【概要解説】SCS評価制度：サプライチェーン・セキュリティ対策とは

## 【概要解説】サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）とは 2026.1.6 生成AIにより原案作成東京都　加筆訂正 ### 1\. 制度の目的と概要本制度は、サプライチェーン全体のリスク低減を目的として、経済産業省及び内閣官房国家サイバー統括室が策定を進めている新たな評価制度です1。 * **背景と課題**： * **発注企業側**：「取引先のセキュリティ対策状況を外部から判断しにくい」 * **受注企業（サプライヤー）側**：「複数の取引先からバラバラな基準で対策を求められ、負担が大きい」 * これらの課題に対し、国が統一された基準（「ものさし」）を設けることで、双方の負担軽減と対策の可視化を図ります1。 * **制度の性質**：企業の優劣を競う「格付け」ではなく、サプライチェーン上の重要性やリスクに応じて、適切な対策が実施されているかを確認・可視化するための仕組みです4。 ### 2\. 評価ランク（星の数）と要求レベル対策の成熟度に応じて段階（★）が設定されています。実務上、今回新たに構築される ★3 と ★4 が運用の中心となります。 #### ★3：一般的なサイバー攻撃への対処 * **想定レベル**：広く認知された脆弱性の悪用などを防ぐ、基礎的な組織的対策とシステム防御策（自工会ガイドラインLv1相当）5。 * **評価方法**：**専門家確認付き自己評価**自社で評価記入後、セキュリティ専門家（情報処理安全確保支援士など）による確認・助言を受け、専門家の署名付きで登録します5。 * **有効期間**：1年8。 #### ★4：サプライチェーンへの影響が大きい攻撃への対処 * **想定レベル**：包括的な対策（検知・復旧含む）。取引先のデータ保護や被害拡大防止を重視（自工会ガイドラインLv2相当）5。 * **評価方法**：**第三者評価**認定された評価機関による審査（文書確認＋実地審査）および技術検証（脆弱性検査等）が必要です5。 * **有効期間**：3年（期間内は年次で自己評価を実施）8。 #### ★5：高度な攻撃への対処（到達目標） * **想定レベル**：リスクベースアプローチに基づき、自組織に必要な改善プロセスを整備し、現時点でのベストプラクティス（最良の事例）を実装している段階5。 * **位置づけ**：ISMS（ISO27001）などのマネジメントシステムに加え、具体的なシステムへの高度な対策（自工会ガイドラインLv3等）を行っていることを証明する枠組みとなる予定です10。 * **状況**：詳細な要件や評価方法は、令和8年度（2026年度）以降に具体化される予定です6。 ※ ★1・★2は既存の「SECURITY ACTION（IPA運営）」を参照12。 ### 3\. 対象範囲と要求事項 #### 対象システム企業の **IT基盤**（PC、サーバー、ネットワーク機器、クラウド環境等）が対象です。※工場などの制御システム（OT）や、納品する製品自体のセキュリティ機能は原則として対象外です13。 #### 主な要求事項（7つの分類） NIST CSF（サイバーセキュリティフレームワーク）をベースに、「取引先管理」を加えた構成となっています15。 1. **ガバナンス**：CISO等の責任者の明確化、体制構築。 2. **取引先管理**：重要な情報の提供先の把握、委託先の対策状況確認。 3. **識別**：資産・クラウドサービスの把握、脆弱性管理。 4. **防御**：多要素認証、パッチ適用、マルウェア対策、ログ取得。 5. **検知**：異常の監視（★4ではより高度な監視）。 6. **対応**：インシデント対応手順の整備。 7. **復旧**：復旧手順の整備（★4で特に重視）。 ### 4\. 評価・認証の流れ（実務フロー） #### ★3を取得する場合（専門家確認付き自己評価） 1. **自己評価**：要求事項に基づき、自社でチェックシートを記入7。 2. **専門家の確認**：所定の研修を受けたセキュリティ専門家（社内の有資格者でも可）に内容を確認してもらい、助言を受ける7。 3. **登録申請**：専門家の署名と経営層の宣誓を含めて登録機関へ提出7。 #### ★4を取得する場合（第三者評価） 1. **自己評価**：まずは自社で基準を満たしているか確認9。 2. **評価依頼**：認定された評価機関に審査を依頼9。 3. **審査・検証**：評価機関による「実地審査（ヒアリング等）」と「技術検証（脆弱性検査等）」を受ける9。 4. **登録**：合格すれば登録・公開18。 ### 5\. メリットとコスト交渉への活用 #### 既存制度との関係 * **ISMSとの違い**：ISMSは「仕組み（マネジメント）」を審査しますが、本制度は「具体的な対策（パッチ適用など）の実装」を重視するベースラインアプローチです。相互補完的な関係を目指しています19。 * **業界ガイドラインとの連携**：自動車業界のガイドライン（自工会・部工会ガイドライン）と整合しており、★3がLv1、★4がLv2に相当します20。 #### 価格転嫁・コスト交渉の材料として国（経済産業省・公正取引委員会）は、この制度に基づくセキュリティ対策費用について、発注元企業との **価格交渉（価格転嫁）の正当な材料** として認める指針を示しています21。 * 発注元から「★4相当の対策」を求められた場合、それに伴う設備導入費や人件費（間接経費）について、費用負担の協議を行うことが推奨されています23。 * 対策費用を単なる「持ち出しコスト」ではなく、製品・サービスの価格に反映すべき「投資」として交渉に使用できます24。 ### 6\. 今後のスケジュール * **～2026年（令和8年）1月24日**：パブリックコメント（意見公募）期間25。 * **2026年度（令和8年度）末頃**：制度の正式運用開始予定26。実務担当者としては、まずは自社のIT基盤が「★3」または「★4」のどちらの基準に近いか、自工会ガイドライン等を参考に現状把握を始めることが推奨されます。 # ■■TextGenerator による要約■■ ## サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度） ### ■要約（3行まとめ） - 経済産業省などが策定を進める、サプライチェーン全体のセキュリティリスク低減を目的とした評価制度。 - ★3（専門家確認付き自己評価）と★4（第三者評価）を中心に、IT基盤の具体的な対策状況を可視化。 - セキュリティ対策費用を価格交渉の正当な材料とすることが国に認められ、中小企業の負担軽減と対策促進が期待される。 ### ■既存の業務・技術との違い（新規性） - 発注元と受注元双方の「取引先のセキュリティ対策状況を判断しにくい」「バラバラな基準で対策を求められる」という課題に対し、国が統一された評価基準（「ものさし」）を設ける点。 - ISMSが「マネジメントの仕組み」を審査するのに対し、本制度は「具体的な対策の実装」を重視するベースラインアプローチである点。 - 制度に基づくセキュリティ対策費用を、発注元企業との価格交渉（価格転嫁）の正当な材料として国が認める指針を示している点。 ### ■実務へのインパクト（何が変わるか） #### ●社会全般 - サプライチェーン全体のサイバーセキュリティレベルが底上げされ、社会全体のデジタルインフラの安全性が向上する。 - 発注元企業は取引先のセキュリティ対策状況を客観的な統一基準で判断できるようになり、取引の透明性が高まる。 - セキュリティ対策が単なるコストではなく、製品・サービスの価値を高める「投資」として認識され、企業文化の変化を促す。 #### ●特に中小企業 - 複数の取引先から求められるバラバラなセキュリティ要件に対応する負担が軽減され、効率的な対策が可能になる。 - 国が対策費用を価格転嫁の材料と認めるため、セキュリティ投資に伴うコストを発注元と協議しやすくなる。 - 専門家確認（★3）や第三者評価（★4）を通じて、自社のセキュリティ対策の現状と課題を客観的に把握し、改善の機会を得られる。 ### ■次アクション（試す/読む/実装） #### ●緊急対応（インシデント対応を意識して） - 制度のパブリックコメント期間（～2026年1月24日）中に、自社の事業への影響度を評価し、必要に応じて意見を提出する。 - 自社のIT基盤が★3または★4のどちらの基準に近いか、現状把握とギャップ分析に着手する。 - サプライチェーンにおける自社の位置付けと重要度を再確認し、目標とする評価ランクを検討する。 #### ●恒久的対策（サイバーレジリエンスを意識して） ##### ◆準備・計画 - SCS評価制度の要求事項（NIST CSFベースの7分類）を詳細に把握し、自社のセキュリティロードマップに組み込む。 - CISO等の責任者を明確化し、セキュリティ対策を推進する組織体制を整備する。 - 自社のIT資産、クラウドサービス、重要な情報資産を識別し、リスク管理計画を策定する。 ##### ◆防御 - 多要素認証の導入、OSやソフトウェアの定期的なパッチ適用、マルウェア対策ソフトの導入・更新を徹底する。 - 重要なシステムのログ取得を確実に実施し、不正アクセスや異常な挙動を記録できるようにする。 - 業界固有のガイドライン（例：自工会ガイドライン）も参考に、基礎的かつ包括的な防御策を強化する。 ##### ◆検知 - 異常な通信やシステム挙動を監視する仕組みを導入し、セキュリティイベントの早期検知体制を構築する。 - ログの統合管理と分析環境を整備し、不審な活動の兆候を迅速に発見できる能力を高める。 ##### ◆対応 - インシデント発生時の初動対応、封じ込め、根絶、復旧までの手順を明確化したインシデントレスポンス計画を策定する。 - セキュリティ専門家（情報処理安全確保支援士など）との連携体制を構築し、有事の際の支援を受けられるようにする。 ##### ◆復旧 - 重要なデータやシステムの定期的なバックアップと、迅速な復旧手順を確立し、定期的にテストを実施する。 - 事業継続計画（BCP）にサイバーインシデントからの復旧プロセスを組み込み、事業への影響を最小限に抑える準備を進める。 ##### ◆改善・適応 - 評価結果やインシデント対応の経験を活かし、セキュリティ対策の有効性を定期的にレビューし、継続的な改善サイクルを回す。 - 最新のサイバー脅威情報や技術動向を常に把握し、自社の対策を適応させていく。 ### ■役割毎の重要ポイント #### ●組織の責任者（経営層・部門長） - SCS評価制度の目的と重要性を理解し、セキュリティ対策を経営戦略の優先事項として位置づける。 - セキュリティ対策に必要な予算と人的リソースを確保し、CISO等の責任者を含む全社的な体制構築を主導する。 - サプライチェーン全体のリスクを把握し、取引先との連携方針や、対策費用を価格転嫁する交渉戦略を検討する。 #### ●システム担当者（情シス・エンジニア） - SCS評価制度の技術的要件（★3、★4）を詳細に理解し、多要素認証、パッチ適用、脆弱性管理などの具体的な対策を実装・運用する。 - インシデント検知、対応、復旧の各プロセスを整備・実行し、専門家確認や第三者評価に向けた準備を進める。 - 最新のサイバーセキュリティ技術や脅威動向に関する知識を継続的に習得し、対策の有効性を維持・向上させる。 #### ●業務担当者（現場のユーザー） - 基本的なセキュリティ意識を高め、不審なメールやサイトへの注意、パスワード管理の徹底など、日々の業務におけるセキュリティルールを遵守する。 - 多要素認証など、システム担当者が導入したセキュリティ機能の適切な利用方法を理解し、協力する。 - 情報セキュリティポリシーを理解し、インシデント発生時の報告手順を把握して、異常を早期に発見・報告する。 ### ■今後必要な知見・スキル（計画/構築/運用） #### ●組織の責任者（経営層・部門長） - サイバーリスクマネジメント、サプライチェーンリスク管理、関連法規制（個人情報保護法、重要インフラ防護等）対応、セキュリティ投資の費用対効果分析、価格交渉戦略。 #### ●システム担当者（情シス・エンジニア） - NIST CSFやISMS（ISO27001）などのセキュリティフレームワークの詳細な知識、脆弱性診断・管理、ログ分析・SIEM運用、インシデントレスポンス、クラウドセキュリティ、セキュリティ監査対応、OTセキュリティ（将来的には）。 #### ●業務担当者（現場のユーザー） - 基本的な情報セキュリティリテラシー、企業の情報セキュリティポリシー理解、ソーシャルエンジニアリング対策、多要素認証・パスワードレス認証の利用、個人情報保護に関する知識。 ### ■関連キーワード（5〜10個） - SCS評価制度 - サプライチェーンセキュリティ - NIST CSF - 情報処理安全確保支援士 - 価格転嫁 - サイバーレジリエンス - ISMS - 自工会ガイドライン - 多要素認証 - 脆弱性管理 ### ■参考にすべき文献・サイト - 経済産業省および内閣官房国家サイバー統括室のSCS評価制度に関する公式発表資料 - IPA（情報処理推進機構）のSECURITY ACTIONウェブサイト - NIST Cybersecurity Framework (CSF) - ISO/IEC 27001 (ISMS) 関連資料 - 日本自動車工業会（自工会）および日本自動車部品工業会（部工会）のサイバーセキュリティガイドライン