サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)のパブコメ結果とFAQを公表 経産省/NCO
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)について意見公募を実施していた経済産業省と内閣官房国家サイバー統括室は3月27日、正式に同制度の構築方針を公表しました。意見公募の結果とそれを踏まえた変更を示すとともに、同制度に関するFAQも作成しました。
SCS評価制度は、近年頻発しているサプライチェーンを狙ったサイバー攻撃の対策として、委託元と委託先企業が共通の基準でセキュリティ対策状況を評価・可視化し、サプライチェーン全体のセキュリティ水準の底上げを図るために導入される制度です。
セキュリティ対策状況に応じて「★3」や「★4」といった段階が設けられます。★3は「専門家の確認を受けた自己評価」、★4は「第三者評価機関による実地審査や脆弱性検査などの技術検証」を受けることで企業は対策状況を表明することができます。
本制度案は、2025年12月26日から2026年1月24日にかけて意見公募が実施されました。93件(内容ごとに細分化すると569件)の意見が寄せられ、その多くは現場の実務負担や制度の解釈に関する意見でした。これらを踏まえ、制度構築方針の一部が修正されました。
例えば、評価の適用範囲外とするものとして、自社の管理・運用下にない機器であることが明記されました。対象外とする機器については、VLAN(バーチャルLAN)やファイアウォールなどのネットワーク機器によって技術的に境界を分離するよう、具体化されました。
また、★3の確認を行う「セキュリティ専門家」の資格に「公認情報セキュリティ主任監査人」が含まれることや、★4の技術検証を行う事業者の要件に「ペネトレーションテスト(侵入テスト)」が含まれることが追記されました。
SCS評価制度の基準となる「要求事項・評価基準」についても意見公募が実施されました。寄せられた意見を踏まえて、重大な脆弱性に対するアップデートが期限内に完了できない場合の代替策として、通信を監視し、その脆弱性を悪用する不正な通信を遮断する機器・ソフトウェアを導入することも追記されました。
なお、★4の第三者評価で不適合があった場合の是正期間(1カ月以内)については、起算日を「評価機関からの指摘事項が通知されてから」と明確化しました。
企業が円滑に対応準備を進められるよう、FAQも公開しました。制度の基本方針と今後のスケジュールが以下の通り明確化されました。
評価用ガイドなどのガイダンス資料は2026年秋頃を目途に公開され、第三者評価を担う「評価機関」は同年12月頃に公表される予定です。これを踏まえて制度の申請受付は2026年度末頃(2027年1月~3月頃)に開始される見通しです。なお、★3や★4を取得した企業は、本制度のスキームオーナーであるIPA(情報処理推進機構)のウェブサイト上で公開される予定です。
政府機関における公共事業の入札(調達)要件としての活用や、重要インフラ事業者での活用については、今後も検討を進めていく方針が示されています。
経済産業省では「サイバーセキュリティお助け隊サービス(新類型)」の創設を進めるなど、制度の本格運用に向けた環境整備と支援策を推進します。
