SCS評価制度の準備ガイド ― 中小企業が2026年度中にやるべきこと
経済産業省が2026年度末の開始を予定している「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」。前回の記事では制度の概要を解説しましたが、今回は「中小企業が具体的に何を、いつまでに準備すればよいか」に焦点を当てます。
取引先から「SCS評価を取得してほしい」と言われてから慌てるのではなく、今のうちに準備を進めておくことで、スムーズに対応できます。
SCS評価制度のおさらい
SCS評価制度は、企業のサイバーセキュリティ対策を★3〜★5の3段階で評価する制度です。
| レベル | 対象 | 概要 |
|---|---|---|
| ★3 | すべての企業 | 基本的なサイバーセキュリティ対策(自己宣言ベース) |
| ★4 | サプライチェーン上の重要企業 | 第三者による確認を伴う対策 |
| ★5 | 重要インフラ事業者等 | 高度な対策と第三者監査 |
中小企業がまず目指すべきは ★3 です。★3は自己宣言方式であり、第三者監査は不要ですが、宣言内容には一定の裏付けが求められます。
★3取得に求められる対策項目
★3の評価基準は、IPAの「サイバーセキュリティ経営ガイドライン」と「中小企業の情報セキュリティ対策ガイドライン」をベースとしています。主な対策項目は以下のとおりです。
1. 組織体制
- セキュリティ責任者の明確化: 「誰がセキュリティの責任者か」を社内で明確にする。兼任でも可
- セキュリティポリシーの策定: 基本方針と運用ルールを文書化する
- 従業員教育の実施記録: 年1回以上のセキュリティ教育を実施し、記録を残す
2. 技術的対策
- 多要素認証(MFA)の導入: 社内システム・クラウドサービスへのアクセスにMFAを適用
- 脆弱性管理: OS・ソフトウェア・ネットワーク機器のアップデートを定期的に実施
- バックアップ: 重要データのバックアップを取得し、復旧テストを実施
- アクセス制御: 最小権限の原則に基づいたアカウント管理
- マルウェア対策: ウイルス対策ソフトまたはEDRの導入
3. 運用管理
- 資産管理: IT機器・ソフトウェアの棚卸しと台帳管理
- ログ管理: 重要システムのアクセスログを一定期間保存
- インシデント対応計画: 緊急時の連絡体制と対応手順を文書化
- 委託先管理: 外部委託先のセキュリティ対策状況を確認する仕組み
準備スケジュール(6か月プラン)
Phase 1:現状把握(1か月目)
まず自社の現状を正確に把握します。
やること:
- IT資産の棚卸し — PC、サーバー、ネットワーク機器、クラウドサービスの一覧を作成する。IT資産の可視化テンプレートが参考になります
- セキュリティ対策の現状チェック — 上記の★3要件に照らし合わせて、できていること・できていないことを洗い出す
- ギャップ分析 — 対応が必要な項目をリストアップし、優先順位をつける
Phase 2:基盤整備(2〜3か月目)
技術的な対策を実装します。
やること:
- MFAの全社展開 — Microsoft 365やGoogle WorkspaceのMFAを全ユーザーに適用する
- バックアップ体制の見直し — 3-2-1ルールに基づいたバックアップ構成を実装する
- 脆弱性管理の仕組み化 — Windows Update管理の運用ルールを策定する
- アクセス権限の棚卸し — 不要なアカウントの削除、過剰な権限の見直し
- ログ管理の整備 — M365監査ログの有効化と保存期間の設定
Phase 3:ポリシー策定(4〜5か月目)
文書化と教育を進めます。
やること:
- 情報セキュリティポリシーの策定 — 基本方針、対策基準、実施手順の3階層で整備する
- インシデント対応計画の策定 — 検知→初動→封じ込め→復旧→報告の各フェーズの手順を文書化
- 従業員教育の実施 — フィッシングメール訓練を含むセキュリティ研修を実施し、受講記録を残す
- 委託先管理ルールの策定 — 委託先へのセキュリティ要件と確認方法を決める
Phase 4:自己評価と宣言(6か月目)
★3の自己宣言を行います。
やること:
- 自己チェックシートの記入 — 各評価項目について対策状況と証跡を記録する
- 経営者による承認 — 自己宣言書に経営者の署名を得る
- 宣言の公表 — IPAまたは経産省が指定する方法で自己宣言を公表する
費用感の目安
★3取得にかかる費用は、企業規模と現状の対策レベルによって大きく異なります。
| 対策項目 | 概算費用 | 備考 |
|---|---|---|
| MFA導入 | 0円〜 | M365/GWS標準機能で対応可能 |
| バックアップ強化 | 月額5,000〜30,000円 | クラウドバックアップサービス |
| EDR導入 | 月額500〜1,500円/台 | Microsoft Defender for Businessなど |
| ログ管理 | 0円〜月額10,000円 | M365 E3以上で標準対応 |
| ポリシー策定支援 | 30〜100万円 | 外部コンサルタント利用時 |
| 従業員教育 | 5〜30万円/回 | eラーニングサービスまたは研修 |
自社だけで対応が難しい場合は、外部の情シスアウトソーシングサービスを活用するのも選択肢です。
よくある質問
Q. ★3は義務ですか?
現時点では法的義務ではありません。ただし、大企業を中心に取引条件として★3以上を求める動きが広がっています。防衛・自動車・医療などのサプライチェーンでは、事実上の必須要件になる可能性が高いです。
Q. ISMS認証があればSCS評価は不要ですか?
ISMS認証を取得していれば★3の要件は概ねカバーしていますが、SCS評価制度は別の制度であるため、自己宣言は別途必要です。ただし、ISMSの管理策がそのままSCSの証跡として活用できるため、準備の負担は大幅に軽減されます。
Q. 社員10名以下の小規模企業も対象ですか?
規模に関係なく、サプライチェーンに参加している企業はすべて対象になり得ます。小規模企業向けには簡易版の評価フレームワークが用意される予定です。
まとめ
SCS評価制度は2026年度末の開始に向けて準備が進んでいます。中小企業がまず目指すべき★3は自己宣言方式であり、基本的なセキュリティ対策の実施と文書化が求められます。
取引先から求められてから慌てるのではなく、今から計画的に準備を進めることで、コストと負担を最小限に抑えられます。まずは現状把握から始め、6か月プランで段階的に対策を進めていきましょう。
SCS評価制度への対応でお困りの方は、情シス365の無料相談をご利用ください。現状アセスメントから★3取得までのロードマップ作成をサポートします。