SCS評価制度★3・★4の評価基準を徹底比較 ― 自社はどちらを目指すべきか?実践チェックリスト付き
2026年度末の制度開始に向けて準備が進む「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」。前回の記事(SCS評価制度とは?中小企業が知っておくべき新制度を徹底解説)では制度の全体像を紹介しました。
今回は一歩踏み込んで、★3と★4で具体的に何が求められるのかを7つの評価領域ごとに比較しながら解説します。記事の後半では、自社の対策状況を簡易的にチェックできるセルフチェックリストも用意しました。
「概要はわかったけど、結局うちは何をすればいいの?」——この疑問に答える記事です。
★3と★4、何が違うのか
まず前提を整理します。SCS評価制度は★1〜★5の5段階で構成されますが、★1・★2はIPAの「SECURITY ACTION」に該当し、SCS評価制度では★3以上が対象です。
★3と★4の最も大きな違いは**「評価方法」と「対策の深さ」**の2点です。
評価方法の違い
★3は「専門家確認付き自己評価」です。自社でチェックシートを記入し、セキュリティ専門家(社内の有資格者でもOK)に確認してもらった上で、経営層が適合を宣言します。有効期間は1年で、毎年更新が必要です。
★4は「第三者評価」です。認定された外部の評価機関が、書類審査に加えて実地審査(ヒアリング)と技術検証(脆弱性検査など)を実施します。有効期間は3年ですが、期間中は毎年自己評価を行う必要があります。
対策の深さの違い
★3は基礎的なシステム防御策と体制整備が中心で、要求事項は26項目(評価基準83項目)です。一方、★4は★3の内容をすべて含んだ上で、組織ガバナンス・取引先管理・検知・対応まで踏み込んだ包括的な対策が求められ、要求事項は56項目(評価基準157項目)に拡大します。
簡単に言えば、★3は**「最低限の防御を固める」、★4は「防御だけでなく、検知・対応・組織運営まで整える」**というイメージです。
7つの評価領域で比較する★3と★4
SCS評価制度の要求事項は、NIST CSF(サイバーセキュリティフレームワーク)をベースに、日本固有の「取引先管理」を加えた7つの領域で構成されています。領域ごとに★3と★4で何が違うのかを見ていきましょう。
1. ガバナンスの整備
経営層のコミットメントとセキュリティ管理体制に関する領域です。
★3で求められること: セキュリティ対策の責任者を明確にし、経営層が自社のセキュリティ対策状況を把握していること。また、セキュリティインシデント発生時に経営層が迅速に意思決定できる体制を整備していること。
★4で追加される要件: CISO(最高情報セキュリティ責任者)等の責任者を正式に任命し、セキュリティに関する方針・規程類を体系的に整備していること。さらに、セキュリティ対策の実施状況を定期的に経営層に報告し、改善のPDCAサイクルを回す仕組みがあること。
中小企業向けのポイント: ★3であれば、「社長がセキュリティの最終責任者であることを明文化し、年1回の状況報告を受ける」程度の体制でも要件を満たせる可能性があります。専任のCISOを置く余裕がなくても、責任の所在を明確にすることが出発点です。
2. 取引先管理
サプライチェーン上の取引先に関するセキュリティ管理の領域です。SCS評価制度独自の特徴的な領域と言えます。
★3で求められること: 自社が重要な情報を提供している取引先(委託先)を把握していること。委託先との契約において、セキュリティに関する要件を明記していること。
★4で追加される要件: 取引先のセキュリティ対策状況を定期的に確認する仕組みがあること。委託先に対してSCS評価制度の★取得を促すなど、サプライチェーン全体のセキュリティ底上げに取り組んでいること。問題が発見された場合の改善要請プロセスが整備されていること。
中小企業向けのポイント: まずは「重要な情報を渡している外注先・委託先のリスト」を作成するところから始めましょう。契約書にNDA(秘密保持条項)やセキュリティ要件が含まれているか確認することも重要です。
3. リスクの特定(識別)
自社のIT資産やリスクを把握する領域です。「何を守るべきかを知る」フェーズに当たります。
★3で求められること: 社内で使用しているIT機器(PC、サーバー、ネットワーク機器)、ソフトウェア、クラウドサービスの一覧(台帳)を整備していること。脆弱性情報を収集し、自社への影響を確認する仕組みがあること。
★4で追加される要件: IT資産台帳が常に最新の状態に保たれ、管理者・利用者が明確であること。利用しているクラウドサービスの一覧と、そこに保管されている情報の機密区分が整理されていること。定期的なリスクアセスメントを実施していること。
中小企業向けのポイント: IT資産台帳は最も基本的かつ重要な要件です。Excelでもよいので、「どの端末を、誰が使い、何のソフトが入っているか」を一覧にまとめましょう。Microsoft 365のIntuneやGoogle Workspaceの管理コンソールを使えば、端末情報の自動収集も可能です。
4. 攻撃等の防御
技術的なセキュリティ対策の中核となる領域です。★3・★4ともに最も項目数が多い領域になっています。
★3で求められること:
- OSやソフトウェアのセキュリティパッチを適用する運用が確立されていること
- マルウェア対策ソフトが全端末に導入され、定義ファイルが最新に保たれていること
- ネットワーク境界にファイアウォール等の防御が設置されていること
- 管理者アカウントに**多要素認証(MFA)**が適用されていること
- 重要データのバックアップが定期的に取得されていること
- アクセス権限が適切に管理されていること(退職者アカウントの即時削除等)
- ログ(操作履歴)が取得・保管されていること
★4で追加される要件:
- リモートアクセスの認証強化(VPN+MFAなど)
- ネットワークのセグメンテーション(重要システムの分離)
- 暗号化の適用(通信経路および保管データ)
- ログの1年以上の保管と定期的な確認
- 脆弱性検査の定期的な実施
- 端末のセキュリティ設定の統一管理(MDM等)
中小企業向けのポイント: ★3の防御要件は、実はMicrosoft 365やGoogle Workspaceの標準機能でかなりの部分をカバーできます。MFAの有効化、Windows Updateの自動適用、Microsoft Defenderの有効化、OneDriveによるバックアップ——これらを確実に設定するだけでも大きな前進です。
5. 攻撃等の検知
サイバー攻撃や不正アクセスを検知する領域です。★3と★4で差が大きい領域のひとつです。
★3で求められること: マルウェア対策ソフトによる検知が機能していること。不審なアクティビティ(例:大量のログイン失敗、深夜のアクセス)に気づける基本的な仕組みがあること。
★4で追加される要件: より高度な監視体制の構築が求められます。ネットワークやエンドポイントの異常を検知するためのEDR(Endpoint Detection and Response)やXDRの導入、セキュリティアラートの定期的な確認と対応プロセスの整備が想定されます。
中小企業向けのポイント: ★3の検知要件はそれほどハードルが高くありません。Microsoft 365のセキュリティセンターのアラート通知を有効にする、不審なサインインのレポートを定期的に確認する——こうした基本的な対応で要件を満たせる可能性があります。一方、★4のEDR/XDR導入はコストと運用負荷がかかるため、外部のマネージドサービスの活用を検討するのが現実的です。
6. インシデントへの対応
セキュリティインシデント発生時の対応体制に関する領域です。
★3で求められること: インシデント発生時の連絡先リスト(社内・社外)が整備されていること。基本的なインシデント対応手順が文書化されていること。
★4で追加される要件: インシデント対応計画を策定し、定期的に訓練(テーブルトップ演習等)を実施していること。インシデント発生時の取引先・関係機関への通報体制が整備されていること。発生したインシデントの原因分析と再発防止策を実施する仕組みがあること。
中小企業向けのポイント: ★3の要件は「何かあったときに誰に連絡するか」を整理しておくことが中心です。IPAの「中小企業のためのセキュリティインシデント対応手引き」を参考に、A4で1〜2枚程度の簡易的な対応手順書を作成するだけでも大きな差になります。
7. インシデントからの復旧
事業を復旧させるための備えに関する領域です。
★3で求められること: 重要データのバックアップが取得されており、復元が可能な状態であること。
★4で追加される要件: 事業継続計画(BCP)にサイバーインシデントを想定したシナリオが含まれていること。バックアップからの復旧手順が文書化され、定期的にテストされていること。復旧目標時間(RTO)と復旧目標時点(RPO)が定義されていること。
中小企業向けのポイント: ★3ではバックアップの「取得」が求められますが、★4ではバックアップからの「復旧テスト」まで求められます。バックアップは取っているが復元したことがない、という企業は意外と多いので、★3の段階でも一度は復旧テストを実施しておくことをおすすめします。
自社はどちらを目指すべきか?
経産省の資料では、★3と★4のどちらを目指すべきかの判断基準として、**「事業継続リスク」と「情報管理リスク」**の2軸で考えることが提案されています。
★3を目指すべき企業
以下のいずれかに該当する場合は、まず★3の取得を目指すのが現実的です。
- IT専任者がいない、または兼任で対応している
- サプライチェーン上の役割として、直接的にインフラや重要システムの運用に関与していない
- 取引先から具体的に★4以上の取得を要請されていない
- 現時点でセキュリティ対策が体系的に整備されていない
★3はすべてのサプライチェーン企業がまず目指すべき最低ラインです。「うちは小さいから対象外」ということはありません。
★4を目指すべき企業
以下のいずれかに該当する場合は、★4を視野に入れた準備が必要です。
- ITベンダー・SIer・MSPとして、顧客のシステムへのアクセス権限を保有している
- 重要インフラ(電力・通信・金融・交通等)のサプライチェーンに属している
- 取引先から機密性の高い情報(設計データ、個人情報等)を預託されている
- 政府調達に参加している、または参加を検討している
- 自動車・防衛産業など、業界ガイドラインで高い水準が求められている
なお、★4は★3の要求事項をすべて包含しているため、★3を取得せずに直接★4を目指すことも可能です。ただし、現時点でセキュリティ対策が未整備の企業は、まず★3の要件を固めてから★4に進む段階的アプローチが現実的でしょう。
セルフチェックリスト:★3の対策準備状況を確認しよう
★3の要求事項をベースに、自社の現状を簡易的にチェックできるリストを用意しました。以下の項目にどれだけ「はい」と答えられるか確認してみてください。
ガバナンス
- セキュリティ対策の最終責任者が明確になっている
- 経営層がセキュリティの現状を把握している(年1回以上の報告)
- セキュリティに関する基本的なルール(ポリシー)が文書化されている
取引先管理
- 重要な情報を渡している委託先・外注先のリストがある
- 委託先との契約に秘密保持条項やセキュリティ要件が含まれている
IT資産の把握
- 社内のPC・サーバー・ネットワーク機器の台帳がある
- 利用しているクラウドサービス(SaaS)の一覧がある
- 各機器のOS・ソフトウェアのバージョンを把握している
防御
- OS・ソフトウェアのセキュリティパッチを定期的に適用している
- すべてのPCにマルウェア対策ソフトが導入され、定義が最新である
- 管理者アカウントに多要素認証(MFA)が有効になっている
- ファイアウォール(UTMまたはルーターのフィルタリング)が設置されている
- 退職者のアカウントを速やかに無効化する運用ができている
- 重要データのバックアップを定期的に取得している
検知・対応・復旧
- 不審なアクセスやマルウェア検知のアラートを確認する担当がいる
- インシデント発生時の連絡先(社内・社外)が整理されている
- バックアップから実際にデータを復元できることを確認済みである
18項目中「はい」が15個以上:★3の取得に向けて順調です。残りの項目を埋めれば準備完了に近い段階です。
18項目中「はい」が10〜14個:基本的な対策は進んでいますが、いくつかの重要な領域に抜け漏れがあります。早めに対策計画を立てましょう。
18項目中「はい」が9個以下:制度開始までに体制を整える必要があります。優先度の高い項目(IT資産台帳、MFA、バックアップ)から着手することをおすすめします。
ISMSとの関係
すでにISMS(ISO 27001)を取得している企業は、SCS評価制度への対応が比較的スムーズになる可能性があります。ただし、両制度のアプローチには違いがあります。
ISMSの特徴: 情報セキュリティマネジメントの「仕組み(プロセス)」が適切に構築・運用されているかを審査するリスクベースアプローチ。
SCS評価制度の特徴: 具体的なセキュリティ対策(パッチ適用、MFA導入、ログ保管など)が「実装されているか」を確認するベースラインアプローチ。
つまり、ISMSは「ルールがあるか」を重視し、SCS評価制度は「実際に対策が動いているか」を重視する傾向があります。ISMS取得企業であっても、SCS評価制度の要求事項と照合して、技術的な対策の実装漏れがないかを確認する必要があります。
逆に言えば、ISMS未取得でも、SCS評価制度の★3・★4の要求事項を満たすことは十分可能です。むしろ中小企業にとっては、ISMSよりも負担の少ないSCS評価制度の★3から着手するほうが現実的かもしれません。
自工会ガイドライン対応済みの企業は?
自動車業界に属する企業で、すでにJAMA・JAPIA自工会/部工会サイバーセキュリティガイドラインに対応している場合は、SCS評価制度との対応関係を押さえておくことが重要です。
経産省の資料では、自工会ガイドラインのレベル2相当が★4に対応するとされています。すでに自工会ガイドラインLv2を達成している企業は、★4の取得もスムーズに進む可能性が高いでしょう。
なお、SCS評価制度は業界横断の共通基準として設計されているため、自工会ガイドライン対応を「置き換える」ものではなく、相互補完的に活用される位置づけです。
制度対応の効率的な進め方
最後に、制度対応を効率的に進めるための3つのアドバイスです。
既存の取り組みの棚卸しから始める
多くの企業はすでに何らかのセキュリティ対策を実施しているはずです。ゼロから対策を構築するのではなく、**今やっていることをSCS評価制度の要求事項に「当てはめる」**作業から始めましょう。思っている以上に既存の取り組みでカバーできている項目があるはずです。
「文書化」を怠らない
中小企業でよくあるパターンが、「対策はやっているが文書化されていない」というケースです。★3の自己評価でも★4の第三者評価でも、対策の実施状況をエビデンスとして示す必要があります。ルールや手順を文書化し、実施記録を残す習慣をつけましょう。
段階的に進める
★3の26項目をすべて同時に達成しようとすると、特にリソースの限られた中小企業では負担が大きくなります。まずは**「IT資産台帳の整備」「MFAの有効化」「バックアップの確認」**の3点を最優先で対応し、その後に残りの項目を順次埋めていく段階的なアプローチが効果的です。
情シス365による支援
情シス365では、SCS評価制度への対応を以下の形でサポートしています。
ギャップ分析: ★3・★4の要求事項と御社の現状を照合し、対応が必要な項目と優先度を可視化します。
技術的対策の実装: Microsoft 365のセキュリティ設定最適化(MFA・条件付きアクセス・DLP)、エンドポイント管理(Intune)の導入、バックアップ体制の構築など、要求事項を満たすための具体的な設定・導入作業を代行します。
文書化支援: セキュリティポリシー、インシデント対応手順書、IT資産台帳のテンプレート提供と、御社の環境に合わせたカスタマイズを支援します。
継続的な運用: ★取得後の維持管理(パッチ適用、アカウント管理、ログ確認、年次自己評価の支援)を月額プランで継続的にサポートします。
「まず自社の現状がどのレベルなのか知りたい」という段階でも構いません。60分の無料相談で、御社の状況に合わせた対応方針をご提案します。
まとめ
SCS評価制度の★3・★4は、企業のセキュリティ対策を7つの領域から評価する仕組みです。
★3は基礎的な防御と体制整備が中心で、すべてのサプライチェーン企業がまず目指すべき水準です。自己評価+専門家確認で取得でき、中小企業にとっても十分に手の届く内容になっています。
★4は★3の内容に加えて、組織ガバナンス・取引先管理・高度な検知・対応まで含む包括的な対策が求められます。ITベンダーや重要インフラのサプライチェーンに属する企業は、★4を目標とする必要があるでしょう。
制度開始は2026年度末。残り約1年の間に、まずはセルフチェックリストで自社の現状を把握し、不足している項目から計画的に対応を進めていきましょう。
参考リンク: