１．はじめに

一昨年の2024年から追いかけてきました経産省が推進する「サイバーセキュリティ対策格付け」について、昨年末に大きな動きがありました。

昨年2025年12月26日に、経産省と内閣府サイバー統括室から同時に制度構築方針（案）が発表され、同時に意見募集が開始されました。意見募集は翌2026年1月24日まで実施されていました。それに伴い、正式名称も「サプライチェーンセキュリティ対策評価制度（SCS評価制度）」（以下「SCS評価制度」で記載）にほぼ決定した模様です。今後、募集した意見によって変更がなされる可能性もゼロではありませんが、制度の大枠は固まったとみて差し支えないと思われます。

そこで、今号は、SCS評価制度の全体像を紹介したうえで、制度の背景を改めて紹介し、そのうえで、代表的な評価レベルである★３・★４について、その違いと選択の基準および取得へのロードマップを説明したいと思います。

２．SCS評価制度の全体像

2-1 狙い：発注側・受注側の“すれ違い”を制度で解消する

制度検討の出発点は、次の「両者の困りごと」が同時に顕在化している点です。

• 発注側の課題：取引先の対策状況が外部から見えにくく、要求（チェックリスト等）の妥当性も担保しづらい
• 受注側の課題：複数の取引先からバラバラの要求を受け、特に中小企業では負担が過大になりやすい

このギャップを埋めるために、「満たすべき対策（要求事項）を段階（★）として提示し、対策状況を可視化する」制度として設計されています。

加えて重要なのは、この制度が格付け（競わせる）目的ではない点です。あくまで「必要対策の可視化」であり、過度なレピュテーション競争を狙うものではありません。

2-2. 制度が対象とするリスク：3つの“サプライチェーン被害”を同時に扱う

制度が想定するサプライチェーンリスクは、単なる情報漏えいだけではありません。大枠で次の3つが整理されています。

• 機密情報の漏えい・改ざん（CIAへの影響）
• 製品・サービス提供の途絶（事業継続性への影響）
• 取引先を踏み台にした不正侵入（取引ネットワークを通じた侵入）

これらを、ビジネスサプライチェーン（物品調達・業務委託・API連携等）と、ITサービスサプライチェーン（クラウド・MSP等の外部情報サービス調達）にまたがるリスクとして整理しています。

2-3 対象範囲の整理：組織の「IT基盤」が中心（OT・製品セキュリティは別枠）

本制度の直接対象は、サプライチェーン企業等のIT基盤（クラウド環境を含む）です。 一方で、製造設備等のOTシステムや、発注者に提供する製品（ソフト・IoT）そのものは、求められる対応が異なるため、原則として別制度・別ガイドラインで扱う立て付けです。

2-4 ★の段階設計：、★3＝最低限、★4＝標準、★5＝到達点（将来具体化）

SCS評価制度は、独立行政法人情報処理推進機構（IPA）が運用してきた「SECURITY ACTION」の星１（一つ星）および星２（二つ星）を基礎とし、その上位に★３、★４、★５の新たな等級を設ける構成となっています。

★３が、全てのサプライチェーン企業が最低限実装すべき対策（基礎的な防御＋体制整備）、★4が、標準的に目指すべき包括対策（ガバナンス・取引先管理、検知・対応まで含む）、そして、★5が到達点（リスクベースで改善プロセス＋ベストプラクティス）と位置付けられています。

2-5 評価の“担い手”と“公正性”：★3の専門家、★4の評価機関・技術検証

SCS評価制度構築方針（案）では、評価を運用していくための体制も踏み込んでいます。

• ★3の専門家：制度理解・専門家業務の注意事項等を理解するための研修を想定
• ★4の評価機関／技術検証事業者：所定要件について指定委員会の審査を受ける想定。

なお、★４に関しては、技術支援と第三者評価を同一法人が実施するなどの中立性・公平性要件の詳細化が今後検討される旨が示されています。

2-6 取得後の「見える化」：台帳登録と更新・取消し

★3・★4を取得した企業は、企業名・所在地・更新回数・適用範囲等を含む情報を台帳登録し、制度事務局Web等で検索・開示する仕組みを構築予定です。

また、制度運用として、更新と一時停止・取消しが下記のように示されています。

更新：

• ★３）年次で自己評価の更新版を提出する。
• ★４）有効期限更新（3年に1回）は第三者評価を受ける。

一時停止・取消し等：虚偽報告・情報隠蔽等が確認された場合に可能性。

2-7 他制度との整合：自工会ガイドライン・英国Cyber Essentials等との関係

SCS評価制度は、国内外の関連制度との整合も意識しています。代表的なものとして、下記の2点があげられます。

• ★3・★4は 自工会・部工会ガイドラインのLv1/Lv2を各々参照しており、相互補完を目指している。
• 英国Cyber Essentialsとも将来的な相互認証の可能性を念頭に調査継続。

特に、自動車や自動車部品製造を行っている企業にとっては、自工会ガイドラインへの対応は必須なので、★３・★４取得に有利であるといえます。

2-8.「使われ方」の想定：契約・調達で「段階★の提示→実施確認」のサイクルを回す

SCS評価制度は、2社間の取引で、発注企業が委託先に適切な段階★を提示し、実施を促し、実施状況を確認する運用を想定しています。 加えて、要請がなくても自主的に取得して可視化に使うことも想定されています。

そして、本制度は2026年度下期からの本格運用が予定されていますので、2027年度以降の取引条件に組み込まれる可能性が極めて高いと言えます。

３．制度の背景

3-1. 拡大する認識の乖離と大企業の厳しい視線

株式会社ミツモアの調査によると、大企業の約77.7%がサプライチェーン攻撃の被害実態を「よく知っている」と回答しているのに対し、中小企業ではその割合は29.4%に留まっています。この「前提知識の格差」が、後の対策スピードや危機感のズレに直結しています。

そして、特筆すべきは、大企業の約7割が「セキュリティ不備」を理由に取引先を見直しているという事実です。

大企業の50%以上が、セキュリティ不備を理由に、新規取引の拒否、取引停止あるいは契約更新停止といった厳しい措置を講じています。これに対し、中小企業側で「セキュリティ不備で断られた」と自認しているのはわずか4.3%に過ぎず、多くが価格競争もしくは景気の悪化あるいは予算の縮小と認識しています。ここには、受注側が気づかないうちに排除されるリスクが潜んでいます。

3-2. 「サイレント・カット」という静かなる排除

株式会社ミツモアの調査結果の中で更に注目すべき点として、大企業の約32.6%が「理由を告げずに取引を断る（サイレント・カット）」を行っていることが挙げられます。

つまり、中小企業は、失注や取引終了の理由を「価格競争の敗北」や「景気の悪化」だと思い込んでいるケースが多いですが、実際には発注側のリスクアセスメントにおいて「セキュリティ上の不安」が致命傷となっている可能性があるのです。新制度による★の取得は、このような「理由なき排除」を防ぎ、自社の信頼性を客観的に証明する手段となり得ます。

3-3 . 「対策をした企業ほど、取引につながる」が数字で出ている

第48号でも紹介した通り、経産省の調査分析では、次の数字が示されています。

• 体制整備企業の約59.8%が「対策が新たな取引につながった」と実感。
• 第三者認証（ISMS等）取得企業の約73.9%が「取引につながった」と感じている。

★3・★4は、まさにこの「体制整備」あるいは「第三者の目で裏取りされた体制」を、サプライチェーン向けに「標準化」していく制度と言えます。

3-4 . コストは“交渉できる”余地がある（制度側も後押し）

ミツモア調査では、大企業側の6割以上が「適正なら値上げを受け入れる」と回答しており、中小企業が恐れるほど「一方通行」ではない可能性が示されています。

さらに制度構築方針（案）では、経産省・公取委が、SCS評価制度に基づく要請を円滑に行い、パートナーシップ構築と価格交渉を実施して円満合意する想定事例を示すことも明記されています。

つまり、★取得は「コストの根拠（何のために、どこまでやるか）」を共通言語化し、価格交渉を「説明できる交渉」に変える材料になり得ます。

3-5. 被害は“数日止まる”だけで終わらない

第48号で扱った中小企業の被害実態では、平均被害額が約73万円、復旧まで平均5.8日、さらに高額・長期化のケースも存在し、攻撃原因の約48%が既知脆弱性悪用、約20%が取引先経由侵入（サプライチェーン経由）とされています。

また、第52号で取り上げたジャガー・ランドローバー社の事例では、自社の生産停止がサチェーンに広く影響し、経営危機に陥ったサプライヤーを救済するために政府が3,000億円の融資保証を行う事態にまでなりました。

★3・★4には、上記のような事態を回避するために、「既知の脆弱性悪用」や「取引先経由の被害」の可能性を排して、対応と復旧を制度として底上げする狙いが込められています。

４．★３と★４の違いと選択の基準

4-1. まず押さえるべき「制度の狙い」と“★”の意味

SCS評価制度は、サプライチェーンにおける取引先起点のサイバー攻撃を想定し、「企業の立ち位置・想定リスクに応じて、求めるセキュリティ対策水準（★）を定め、対応状況を可視化する」ことを目的とするものです。つまり、「企業同士を競わせる」格付け目的ではない点が明記されています。

想定するサプライチェーンリスクは、情報漏えい（機密性・完全性）だけでなく、サービス停止・提供途絶（可用性／事業継続）や、取引ネットワークを通じた踏み台侵入も含めた幅広いリスクとして整理されています。

また、本制度が主に対象にしているのは、企業体のIT基盤（クラウド環境を含む）であり、製品そのもの（IoT機器やソフトウェア開発物）の脆弱性評価とは目的が異なることが明確化されています。 つまり、これら製品そのものについては、JC-STARなどを別途検討する必要があります。

4-2. サイバーセキュリティ経営ガイドラインとの対比（「準拠後に★3・★4取得」をどう捉えるか）

サイバーセキュリティ経営ガイドライン（Ver3.0）は、経営者が認識すべき原則と、CISO等に指示すべき「重要10項目」を提示し、経営者が予算・人材の配分や実施状況の確認などを通じてリーダーシップを発揮することを求めています。

一方、★3・★4は、サプライチェーンの取引実務で「どの水準の対策ができているか」をマークで可視化し、発注側が取引先に求める対策水準の提示と確認をしやすくする制度です（受注側が自主的に取得して可視化する使い方も想定）。

「ガイドライン準拠」と「★3・★4取得」の関係を簡潔にまとめると次のようになります。

つまり、経営ガイドラインに準拠できている組織は、★取得の“土台”がすでにある一方で、★3・★4では次が追加で問われます。

• 技術・運用の具体性（例：ID管理手続、パッチ運用、ログ取得・監視など）
• 証跡の提示可能性（規程だけでなく、台帳・記録・画面・ログ・訓練実績など）
• サプライチェーン要求の具体化（契約・情報共有・インシデント時の役割、終了時の回収/破棄など）

当リスク通信を発行しているサイバーレジリエンス株式会社では、★３・★4への準備として、サイバーセキュリティ経営ガイドラインのセルフチェックを行い、その結果改善の手段として自工会ガイドラインLv1・Lv2/3を行うことを推奨してきましたが、基本的な方向性は間違っていなかったと言うことができそうです。

サイバーセキュリティ経営ガイドライン重要10項目と★３・★４要求項目カテゴリとの「実務的な対応づけ」は次のようになります。

4-3. ★3と★4の違い（要求水準・評価方法・有効期間）

制度構築方針（案）では、★3・★4は次のように定義されています。

評価スキーム上の重要な差分は、次の3点です。

• 審査の深さ（★4は現場確認＋技術検証まで行く）
  • ★3：書類確認で、明確な不適合がなければ登録機関へ申請して取得の流れ。
  • ★4：書類確認に加え、実地審査（ヒアリング・規程・操作画面等）と、技術検証（例：インターネット公開機器の脆弱性検査等）へ進む。
• 是正の扱い（“直せば取れる”が、期限管理がより重要）
  • ★3：不適合があっても、是正して了承が得られれば取得可能
  • ★4：実地審査等の実施日から一定期間内に是正報告を出す、といった運用例が示されています
• 有効期間（★3は年次更新、★4は3年＋年次自己評価）
  • ★3：有効期間1年。年次で点検し、基準全体の遵守を改めて確認できれば更新
  • ★4：有効期間3年。有効期間内は年次の自己評価結果を評価機関へ提出し、それをもって更新可能とする想定

また、要求項目に注目した場合の差分は下記になります。従って、★４の場合は、取引先に求める評価段階を決定することが想定されています。

★３・★４のいずれかを選択する際には上記の違いを踏まえて決定することをお勧めします。なお、サイバーレジリエンス株式会社としては、取引先へ求める必要がない限り、★３を取得したうえで★４を取得する形のステップアップを推奨しています。

５．取得へのロードマップ

ここでは、サイバーセキュリティ経営ガイドラインに沿って、方針・体制・資源・PDCAの骨格を整備した上で、★３・★４に向けてどのように取り組んでいくかをロードマップの形で紹介したいと思います。

基本的には、「サイバーセキュリティ経営ガイドラインで整えた（あるいは整えようとしている）経営の仕組み」を「★の要求事項に沿って現場の実装と証跡に変換」することになります。

5-1. 最初にやること（共通）：スコープ確定と“証跡台帳”作り

(1) 評価対象（IT基盤）の範囲を決める

取引実務で説明できるよう、「どのネットワーク／どの業務が★の対象か」を明確化 します。主な対象として下記が挙げられます。

社内ネットワーク、クラウド、リモートアクセス環境、業務端末、主要サーバ、インターネット公開機器（VPN装置、ルータ等）

(2) 要求事項ごとに“証跡台帳（エビデンス・マトリクス）”を作る

「実装はしているが証跡がない」「証跡はあるが最新でない」を可視化します。

行：要求事項（後述の★3/★4要求項目）
列：担当部署、規程/手順、記録（台帳・ログ・チケット）、画面証跡、外部委託先の証明、更新頻度

5-2. ★3取得：コア要求項目（基礎的な組織的対策＋システム防御）を満たす

★3は、「最低限ここまでは」を、専門家確認付きの自己評価で可視化するものです。 具体的には、下記の表のようになります。なお、ここで挙げた要求事項の中には、★３で基本をつくり、★４で発展させるという形で設定されたものも含まれていますが、それらについては、★３取得時もしくは最初の年次更新時に★４のレベルまで行っておくことを推奨します。こうすることによって、実効性が大幅に向上します。

5-3. ★３申請：自己評価＋専門家確認

★3は、書類確認の結果、明確な不適合がなければ登録機関へ申請し取得する流れが示されています。なお、専門家は、情報処理安全確保支援士、公認セキュリティ監査人、CISSP、CISM、CISA、ISO27001主任審査員のいずれかの資格を保持しているものと設定されており、組織内外いずれでも可とされています。また、不適合が見つかっても、是正して専門家の了承が得られれば取得可能、という運用が想定されています。

5-4. ★4取得：★3に“追加要求”を上乗せし、第三者評価＋技術検証に耐える状態へ

★4は、包括的・標準的対策を第三者が確認する段階であり、書類確認に続いて実地審査と技術検証が想定されています。以下は、★4で追加的に求められる代表的な要求項目です。

5-5. 受審準備：実地審査・技術検証に向けた“見せ方”を作る

★4は、書類確認後に実地審査（規程・操作画面等）、さらに技術検証（例：VPN装置等の脆弱性検査）進む想定です。実地審査で確認される事項例として、社内ルール、脆弱性管理プロセス、インシデント対応手順、復旧準備などが挙げられています。したがって、下記のような事柄に注意する必要があります。

• 「操作画面で見せられる」証跡を揃える。MFA適用状況、パッチ適用状況、EDR検知履歴、バックアップ/復元結果、ログ保持設定 など
• 技術検証の対策を行う。インターネット公開機器の棚卸し（VPN、ルータ、公開サーバ等）を行う。「脆弱性検査（自社実施でも可）→是正→再検査」の一連の流れを行った上で、再検査レポートを提出できる状態にする

5-6. 取得後の運用：ガイドラインのPDCAで「更新前提」の運用を実現する

サイバーセキュリティ経営ガイドラインのセルフチェック結果改善の手段として構築・運用しているPDCAに ★の要求事項ごとの台帳更新・年次点検を組み入れることによって更新が「一大イベント」ではなく「通常業務」になります。

• ★3：年次点検・更新（有効期間1年）
• ★4：有効期間3年＋年次自己評価結果の提出で更新を想定

６．おわりに

今号は、昨年末に公表されたSCS評価制度構築方針（案）に基づいて、SCS評価制度の全体像を紹介したうえで、制度の背景を改めて紹介し、そのうえで、代表的な評価レベルである★３・★４について、その違いと選択の基準および取得へのロードマップを説明しました。

当リスク通信としては、昨年初めから準備を呼びかけてきましたが、準備の延長線上に制度が発足する見込みとなり、一安心するとともに、今後の制度発足に向けて気が引き締まる思いです。

読者企業におかれましても、2027年度からの取引基準に組み入れられることを想定して対策を進めていくことをお勧めします。

最後までお読みいただき、ありがとうございました。

参考記事・文献

• 経済産業省『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）』
  https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
• 経済産業省「中小企業の実態判明 サイバー攻撃の7割は取引先へも影響」
  https://www.meti.go.jp/press/2024/02/20250219001/20250219001.html
• IPA『2024年度 中小企業における情報セキュリティ対策に関する実態調査』報告書について
  https://www.ipa.go.jp/security/reports/sme/sme-survey2024.html
• 株式会社ミツモア「サプライチェーンセキュリティに関する実態調査」
  https://meetsmore.com/news/release/20241031