SECURITY ACTION(★1・★2)からSCS評価制度(★3)へ ― 中小企業のステップアップロードマップ
経済産業省・IPAが2027年2〜3月頃(2026年度末)からの運用開始を目指して整備しているSCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は、IPAの「SECURITY ACTION」の★1・★2に続く★3〜★5を新たに定義する制度です。
つまり、すでにSECURITY ACTIONの★1・★2を自己宣言している中小企業にとって、SCS★3は「次の目標」として位置づけられます。本記事では、★1・★2取得済みの企業が★3に進むためのギャップ、必要な準備、現実的なスケジュールを整理します。
なお、SCS評価制度は2026年4月時点で制度構築方針の段階であり、要求事項・評価基準の詳細を記した評価ガイドは2026年秋頃に公表される予定です。本記事は経済産業省・IPAが公表している情報をベースに、現時点で取れる準備の方向性をまとめたものです。
SECURITY ACTIONとSCS評価制度の関係
SECURITY ACTIONはIPAが運営する自己宣言制度で、★1(一つ星:情報セキュリティ5か条の実施)と★2(二つ星:情報セキュリティ自社診断と基本方針の策定)の2段階があります。
SCS評価制度は、これに連続する形で★3・★4・★5を定義する新制度です。経済産業省と内閣官房国家サイバー統括室が2026年3月に「制度構築方針」を公表し、IPAが運営します。
ポイントは、★1・★2と★3以降では「自己宣言の重み」が大きく異なるという点です。★1・★2は事業者本人による自己宣言で完結しますが、★3以降は外部のセキュリティ専門家や評価機関の関与が必須になります。
SCS評価制度の全体像はSCS評価制度とは?★3〜★5の評価基準と中小企業が今やるべき準備で解説しています。
★1・★2と★3のギャップ
評価方法のギャップ
★2までは事業者がIPAの自己診断シートに沿ってチェックし、IPAのWebサイトに自己宣言するだけで完了します。費用はかかりません。
★3は「セキュリティ専門家による確認を経た自己評価」方式です。事業者が自己評価シートを記入したうえで、社内外のセキュリティ専門家が内容を確認し、署名のうえで事務局に提出します。専門家の関与が必須となるため、社内に専門家がいない場合は外部の支援を受ける必要があります。
専門家の要件と確保の方法はSCS評価制度で「セキュリティ専門家」が必要な理由と確保の方法で詳しく解説しています。
対策範囲のギャップ
★1は「情報セキュリティ5か条」(OS・ソフトウェアの更新、ウイルス対策ソフト、強固なパスワード、共有設定の見直し、脅威・攻撃手口の把握)の実施宣言です。
★2はこれに加えて、自社の情報セキュリティ自社診断(25項目)の実施と、情報セキュリティ基本方針の策定・公開が求められます。
★3は「一般的なサイバー脅威への対処」を水準として規定しており、技術的・組織的・物理的な管理策が体系的に求められます。具体的な要求事項は2026年秋頃公表予定の評価ガイドで明らかになりますが、「★1・★2の延長線上にある自己診断シートのチェック」という性質ではなく、ISMS(ISO 27001)やNIST CSFに近い体系的な対策フレームワークになる見込みです。
★3と★4の評価項目の比較はSCS評価制度★3・★4の評価基準比較|セルフチェックリスト付きで整理しています。
コストのギャップ
★1・★2は無料です。★3は専門家確認に要する費用が発生します。社内専門家がいない中小企業の場合、外部のコンサルティングや支援サービスを活用することになり、対策の実装と専門家レビューを合わせて50〜500万円規模の投資を見込む必要があります(現状のセキュリティ対策レベルと目標とする★のレベルにより変動)。
経済産業省は中小企業の負担軽減策として「サイバーセキュリティお助け隊サービス」の新類型を創設する方針を示しており、これを活用すれば★3取得を比較的安価に進められる見込みです。
中小企業のステップアップロードマップ
Step 1: 現状の整理(★2レベルの完了確認)
まず、SECURITY ACTION★2の自己診断25項目について、形だけのチェックではなく実態として満たしているかを確認します。
具体的には、「情報セキュリティ基本方針が文書化され、社内に周知されているか」「自社診断の各項目について、運用記録(実施ログ、台帳、定期見直しの議事録など)が残っているか」を点検します。★2が「宣言だけで運用が空洞化している」状態だと、★3で求められる管理策の証跡を整える段階で大きな手戻りが発生します。
中小企業の自己診断の進め方は中小企業の情報セキュリティ対策ガイドラインを実装に落とすチェックリストも参考にしてください。
Step 2: ★3で求められる管理策のギャップ分析
評価ガイドの正式版は2026年秋頃公表予定ですが、現時点で公表されている方針からは以下の領域で管理策が求められると想定できます。
- アクセス制御(認証強化、特権ID管理、入退社時の権限変更)
- エンドポイント保護(マルウェア対策、端末暗号化、デバイス管理)
- ネットワーク防御(境界防御、リモートアクセス管理)
- ログ管理・監視(不審な挙動の検知)
- インシデント対応体制(手順書、連絡網、机上演習)
- バックアップとリカバリ
- 外部委託先・サプライヤー管理
- 従業員教育
これらは2026年版・中小企業のセキュリティ対策ロードマップのPhase 2・Phase 3で扱っているテーマと重なります。
Step 3: 不足対策の実装
ギャップ分析で見つかった不足項目について、優先順位を付けて実装します。中小企業に効果が大きいのは、多要素認証(MFA)の全面有効化、端末管理(MDM/MEM)の導入、退職者アカウントの即時無効化フローの整備、バックアップの定期検証です。
実装手順は以下の記事を参考にしてください。
Step 4: 証跡の整備
★3の自己評価では、各管理策が「運用されている」ことを示す証跡が求められます。ポリシー文書、設定スクリーンショット、運用記録、教育実施ログ、点検記録などを管理策ごとに紐づけて保管します。
「対策はやっているが記録がない」状態だと、専門家確認のフェーズで再整理が必要になり、評価工数が膨らみます。Step 3の対策実装と並行して、証跡の保管ルールを決めておきましょう。
Step 5: 専門家レビューの準備
社内に専門家がいない場合、外部のセキュリティコンサルタントや支援サービスを早めに選定しておきます。2026年秋の評価ガイド公表後、中小企業の駆け込み需要で専門家のリソースが逼迫することが予想されるため、運用開始(2027年2〜3月頃(2026年度末))の半年前を目安に当たりをつけておくと安心です。
現実的なスケジュール感
★1・★2を取得済みの中小企業が★3を目指す場合、最短でも以下の期間を見ておくことをお勧めします。
- ギャップ分析と対策計画策定:1〜2か月
- 不足対策の実装と証跡整備:3〜6か月
- 専門家レビューと自己評価提出:1〜2か月
合計で半年〜10か月程度。2026年秋に評価ガイドが公表されてから動き始めると、運用開始直後の取得は難しい場合があります。評価ガイドが出る前の今のうちに、Step 1〜Step 3の準備(現状把握とMFA・MDM・バックアップなどの基盤整備)を進めておくことが、運用開始後の早期取得につながります。
評価ガイド公表前にやるべき準備の詳細はSCS評価制度の準備ガイド ― 中小企業が2026年度中にやるべきことも合わせてご覧ください。
自社だけで進めるのが難しい場合
★1・★2は社内だけで完結できましたが、★3は専門家関与が必須となるため、IT専任者がいない中小企業にとって自力での対応はハードルが上がります。
情シス365では、SCS★3取得を見据えた現状アセスメント、不足対策の実装支援、証跡の整備、専門家レビューまでをワンストップで支援しています。SECURITY ACTION★2を取得済みの企業からの「次は何をすればいいか」というご相談にも対応しています。