【2026〜27年】セキュリティ制度マップ ― SCS評価制度・能動的サイバー防御法・セキュリティクリアランスの関係を1枚で整理
2026年から2027年にかけて、日本のセキュリティ関連制度が立て続けに動き出します。
- SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)——2027年2〜3月頃に★3・★4の申請受付開始
- 能動的サイバー防御法(サイバー対処能力強化法)——2026年中の本格施行が見込まれる
- セキュリティクリアランス制度(重要経済安保情報保護活用法)——2025年5月施行、運用拡大中
名前も所管も似たような時期に走るため、「結局うちの会社はどれに対応すればいいのか」という混乱が現場で起きています。実際、これらは目的も対象も法的性質もまったく異なる制度であり、ごちゃ混ぜにすると過剰対応にも過小対応にもつながります。
この記事は、3制度の関係を1枚で整理し、自社がどれに関係するかを判定できるようにする「地図」です。各制度の詳細は個別記事にリンクします。
3制度の比較表
| SCS評価制度 | 能動的サイバー防御法 | セキュリティクリアランス制度 | |
|---|---|---|---|
| 正式名称 | サプライチェーン強化に向けたセキュリティ対策評価制度 | サイバー対処能力強化法 | 重要経済安保情報の保護及び活用に関する法律 |
| 性質 | 任意の評価・認定制度(法律ではない) | 法律(義務規定あり) | 法律(義務+資格制度) |
| 所管 | 経済産業省・IPA | 内閣官房(国家サイバー統括室)等 | 内閣府 |
| 主な対象 | サプライチェーンに連なるすべての企業(中小含む) | 基幹インフラ事業者(電気・金融・通信・医療等) | 重要経済安保情報を扱う企業・個人 |
| 何を求めるか | セキュリティ対策の実装を★3〜★5で評価・見える化 | 重要システムの届出、インシデント報告 | 情報を扱う個人の適性評価、企業の情報保全体制 |
| 強制力 | なし(ただし取引条件・調達要件化が進む) | あり(対象事業者には法的義務) | あり(対象情報を扱う場合は必須) |
| 主なスケジュール | 2027年2〜3月頃に★3・★4申請受付開始 | 2026年中の本格施行見込み(報告制度等) | 2025年5月施行済み、適性評価の運用が進行中 |
ひとことで言えば、**SCSは「市場が求める成績表」、能動的サイバー防御法は「インフラを守る国の義務」、クリアランスは「秘密を扱う資格」**です。
自社はどれに関係するか——3つの問いで判定
問1:基幹インフラ事業者か、その直接の委託先か?
電気・ガス・水道・金融・通信・鉄道・航空・医療などの基幹インフラ事業者に該当するなら、能動的サイバー防御法の直接の対象です。重要システムの届出義務・インシデント報告義務への対応が最優先になります(詳細:能動的サイバー防御法と中小企業への影響)。
インフラ事業者の委託先・ベンダーである場合、法律上の直接義務はありませんが、委託元経由でインシデント即時報告・体制整備の要求が契約に降りてきます。
問2:政府・防衛・重要技術の商流に入っているか(入りたいか)?
政府の重要経済安保情報(サイバー脅威情報、重要インフラの脆弱性情報、先端技術情報等)に触れる業務を受注するには、セキュリティクリアランス制度への対応——従業員の適性評価と企業側の情報保全体制——が必要です。防衛産業、宇宙、半導体、サイバーセキュリティ関連の商流を狙う企業はここが入場条件になります(関連:クリアランス時代の証跡・監査ログ整備)。
問3:BtoBの取引があるか?
ここが最も広い網です。インフラでも政府商流でもない普通の中小企業も、取引先からセキュリティ対策状況の証明を求められる時代に入っており、その共通言語として設計されたのがSCS評価制度です。製造業の下請け、ITベンダー、BPO——BtoB取引があるほぼすべての企業に関係します(詳細:SCS評価制度とは、取引先からSCS対応を求められたら)。
判定の整理
- 多くの中小企業 → 関係するのはSCSのみ。★3取得を軸に準備
- インフラ事業者のサプライヤー → SCS(★4視野)+ 委託元経由の能動的サイバー防御法対応(即時報告体制)
- 政府・防衛商流を狙う企業 → SCS + クリアランス対応。両方を満たす情報保全・証跡体制が必要
- 基幹インフラ事業者本体 → 3制度すべてが視野に入る
3制度はつながっている——背景にある1つの流れ
バラバラに見える3制度は、実は同じ問題意識から出ています。**「国家レベルのサイバー攻撃が、防御の薄いサプライチェーン(中小企業・委託先・人)を経由して重要インフラ・重要情報に到達する」**という脅威認識です。
- 能動的サイバー防御法は「国の検知・対処能力」を引き上げ、
- クリアランス制度は「秘密情報を扱う人と組織」を固め、
- SCS評価制度は「サプライチェーンの末端までの対策水準」を底上げする
という分担で、3つで1セットの国家戦略になっています。だからこそ、今後は制度間の相互参照——たとえばインフラ事業者が委託先選定にSCSの★を使う、政府調達でSCSが要件化される(政府調達ロードマップ)——が進むと見るのが自然です。
共通する実務基盤——一度作れば3制度に効くもの
3制度の要求を個別に積み上げると重複投資になります。実務では、どの制度でも求められる共通基盤を先に固めるのが効率的です。
| 共通基盤 | SCS | 能動的サイバー防御法 | クリアランス |
|---|---|---|---|
| IT資産台帳・重要システムの特定 | ★3必須要件 | 届出義務の前提 | 保全対象の特定に必要 |
| アクセス管理・MFA | ★3必須要件 | 体制整備の一部 | 情報保全体制の中核 |
| 監査ログの取得・保管 | ★3必須・★4で長期化 | インシデント報告の根拠 | 証跡管理の中核 |
| インシデント対応体制(連絡網・手順) | ★3必須要件 | 報告義務の生命線 | 漏えい時対応に必要 |
| 委託先管理 | 独自領域として必須 | サプライチェーン要求の起点 | 再委託管理に直結 |
つまり「資産台帳・MFA・ログ・インシデント対応・委託先管理」の5点セットは、どの制度に向かうにしても無駄になりません。当面どの制度の対象か判然としない企業も、この5点を整備しておけば、どの方向から要求が来ても土台を流用できます。実装はSCS★3の枠組みで進めるのが最も具体的でコスト感も見えやすく、M365/GWSでの実装ガイドと証跡・監査ログ実装ガイドがそのまま使えます。
対応カレンダー(2026〜2027年)
| 時期 | 制度の動き | 企業がやること |
|---|---|---|
| 2026年上期(今) | 能動的サイバー防御法の政省令整備が進行 | 共通基盤5点セットの整備開始、自社の該当性判定 |
| 2026年秋 | SCS評価ガイド(申請書式・詳細)公表見込み | ★3文書・証跡の仕上げ、★4目標企業は評価機関の情報収集 |
| 2026年10月頃 | 能動的サイバー防御法の本格施行見込み(インシデント報告等) | インフラ関連企業は報告体制の運用開始 |
| 2027年2〜3月頃 | SCS★3・★4の申請受付開始 | 早期申請(先行者メリットの確保) |
| 2027年〜 | 調達・取引条件への組み込みが本格化 | ★保有を前提とした営業・取引対応へ |
まとめ
- 2026〜27年に動く3制度は役割分担が明確:SCS=市場向けの対策評価(任意・全企業)/能動的サイバー防御法=基幹インフラの法的義務/クリアランス=重要情報を扱う資格
- 多くの中小企業が直接対応すべきはSCS。インフラ・政府商流に関わる企業は複数制度が重なる
- 3制度は「サプライチェーン経由の国家級脅威」という同じ問題意識の3点セットであり、今後は相互参照(調達要件化等)が進む
- 資産台帳・MFA・ログ・インシデント対応・委託先管理の5点セットは3制度共通の土台。SCS★3の枠組みで実装すれば最も効率的
- 2026年秋のSCS評価ガイド公表と能動的サイバー防御法の本格施行が次の節目。今は共通基盤を固める時期
情シス365では、3制度を見据えた共通基盤(資産管理・MFA・ログ・インシデント対応体制)の整備と、SCS★3取得支援を提供しています。「自社がどの制度に関係するのか判定するところから相談したい」という段階でも、お気軽にお問い合わせください。
参考リンク: