サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の勘所と今後の展望 ~企業はどう備えるべきか~
セキュリティ成熟度に関する政府主導の認証制度が各国で整備され始めています。サプライチェーン強化を目的とするもので、代表格は米国のCMMC(Cybersecurity Maturity Model Certification、サイバーセキュリティ成熟度モデル認証)や英国のCyber Essentials制度です。背景にはサイバーセキュリティの脅威とそれがもたらす被害の拡大があります。産業スパイによる情報窃取が頻発しており、企業は友好国のみでの生産管理体制や情報管理の厳格化など、独自のセキュリティ体制構築を急ピッチで進めています。
一方、日本では業界ごとのセキュリティに関するガイドライン整備を進めながらも、業界を横断し、統一されたセキュリティ成熟度を企業ごとに確認する指標が乏しいのが現実です。
こうした現状の打開策として経済産業省は、国内企業のサイバーセキュリティ対応体制を評価する新制度について2026年度末の開始を目指し、制度設計を進めています。予定されているSCS(Supply Chain Security)評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は5段階の認証制度となっており、業界を横断した統一性のあるサイバーセキュリティ成熟度評価制度として、期待が高まっています。
このSCS評価制度は今後、本制度による評価(★3・★4等)の取得が取引要件や入札条件に組み込まれる見通しです。本稿ではSCS評価制度制度の内容を紹介するとともに、国内企業はこの制度とどのように向き合っていくべきかをお伝えします。
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の概要
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)とは、経済産業省が2026年度末から施行を開始する予定の公的なセキュリティ成熟度の評価制度であり、経済産業省が設置した「サイバーセキュリティ強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ」において現在も検討が進められています。この制度は、セキュリティ対策レベルを1つ星から5つ星の5段階に分けて設定しています。認証認定方法は低いレベルでは自己宣言、高いレベルでは第三者認証を求めるなど柔軟な対応を目指していることが見て取れます。
表1:サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の概要
| サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の概要 | |||
|---|---|---|---|
| 星 | 対象企業 | 想定される要件 | 認証方法 |
| ★(1つ星) ★★(2つ星) |
最低限の対策が必要な中小など |
|
自己宣言 |
| ★★★(3つ星) ★★★★(4つ星) |
取引先と供給網を構築する企業 |
|
自己宣言/ 第三者認証 |
| ★★★★★(5つ星) | 電気・鉄道など重要インフラ関連 |
|
第三者認証 |
出典:経済産業省「第8回産業サイバーセキュリティ研究会事務局説明資料」をもとにNCにて作成
1つ星および2つ星については、IPA(独立行政法人 情報処理推進機構)が示す「SECURITY ACTION制度」における1つ星および2つ星の内容がそのまま採用される予定です。また、2025年2月時点で、以下のようにレベル3~5について制度の具体的な考え方が整理され、発表されています。
表2:制度における各レベルの考え方
| 考え方 | 3つ星(★3) | 4つ星(★4) | 5つ星(★5) |
|---|---|---|---|
| 想定される脅威 |
|
|
|
| 対策の基本的な考え方 |
|
|
|
| 脅威に対する達成水準(イメージ) |
|
|
|
| 評価スキーム |
|
|
|
| ベンチマーク |
|
|
|
出典:経済産業省「対策の基本的な考え方と要求事項案・評価基準案」をもとにNCにて作成
3つ星は、一般的なサイバー脅威に対処しうる水準を目指すものとして規定されており、4つ星は、サプライチェーンにおける自社の役割に適合した事業継続を推進していることも明記されています。また、5つ星については、より高度なサイバー攻撃へ対応できるように、自組織のリスクを適切に把握・マネジメントした上で、既存のガイドライン等も踏まえながら現時点でのベストプラクティスに基づく対策を実行することが想定されています。
さらに、各レベルが世界で主要となっている各関連制度・ガイドラインと、どのように関係しているか、整理されている点も重要なポイントとなります。例えば、3つ星は米国のCMMCのレベル1に対応しており、5つ星はCMMCレベル2~3に対応している等、自社のサプライチェーンセキュリティ対策が他主要ガイドラインの要件とどの程度合致しているかの目安を確認できます。
図1:サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)と他セキュリティ対策評価制度の関係性一覧
このことによって、今後海外のガイドライン準拠を考えている企業にとっても、まずは日本のSCS評価制度のどのレベルを取得すればよいのか、第一歩を踏み出す際に考えやすい指標となることが想定されます。
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)における具体的な要件
3つ星(★3)および4つ星(★4)における要求事項および評価基準案は、2025年12月に改めて詳細が公表されました。評価基準は★3で83、★4で157の項目が用意されており、各要件は「ガバナンスの整備」、「取引先管理」、「リスクの特定」、「攻撃等の防御」、「攻撃等の検知」、「インシデントへの対応」、「インシデントからの復旧」の7つの大きなカテゴリで分類されています。
表3:3つ星および4つ星におけるセキュリティ要求事項および評価基準案
| # | 大分類 | 中分類 | 要件数 | 評価基準 | ||
|---|---|---|---|---|---|---|
| ★3 | ★4 | ★3 | ★4 | |||
| 1 | ガバナンスの整備 | 1. 組織の状況 | 0 | 1 | 0 | 3 |
| 2. 役割/責任/権限 | 2 | 3 | 5 | 10 | ||
| 3. ポリシー | 1 | 1 | 3 | 4 | ||
| 4. 監督 | 0 | 1 | 0 | 2 | ||
| 2 | 取引先管理 | 5. CSサプライチェーンリスクマネジメント | 3 | 5 | 4 | 7 |
| 3 | リスクの特定 | 6. 資産管理 | 4 | 5 | 11 | 23 |
| 7. リスクアセスメント | 0 | 1 | 0 | 5 | ||
| 4 | 攻撃等の防御 | 8. アイデンティティ管理、認証、アクセス制御 | 7 | 9 | 23 | 36 |
| 9. 意識向上及びトレーニング | 1 | 2 | 7 | 13 | ||
| 10. データセキュリティ | 1 | 4 | 3 | 8 | ||
| 11. プラットフォームセキュリティ | 3 | 5 | 9 | 18 | ||
| 12. 技術インフラのレジリエンス | 1 | 2 | 7 | 10 | ||
| 5 | 攻撃等の検知 | 13. 継続的監視 | 1 | 2 | 3 | 7 |
| 14. 有害事象の分析 | 0 | 1 | 0 | 2 | ||
| 6 | インシデントへの対応 | 15. インシデント管理 | 1 | 1 | 7 | 7 |
| 7 | インシデントからの復旧 | 16. インシデント復旧計画の実行 | 1 | 1 | 1 | 2 |
| 合計 | 26 | 44 | 83 | 157 | ||
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)・別添★3・★4要求事項及び評価基準案」をもとにNCにて作成
5つ星の要件についてはまだ発表されていませんが、上記に則った大分類・中分類のもと、より細かい要件が要求されることが想定されます。そのため、5つ星を目指す企業についても、4つ星までではありますが現時点の内容を把握しておくと、5つ星取得に向けて準備を進めやすくなるでしょう。
今後の展望
経済産業省は、サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)について、2026年1月時点で以下のような具体的マイルストーンを公表しています。
★3・★4(基礎・中位水準)については、2025年12月末に制度構築方針案が公表されたことを受け、令和8年度(2026年度)末頃の制度開始を予定しています。これに先立ち、2026年上期には実証事業の成果を踏まえた詳細な運用規程の整備が進められる見通しです。
★5(高度水準)については、まずは★3・★4の運用を先行させる形をとっており、導入時期の詳細は未定ですが、今後の検討課題として継続的に議論される予定です。
また、2025年末に公表された方針案に基づき、2026年初頭から本格的なパブリックコメントの実施や、政府調達・重要インフラ事業者等での活用促進に向けた環境整備が進められています。現在、制度の具体的な全容が固まってきており、企業には2026年度末の開始を見据えた早期の対策準備が求められる段階に入っています。
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)がもたらすメリット
以上のようなサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)が展開されることによって、各対象者においてそれぞれ以下のようなメリットが考えられます。
- ① 客観的かつ簡易的に取引先や委託先のサイバーセキュリティ成熟度を判断することができる
- 現在国内では、取引先や委託先のサイバーセキュリティ成熟度を判断するには、セキュリティチェック表などの企業個別の指標やツールを用いることが一般的です。一律に成熟度を比較することができるこの制度の導入によって今後は取引先や委託先のサイバーセキュリティ成熟度の判断が容易になるでしょう
- ② 日本企業全体のサイバーセキュリティレベルが高まる
- サイバーセキュリティ成熟度の客観的な指標ができることで、外部からの評価を気にして、多くの企業でセキュリティ体制の改善が進むことが予想されます。この評価制度によって日本全体のサイバーセキュリティレベルが高まることが期待されます。
- ③ 安全な政府調達のためのサイバーセキュリティ基準が明確になる
- 現在の構想では政府調達に関して、サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)で4つ星以上の認定を受けた企業のみが取引できる仕組みが検討されています。そうなれば、政府関係機関と取引をしている、取引予定がある企業がどのようなセキュリティ体制構築を行えばよいのかが明確になります。
まとめ
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)は、2025年末に制度構築方針案が公表され、2026年度(令和8年度)末の運用開始に向けた具体的なロードマップが示されました。 特に、政府調達や重要インフラ分野のサプライチェーンに連なる企業においては、今後、本制度による評価(★3・★4等)の取得が取引要件や入札条件に組み込まれる見通しです。経営層およびセキュリティ担当者は、既に示されている「セキュリティ要求事項」を参照し、制度開始を見据えた現状把握と、不足しているセキュリティ対策の計画的な改善・強化に着手することを推奨します。
