SCS評価制度
対策ガイド
経済産業省のSCS評価制度(サプライチェーン・セキュリティ対策評価制度)の全体像から、中小企業が★3を取得するための具体的な準備ステップまでを解説します。
SCS評価制度とは
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は、経済産業省と内閣官房国家サイバー統括室が策定した制度です。企業のサイバーセキュリティ対策レベルを★(星)の数で可視化し、サプライチェーン全体のセキュリティ強化を目指します。2026年3月27日に制度構築方針が正式に公表されました。
2027年2〜3月頃の★3・★4申請受付開始を目指しており、将来的には取引条件や政府調達の要件に組み込まれる見通しです。「知らなかった」では済まされない制度になる可能性があるため、中小企業も早めの準備が重要です。
このガイドが役立つ方
- 取引先からSCS評価制度への対応を求められている
- SCS評価制度の★3取得を検討している
- ISMSやPマークとの違いがわからない
- 社内にセキュリティ専門家がおらず、SCS対応の支援が必要
- SCS評価制度の対応を外部に委託したい
★3〜★5の評価レベル
SCS評価制度は★1〜★5の5段階構成ですが、★1・★2はIPAの「SECURITY ACTION」に該当します。SCS評価制度として新設されるのは★3以上です。
基本対策レベル(すべての企業が対象)
専門家確認付き自己評価。26項目の要求事項、有効期間1年。IPAガイドラインベースの基礎的対策。中小企業がまず目指すべきレベル。
標準対策レベル(サプライチェーン上の重要企業)
第三者評価機関による実地審査。56項目の要求事項、有効期間3年。組織ガバナンス・取引先管理・検知・対応まで包括的な対策。
高度対策レベル(重要インフラ事業者等)
高度な第三者監査。★4をすべて包含した上で、より厳格な技術検証と継続的モニタリングが求められます。
★3取得に向けた5つの準備ステップ
中小企業が★3を取得するための具体的な準備手順です。
現状のセキュリティ対策を棚卸し
自社のIT環境・セキュリティ対策の現状を把握。★3の評価基準と照らし合わせてギャップを特定します。
組織体制とポリシーの整備
セキュリティ責任者の設置、情報セキュリティポリシーの策定、インシデント対応手順の文書化を行います。
技術的対策の実装
アクセス制御、ログ管理、エンドポイント保護、バックアップ体制など、評価基準で求められる技術的対策を導入します。
セキュリティ専門家のレビュー
★3の自己宣言には専門家のレビューと署名が必須。社内にいない場合は、外部の専門家に依頼します。
自己宣言の提出と維持運用
評価基準への適合を宣言。★3は有効期間1年のため、毎年の更新と継続的な改善が必要です。
SCS評価制度に関するよくある質問
QSCS評価制度の対応は義務ですか?
現時点では法的義務ではありませんが、将来的に取引条件や政府調達の要件に組み込まれる見通しです。取引先から対応を求められるケースが増えることが予想されるため、早めの準備を推奨します。
QISMSやPマークとの違いは?
ISMSは情報セキュリティマネジメントの国際規格、PマークはJIS Q 15001に基づく個人情報保護の認証です。SCS評価制度はサプライチェーン全体のセキュリティ強化を目的とし、対象範囲と評価基準が異なります。ISMSやPマーク取得済みでも別途SCS対応が必要ですが、既存の体制を活用できます。詳しくはSCS vs ISMS vs Pマーク比較記事をご覧ください。
Q★3取得にはどのくらいの費用がかかりますか?
自社対応の場合は実費のみですが、外部支援を利用する場合は企業規模や現状の対策レベルにより異なります。情シス365ではSCS対応支援の詳細をヒアリング後にお見積りしています。無料相談でお気軽にお問い合わせください。
Q社内にセキュリティ専門家がいない場合は?
★3の自己宣言にはセキュリティ専門家のレビュー・署名が必須ですが、外部の専門家に依頼することも可能です。情シス365では、SCS評価制度に精通した専門家によるレビュー代行サービスを提供しています。詳しくは専門家要件の解説記事をご覧ください。
QSCS評価制度の対応を外部に委託できますか?
はい、対応支援を専門企業に委託できます。情シス365では、現状評価・対策実装・専門家レビューまでワンストップで支援しています。情シスの外注・外部委託と合わせてSCS対応も任せたい企業に最適です。
次のステップ
SCS評価制度対応の料金・導入フロー・タイムラインの詳細はこちら
SCS評価制度 対応サービスの詳細を見る →