
実際に、2022年の小島プレス工業(トヨタ自動車の取引先)へのランサムウェア攻撃では、トヨタの国内全14工場が稼働停止に追い込まれました。1社のセキュリティ不備が、サプライチェーン全体に甚大な影響を及ぼした象徴的な事例です。
発注側・受注側それぞれの課題
このような状況の中、企業間取引においてセキュリティ対策の確認が求められるケースが増えていますが、現状では以下のような課題が生じています。
発注企業(大企業側)の課題: 取引先のセキュリティ対策状況を客観的に判断する共通の基準(ものさし)がない。各社独自のセキュリティチェックシートで確認しているが、回答内容の信頼性を担保しにくい。
受注企業(中小企業側)の課題: 複数の取引先からそれぞれ異なるフォーマット・基準のセキュリティチェックを求められ、対応に膨大な時間とコストがかかっている。何をどこまでやればよいのか判断が難しい。
SCS評価制度は、こうした双方の課題を解決するために、国が統一基準を定め、セキュリティ対策の実施状況を「見える化」する仕組みとして設計されています。
SCS評価制度の全体像
制度の基本コンセプト
SCS評価制度のポイントを一言でまとめると、**「企業のセキュリティ対策レベルを★(星)で可視化する制度」**です。
ただし重要な注意点があります。経産省は「本制度は、事業者のセキュリティ対策レベルを競わせることを目的とした格付け制度ではない」と明言しています。あくまでも、サプライチェーン上の重要性やリスクに応じて適切な対策が実施されているかを確認・可視化する仕組みです。
★3〜★5の3段階
SCS評価制度では、以下の3段階の評価レベルが設けられます。なお、★1・★2はIPAが運営する既存の「SECURITY ACTION」(自己宣言制度)に該当するため、SCS評価制度では★3以上が対象です。
★3(基礎レベル):すべてのサプライチェーン企業の最低ライン
位置づけ: サプライチェーンを構成するすべての企業が最低限実装すべき対策
対策の範囲: 基礎的なシステム防御策と体制整備が中心
評価方法: 専門家確認付き自己評価
- 自社で対策状況を評価シートに記入
- 社内外のセキュリティ専門家が確認・助言
- 経営層が適合宣言を行い、登録機関に提出
想定される企業: ほぼすべてのサプライチェーン構成企業。特に、IT専任者がいない中小企業がまず目指すべきレベル
★4(標準レベル):サプライチェーン企業が標準的に目指すべき水準
位置づけ: 組織的なガバナンスと包括的な防御体制を備えた段階
対策の範囲: 組織ガバナンス・取引先管理、システム防御・検知、インシデント対応など包括的な対策
評価方法: 第三者評価
- 自己評価に加え、外部の評価機関による客観的な評価を受ける
想定される企業: 重要インフラのサプライチェーンに属する企業、政府調達に関わる企業
★5(高度レベル):サプライチェーン企業の到達目標
位置づけ: 国際規格等に基づくリスクベースのアプローチで、ベストプラクティスに基づく対策を実施する段階
評価方法: 第三者評価(詳細は2026年度以降に検討予定)
現状: ★5の具体的な要求事項・評価基準は未公表。2026年度以降に検討が進められる予定
セキュリティ要求事項の構成
★3・★4の要求事項は、米国NISTのサイバーセキュリティフレームワーク(NIST CSF)をベースに、「取引先管理」を加えた構成となっています。
具体的には、ガバナンス(セキュリティ責任者の設置、体制構築)、取引先管理(重要な取引先の把握、委託先の対策確認)、識別(IT資産・クラウドサービスの把握、脆弱性管理)、防御(多要素認証、パッチ適用、マルウェア対策、ログ取得)、検知(不正アクセスの検知体制)、対応・復旧(インシデント対応計画、バックアップ)の各領域から構成されています。
なお、上位の段階は下位の段階の要求事項を包含するため、★3を取得していなくても★4から直接取得することが可能です。
制度のスケジュール
SCS評価制度の今後のスケジュールは以下のとおりです。
- 2025年12月: 制度構築方針(案)公表、パブリックコメント開始
- 2026年1月: パブリックコメント締切
- 2026年3月頃: 制度構築方針の成案化
- 2026年春頃: 「サイバーセキュリティお助け隊サービス」(新類型)の実証事業開始
- 2026年度末(2027年3月頃): ★3・★4の制度正式開始
- 2027年度以降: ★5の対策基準・評価スキームの検討
つまり、約1年後には制度が始まるということです。
中小企業向けの支援策
「サイバーセキュリティお助け隊サービス」新類型の創設
中小企業にとって最大の関心事は「★を取得するためにどれだけのコストと手間がかかるのか」でしょう。
経産省とIPAは、中小企業が★3・★4を安価かつ簡便に取得できるよう、「サイバーセキュリティお助け隊サービス」の新類型を創設する方針を発表しています。
従来の「お助け隊サービス」は、24時間の異常監視、駆け付け支援、相談窓口、サイバー保険がパッケージになった低コストサービスです。新類型では、これに加えて以下の支援が提供される見込みです。
STEP 1: SCS評価制度の★3または★4の取得・更新時に、中小企業のセキュリティ対策状況を評価
STEP 2: 要求事項のうち未達成の項目について、ITツールの導入や人的支援によって達成を支援
つまり、「評価して終わり」ではなく、不足している対策の実装まで支援してくれるサービスということです。2026年春頃から実証事業が始まる予定です。
取引先との関係に関する法的整理
もうひとつ重要な動きがあります。大企業が取引先の中小企業にセキュリティ対策を要請する際、独占禁止法や下請法に抵触しないかという懸念がありました。
この点について、経産省と公正取引委員会は「問題とならない」ケースの想定事例と解説を公表しました。ポイントは以下のとおりです。
- セキュリティ対策の要請自体は合理的な理由があれば問題なし
- ただし、対策費用の転嫁について適切な価格交渉を行うことが前提
- 一方的にコスト負担を押し付ける行為は下請法上の問題になりうる
つまり、「セキュリティ対策を取引条件にすること」は適法だが、「費用を全額中小企業に押し付けること」は問題になる、という整理です。中小企業としては、取引先からセキュリティ対策を求められた際に、対策にかかるコストの価格転嫁について交渉する権利があることを覚えておきましょう。
中小企業が今から始めるべき5つの準備
制度開始まであと約1年。今から計画的に準備を進めることが重要です。
1. 自社のIT資産を棚卸しする
すべての対策の出発点は**「何を守るべきかを把握すること」**です。社内で使用しているPC・サーバー・ネットワーク機器・クラウドサービスの一覧を作成しましょう。シャドーIT(IT部門が把握していないサービスの利用)も可能な限り洗い出すことが重要です。
2. SECURITY ACTIONに取り組む
まだ取り組んでいない企業は、IPAのSECURITY ACTION(★1・★2)から始めましょう。SCS評価制度の★3は、SECURITY ACTIONの上位に位置づけられるため、土台作りとして最適です。★1は「情報セキュリティ5か条」への取り組み宣言、★2は「5分でできる!情報セキュリティ自社診断」の実施と「情報セキュリティポリシー」の策定が要件です。
3. 基本的なセキュリティ対策を実装する
★3で求められる可能性が高い基本対策を先行して実装しましょう。
- OS・ソフトウェアの更新を徹底する: Windows Update、各種アプリケーションのパッチ適用を定期的に実施
- ウイルス対策ソフトを導入・更新する: Microsoft DefenderでもOK。定義ファイルの自動更新を有効に
- パスワードの強化・多要素認証の導入: Microsoft 365やGoogle Workspaceの管理者アカウントには多要素認証(MFA)を必須化
- バックアップを定期的に取得する: ランサムウェア対策として、オフライン or クラウドへの定期バックアップを実施
- アクセス権限を適切に管理する: 退職者アカウントの即時無効化、最小権限の原則を適用
4. セキュリティ体制を整備する
★3では、技術的な対策だけでなく組織的な体制整備も求められます。
- セキュリティ対策の責任者を明確化する(CISOの設置、または経営層が兼任)
- セキュリティインシデント発生時の対応手順を文書化する
- 従業員向けのセキュリティ教育を定期的に実施する(フィッシングメールの見分け方など)
5. 公開情報をウォッチし続ける
SCS評価制度はまだ「案」の段階であり、今後の検討で内容が変わる可能性があります。以下の情報源を定期的にチェックしましょう。
米国CMMCとの比較
SCS評価制度は、米国の**CMMC(Cybersecurity Maturity Model Certification)**を参考にしていると言われています。CMMCは米国防総省の調達要件として導入された制度で、3段階の認証レベルがあります。
両制度に共通するのは、サプライチェーンのセキュリティを「取引要件」として制度化するという考え方です。日本のSCS評価制度は、まず任意の制度として開始されますが、将来的には政府調達で★4以上を要件とする方向で検討が進んでいるとの報道もあります。
つまり、政府関連の仕事をしている、またはその取引先である中小企業にとっては、★3・★4の取得が事実上の必須要件になる可能性が高いのです。
情シス365にできること
「★3を取得するために何から手をつけたらいいかわからない」という中小企業のIT担当者の方は、ぜひ情シス365にご相談ください。
- IT資産の棚卸し・可視化の支援
- Microsoft 365 / Google Workspaceのセキュリティ設定の最適化
- MFA(多要素認証)導入・パッチ管理の仕組み構築
- セキュリティポリシーの策定・文書化の支援
- SCS評価制度の★3取得に向けたギャップ分析と対策計画の立案
月額18万円〜のサポートプランで、専任のIT担当者がいない企業でも制度対応を進めることができます。
まとめ
SCS評価制度は、中小企業のセキュリティ対策を「やった方がいいこと」から**「取引を続けるために必要なこと」**へと変える転換点になる可能性があります。
制度開始は2026年度末。今のうちから基本的なセキュリティ対策に着手し、IT資産の棚卸しや体制整備を進めておけば、制度開始時に慌てることなく対応できます。
「うちは小さいから関係ない」ではなく、「小さいからこそ早めに備える」。サプライチェーンの一員として、今できることから始めましょう。
参考リンク: