経済産業省らが策定を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度（通称：SCS評価制度）」について、実務担当者の方が押さえておくべきポイントを整理して解説します。 以下の内容は、Googleドキュメント等に貼り付けても構造が維持されやすい形式（見出し、箇条書き、適度な改行）で構成しています。 # サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）解説 本制度は、取引先（委託先）のセキュリティ対策状況を可視化し、サプライチェーン全体のリスクを低減することを目的とした新たな評価制度です。現在「制度構築方針（案）」として検討が進められており、正式な運用開始は **令和8年（2026年）度末頃** を目指しています1。 ## 1\. 制度の目的と概要 本制度は、発注元企業にとっては「取引先の対策状況を判断しにくい」、受注企業（サプライヤー）にとっては「複数の取引先からバラバラな基準で対策を求められ負担が大きい」という双方の課題を解決するため、国が統一された基準（「ものさし」）を設けるものです1。 「格付け」によって企業を競わせるものではなく、サプライチェーン上の重要性に応じた適切な対策を確認・可視化することを目的としています4。 ## 2\. 評価のランク（星の数）と要求レベル 対策の成熟度に応じて段階（★）が設定されています。実務上、今回新たに構築される **★3** と **★4** が運用の中心となります1。 ### ★3：一般的なサイバー攻撃への対処 * **想定レベル**：広く認知された脆弱性の悪用などを防ぐ、基礎的な組織的対策とシステム防御策（自工会ガイドラインLv1相当）1。 * **評価方法**：**専門家確認付き自己評価**自社で評価を記入後、セキュリティ専門家（社内外問わず）による確認・助言を受け、専門家の署名付きで登録します6。 * **有効期間**：1年7。 ### ★4：サプライチェーンへの影響が大きい攻撃への対処 * **想定レベル**：包括的な対策（検知・復旧含む）。取引先のデータ保護や被害拡大防止を重視（自工会ガイドラインLv2相当）\[8\]5。 * **評価方法**：**第三者評価**認定された評価機関による審査（文書確認＋実地審査）および技術検証（脆弱性検査等）が必要です10。 * **有効期間**：3年7。 ※ ★1・★2は既存の「SECURITY ACTION」を参照、★5（高度な対策）は令和8年度以降に具体化される予定です12。 ## 3\. 対象範囲と要求事項 実務担当者が対策を講じるべき範囲は以下の通りです。 ### 対象システム 企業の **IT基盤**（PC、サーバー、ネットワーク機器、クラウド環境等）が対象です。工場などの制御システム（OT）や、納品する製品自体のセキュリティは原則として対象外となります\[14\]15。 ### 主な要求事項（★3・★4共通の枠組み） NIST CSF（サイバーセキュリティフレームワーク）をベースに、「取引先管理」を加えた7分類で構成されます17。 1. **ガバナンス**：CISO等の責任者の明確化、体制構築。 2. **取引先管理**：重要な情報の提供先の把握、委託先の対策状況確認。 3. **識別**：資産・クラウドサービスの把握、脆弱性管理。 4. **防御**：多要素認証、パッチ適用、マルウェア対策、ログ取得。 5. **検知**：異常の監視（★4ではより高度な監視）。 6. **対応**：インシデント対応手順の整備。 7. **復旧**：復旧手順の整備（★4で特に重視）19。 ## 4\. 評価・認証の流れ（実務フロー） ### ★3を取得する場合（専門家確認付き自己評価） 1. **自己評価の実施**：要求事項に基づき、自社でチェックシートを記入します20。 2. **専門家の確認**：「情報処理安全確保支援士」等の資格を持ち、所定の研修を受けたセキュリティ専門家（社内の有資格者でも可）に内容を確認してもらい、助言を受けます\[6\]20。 3. **登録申請**：専門家の署名と経営層の宣誓を含めて登録機関へ提出します20。 ### ★4を取得する場合（第三者評価） 1. **自己評価**：まずは自社で基準を満たしているか確認します22。 2. **評価依頼**：認定された評価機関に審査を依頼します22。 3. **実地審査・技術検証**：評価機関がヒアリングや規程確認を行うほか、外部公開サーバー等への脆弱性検査（技術検証）が実施されます22。 4. **登録**：合格すれば登録・公開されます。不適合がある場合は是正が必要です22。 ## 5\. 既存制度との関係とメリット * **ISMS（ISO27001）との違い**ISMSはマネジメントシステム（仕組み）を審査しますが、本制度は「具体的な対策（パッチ適用や多要素認証など）ができているか」という実装状況を重視するベースラインアプローチを採用しており、やるべきことが明確です。ISMSと相互補完的な関係を目指しています16。 * **業界ガイドラインとの連携**自動車業界の「自工会・部工会ガイドライン」のLv1が★3、Lv2が★4に相当するように設計されており、二重対応の負担を減らす方向で調整されています5。 * **コスト交渉への活用**国は、この制度に基づくセキュリティ対策費用について、発注元企業との価格交渉（価格転嫁）の材料として認めるよう、パートナーシップ構築の指針を示しています。対策費用を単なるコストではなく、正当な対価として交渉に使用できる可能性があります\[27\]28。 ## 6\. 今後のスケジュール * **～2026年1月24日**：パブリックコメント募集中30。 * **2026年度（令和8年度）**：制度の詳細化、試行運用などを経て、年度末頃に運用開始予定2。 まずは自社のIT基盤が「★3（一般的対策）」または「★4（包括的対策）」のどちらの基準に近いか、自工会ガイドライン等を参考に現状把握を始めることが推奨されます12。