『SCS評価制度の正式化 ~制度構築方針の要点、2025年12月案との差異、★3・★4取得の要領~』
サイバーレジリエンスリスク通信:『SCS評価制度の正式化 ~制度構築方針の要点、2025年12月案との差異、★3・★4取得の要領~』
※今号には生成AIによって作成された後に筆者が編集した文章が含まれます。
2026年4月発行
1.はじめに
2025年12月26日に公表された「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」は、2026年3月27日にパブリックコメントを踏まえた成案として公表されました。制度の骨格そのものは維持された一方、運用主体、FAQ、中小企業支援策、今後公表されるガイド類の見通しなど、実務で重要になる点がかなり具体化されています。
また、同じ3月27日には、IPAが「中小企業の情報セキュリティ対策ガイドライン」第4.0版を公表し、SCS評価制度★3・★4を見据えた準備の考え方と、規程類のサンプルも拡充しました。これにより、中小企業・中堅企業が「何から始めればよいか」を自力で整理しやすい環境が一段と整ったと言えます。
そこで今号では、2026年3月27日に公表された制度構築方針の内容を紹介したうえで、2025年12月案との差異を整理し、更に、第48号で紹介した中小企業実態調査の結果も踏まえながら、サイバーセキュリティ経営ガイドラインに沿った★3・★4取得の要領を実務目線で整理していきます。
2.2026年3月27日公表の制度構築方針の要点
成案化された制度構築方針の中心にある考え方は、「発注側が求める水準」と「受注側が実装している水準」を共通の物差しで見える化し、双方の負担を減らしながら、サプライチェーン全体のセキュリティ水準を底上げすることにあります。制度の利用形態としては、二社間の取引契約等において発注元が委託先に適切な段階(★)を提示し、対策の実施を促し、実施状況を確認することが想定されています。もっとも、本制度は企業同士を競わせる「格付け」を目的とするものではなく、必要な対策の可視化を目的とする任意制度です。
対象は、サプライチェーンを構成する企業等のIT基盤であり、クラウド環境も含まれます。一方で、一般的にIT基盤に当たらない製造環境等のOTシステムや、委託元等に提供する製品そのものは直接の対象ではなく、他の制度やガイドラインで対策する立て付けです。したがって、本制度は「企業の自社IT基盤の整備」を中心に据えた制度であると捉えるのが実務的です。
段階としては、当面、★3と★4が制度開始の対象となり、★5は今後の検討事項とされました。★3は全てのサプライチェーン企業が最低限実装すべき対策で、専門家確認付き自己評価により取得する段階です。★4は標準的に目指すべき対策で、第三者評価による取得を想定しています。さらに、2026年秋頃を目途に、特定製品の指定ではなく「要求事項・評価基準を満たすための具体的実装例」を示す評価ガイド等が公表される予定とされました。
| 項目 | 成案で整理された内容 | 実務上の意味 |
|---|---|---|
| 制度の目的 | 共通基準で評価・可視化し、発注側・受注側双方の負担を軽減しながら、サプライチェーン全体の水準を底上げする。 | 単なる自己主張ではなく、取引で使える共通言語を作る制度として理解する。 |
| 対象範囲 | 企業等のIT基盤が中心。クラウドを含む。OTや提供製品は直接対象外。 | 情報システム部門だけでなく、クラウド利用、リモートアクセス、公開サーバも含めて整理が必要。 |
| ★3 | 最低限実装すべき対策。専門家確認付き自己評価。要求事項26件。有効期間1年。 | まずは全社的な基礎対策を、証跡付きで説明できる状態にする。 |
| ★4 | 標準的に目指す対策。第三者評価。要求事項43件。有効期間3年。期間中は毎年自己評価結果を評価機関へ提出。 | 重要取引先・重要情報・直接接続などを抱える企業では、より本格的な監査対応が必要になる。 |
| 制度開始 | 2026年度末頃(FAQでは1〜3月頃)を予定。 | 2026年度内にスコープ整理・証跡整備・模擬評価まで終えておくのが望ましい。 |
| 取得後の扱い | ★3・★4取得企業はIPAのWebサイトで公開予定。 | 取得は「対策している」ことの客観的な表示手段になる。 |
制度の運用体制も成案で明確になりました。スキームオーナーは経済産業省の監督の下で制度を運営するIPAとされ、これに加えて事務局、指定委員会、運営審議委員会、★3を支援するセキュリティ専門家、★4の評価機関、研修事業者などで制度を支える構成が示されています。任意制度であっても、運営主体が明確であることは、発注側・受注側双方にとって安心材料になります。
2-1.中小企業向け支援策の具体化
今回の成案化で特に実務的な意味が大きいのが、中小企業向け支援策の具体化です。制度を「知っているだけ」ではなく、「実際に取得に向けて動ける」ようにするための受け皿が、案の段階よりかなり明確になりました。
| 支援策 | 成案で明確化された内容 | 活用のしかた |
|---|---|---|
| サイバーセキュリティお助け隊サービス(新類型) | ★3・★4取得支援を目的とする新類型を創設。2026年春頃から制度設計のための実証を開始予定。 | 自社だけでは進めにくいポリシー整備、インシデント手順、教育などを外部支援で補う。 |
| 中小企業の情報セキュリティ対策ガイドライン第4.0版 | 第2部実践編STEP3でSCS評価制度を見据えた考え方を整理。付録の規程サンプルも拡充。 | ★取得のための社内規程や台帳をゼロから作らず、雛形を基礎に整備する。 |
| 中小企業向けサイバーセキュリティ対策支援者リスト | 登録セキスペ等の専門家リストを公開。支援テーマに「セキュリティアセスメント」を追加。 | ★3取得時の専門家確認や、初期アセスメントの依頼先として活用する。 |
| 取引先とのパートナーシップ構築に向けた解説 | 独禁法・取適法との関係を整理した想定事例と解説文書を公表。 | セキュリティ要請と価格交渉を、説明可能で円満な形で進めるための共通資料として使う。 |
3.2025年12月案との主な差異
2025年12月案と2026年3月成案を見比べると、制度の方向性そのものが大きく変わったわけではありません。むしろ、2025年12月時点で示されていた骨格を維持したまま、制度開始に向けた運用面・支援面・情報公開面が具体化された、と捉えるのが適切です。
| 論点 | 2025年12月案 | 2026年3月成案 | 実務上の読み方 |
|---|---|---|---|
| 文書の位置付け | 制度構築方針(案)を公表し、意見公募を開始。 | 93者・569件の意見を踏まえて成案化。 | いよいよ「準備を始める前提文書」ではなく、「準備を進める基準文書」になった。 |
| 制度の骨格 | ★3・★4を2026年度末開始、★5は2026年度以降検討。 | 同じ骨格を維持。 | 大枠は変わっておらず、過去の準備方針は概ね継続可能。 |
| 運用主体 | 運用体制案が示されていたが、スキームオーナーは調整中。 | IPAがスキームオーナーに確定。 | 今後の申請様式やFAQ、リスト公開などはIPAの公表を軸に追えばよい。 |
| 中小企業支援策 | お助け隊新類型の創設方針、法令整理の提示を表明。 | お助け隊実証開始時期、ガイドライン第4.0版公開、支援者リスト拡充などが具体化。 | 「制度開始を待つ」のではなく、すぐに着手できる材料が増えた。 |
| 取得準備情報 | 制度開始時期は2026年度末頃までの見込み。 | FAQで、受付は2026年度末頃(1〜3月頃)、評価機関は2026年12月頃公表予定、評価ガイドは2026年秋頃公表予定と具体化。 | 2026年度の中で何をいつ整えるべきか、逆算しやすくなった。 |
| 制度の見せ方 | 段階の定義が中心。 | 概要資料で★3は26件・1年、★4は43件・3年と明示。★4は年次自己評価提出も明確化。 | 社内プロジェクトの工数見積りや更新計画が立てやすくなった。 |
| 任意性の説明 | 主旨上は任意制度と読めるが、説明は限定的。 | FAQで任意制度であること、取得情報をIPAサイトで公開予定であること、公共調達での活用は今後検討であること等を明示。 | 過度に恐れる必要はないが、取引実務上の意味は確実に高まっている。 |
要するに、2025年12月案から2026年3月成案への変化は、「制度の方向転換」ではなく「制度開始に向けた地固め」です。したがって、既にSECURITY ACTION、サイバーセキュリティ経営ガイドライン、自工会・部工会ガイドライン等を手掛かりに準備を始めていた企業は、その延長線上でよく、今後はIPAから出てくる具体資料に合わせて証跡や申請方法を整えていく段階に入ったと考えて差し支えないと思われます。
4.なぜ今、★取得が重要なのか
SCS評価制度の★3・★4は任意制度ですが、だから重要性が低いということにはなりません。むしろ、契約や調達の現場で「何をどこまで実施しているか」を共通言語で説明できる制度であることに大きな意味があります。
第48号でも紹介した2024年度の中小企業実態調査では、過去3期に発生したサイバーインシデントによる平均被害額は73万円、復旧に要した最大期間の平均は5.8日でした。また、サイバー攻撃を受けた企業の約7割で取引先に影響が及んだとされており、中小企業の被害がそのままサプライチェーン上流・下流の問題に発展し得ることが改めて示されています。
一方で、対策は守りだけでなく、取引上のメリットにもつながります。同調査では、社内に専門部署・担当者がある企業の59.8%が、対策を行ったことが取引につながったと感じており、ISMS認証を取得している企業では73.9%が取引につながったと感じていました。IPAの報告書自体も、第三者評価制度の取得は取引上のメリットに効果のある対策であると整理しています。SCS評価制度の★3・★4は、こうした「対策が取引につながる」傾向を、サプライチェーン向けに標準化する制度と見ることができます。
| 観点 | 重要性 | 第48号等を踏まえた補足 |
|---|---|---|
| 被害低減 | 自社のIT基盤の整備は、既知脆弱性悪用や取引先波及のリスクを抑えるための基本になる。 | 被害額73万円、復旧5.8日という数字は、中小企業にとっては、決して「軽い」ものではない。 |
| 取引での説明力 | ★取得企業は将来IPAサイトで公開予定であり、取引先に対して客観的に説明しやすくなる。 | 「対策しています」と言うだけでなく、共通基準で示せることに意味がある。 |
| 新規受注・維持 | 専門部署・担当者の配置や第三者評価の取得は、取引につながったと感じる企業割合が高い。 | ★3・★4は、組織的対策と外部確認を結びつける制度である。 |
| 中小企業の実行可能性 | 支援策、雛形、専門家リストが整い、以前より着手しやすくなった。 | 「人も金も足りないから無理」という状態から一歩進みやすい。 |
また、成案化と同日に改訂された「中小企業の情報セキュリティ対策ガイドライン」第4.0版では、SCS評価制度★3・★4を見据えた準備が明確に取り上げられています。これは、SCS評価制度が今や「まだ先の制度」ではなく、日常的な情報セキュリティ対策の延長線上で考えるべき制度になったことを意味しています。
5.サイバーセキュリティ経営ガイドラインに沿った★3・★4取得の要領
SCS評価制度の★3・★4に対応する最も無理の少ない進め方は、まずサイバーセキュリティ経営ガイドラインで「経営としてサイバーセキュリティ対策が運用できる状態」を作り、そのうえでSCS評価制度の要求事項に沿って「取引で説明できる状態」に落とし込むことです。言い換えると、サイバーセキュリティ経営ガイドラインは方針・体制・資源配分・PDCAの骨格を整えるものであり、SCS評価制度はそれを証跡付きで可視化する仕組みです。
| 経営ガイドライン重要10項目 | SCS評価制度で主に対応する領域 | 実務上の読み替え |
|---|---|---|
| 指示1〜3 (方針・体制・資源) | ガバナンス、役割責任、基本方針、推進計画 | 経営層の関与、責任者の明確化、予算・人材確保を文書と会議体で残す。 |
| 指示4〜6 (リスク把握・実装・改善) | 資産管理、脆弱性管理、防御、年次点検 | 台帳、ネットワーク図、権限管理、パッチ、自己点検を定例運用にする。 |
| 指示7〜8 (対応・復旧) | インシデント手順、連絡網、訓練、バックアップ、復旧準備 | 初動・報告・封じ込め・復旧を机上訓練まで含めて回せるようにする。 |
| 指示9 (サプライチェーン対策) | 取引先管理、機密情報の授受、責任分界、終了時対応 | 誰と、何の情報・システムでつながっているかを棚卸し、契約に落とす。 |
| 指示10 (情報収集・共有・開示) | 脅威情報収集、監視・分析、説明・報告 | 脅威情報を拾う仕組みと、必要時に対外説明できる体制を作る。 |
5-1.最初に行う共通準備
(1) 経営層が「なぜ★を取るのか」を決める。取引維持のためなのか、新規受注のためなのか、主要顧客からの要請への備えなのかを先に定めることで、適用範囲や優先順位がぶれにくくなります。
(2) 評価対象となるIT基盤の範囲を決める。社内ネットワーク、主要サーバ、クラウド、リモートアクセス、業務端末、公開サーバ、VPN装置等を洗い出し、「どこまでを★の対象にするか」を明確にします。
(3) 証跡台帳(エビデンス・マトリクス)を作る。要求事項ごとに、規程、台帳、ログ、画面証跡、契約書、教育記録、点検記録などを紐づけ、「実装しているが証拠がない」「証拠はあるが古い」を見える化します。
(4) 中小企業は、IPAの『情報セキュリティ6か条』と新しい自社診断、サイバーセキュリティ経営ガイドラインのセルフチェックを併用し、土台を整える。ここでの自己点検結果が、その後の★3・★4準備の優先順位付けになります。
5-2.★3取得の要領
★3は、最低限の対策を「専門家確認付き自己評価」で可視化する段階です。重要なのは、書類上「ある」と言えることではなく、実際に運用しており、その証跡を示せることです。
| 領域 | 行うべきこと | 主な証跡の例 |
|---|---|---|
| ガバナンス | セキュリティ推進体制、守秘義務ルール、基本方針を定め、周知する。 | 体制図、職務分掌、誓約書雛形、基本方針、周知記録 |
| リスクの特定 | ハードウェア・OS・主要ソフト、ネットワーク、SaaS、機密情報区分を棚卸しする。 | 資産台帳、ネットワーク図、SaaS一覧、機密区分表、点検記録 |
| 攻撃等の防御 | 利用者ID・管理者ID管理、MFA等の認証強度、パスワード・権限管理、パッチ、マルウェア対策、境界防御、バックアップを運用する。 | ID一覧、権限申請記録、MFA設定画面、パッチ台帳、AV/EDRログ、バックアップ実行記録 |
| 攻撃等の検知・インシデントへの対応・インシデントからの復旧 | 監視対象を定め、ログをレビューし、インシデント対応手順と復旧手順を整備し、年1回以上の訓練を行う。 | 監視対象一覧、アラート履歴、IR手順書、連絡網、訓練記録、復旧テスト結果 |
| 取引先管理 | 取引先との接続関係、機密情報の授受ルール、インシデント時の責任分界を明確にする。 | 取引先一覧、契約条項、NDA、責任分界表、共有手順 |
★3取得の際には、所定資格を持ち、かつ制度が定める研修を受講したセキュリティ専門家の確認が必要です。自社内に該当者がいない場合は、外部の専門家を活用することになります。その意味で、早い段階から証跡台帳を作り、専門家に見せやすい状態にしておくことが、工数削減に直結します。
また、★3の有効期間は1年です。したがって、『取得したら終わり』ではなく、年次更新を前提に、点検・教育・訓練・台帳更新を通常業務に組み込むことが重要です。
5-3.★4取得の要領
★4は、★3の土台のうえに、組織ガバナンス、取引先管理、検知・分析、技術検証への耐性を上乗せする段階です。第三者評価を受ける前提で、書類だけでなく、現場の運用や画面証跡まで見せられる状態にする必要があります。
| ★3からの上乗せ | 実施の要領 | 第三者評価で見られやすい証跡 |
|---|---|---|
| ガバナンス強化 | ルール体系を整え、監視・分析体制、年次のセキュリティ推進計画、経営報告を運用する。 | 規程体系図、改定履歴、年次計画、経営会議資料、是正計画 |
| 重要取引先管理 | 重要取引先を定義し、相手先の対策状況確認、契約終了時の回収・削除・権限剥奪を手順化する。 | 重要取引先リスト、確認チェックリスト、終了時チェックリスト、削除ログ |
| リスクの特定 | 脆弱性管理体制、サポート切れ製品対応、ログ取得・保管・分析、リモートワーク統制を確立する。 | 脆弱性台帳、SLA、例外承認、ログ設計書、保管設定、分析ルール |
| 攻撃等の防御策 | 重要データの暗号化、可搬媒体制御、出口対策、物理入退室管理、役割別教育を実装する。 | 暗号化設定、USB制御記録、Proxy/DNS/FWログ、入退室ログ、教育結果 |
| 実地審査・技術検証準備 | インターネット公開機器を棚卸しし、自主検査→是正→再確認の流れを回しておく。 | 公開機器一覧、脆弱性検査結果、是正報告、再確認結果、画面証跡 |
実務上は、次のような場合に★4を視野に入れるべきです。発注者の重要機密を自社IT基盤で扱う場合、停止すると発注者やサプライチェーン全体に大きな遅延を生む場合、あるいは、発注者の内部システムと直接接続される場合などです。反対に、そうした条件がまだ重くない企業では、まず★3で基礎対策と証跡運用を固め、その後★4へ段階的に上げる進め方が、実務的には無理が少ないと思われます。
なお、★4の評価機関は2026年12月頃を目途にIPAから公表予定とされています。制度開始時点では『どの機関に頼むか』よりも、『どの証跡なら見せられるか』を先に固めておくことの方が重要です。
5-4.ロードマップ(実務上の目安)
| 到達目標 | 主な実施事項 | 主な成果物 |
|---|---|---|
| 体制と目的を固める | 経営層の関与、目的整理、スコープ仮決め、自己点検の実施 | 推進体制、対象範囲案、セルフチェック結果 |
| ★3の土台を整える | 資産・ネットワーク・クラウド棚卸し、方針整備、ID管理、パッチ、バックアップ、IR手順整備 | 規程類、台帳、ログ、教育記録、証跡台帳 |
| ★3申請水準まで引き上げる | 専門家レビュー、ギャップ是正、訓練、年次更新の運用設計 | 自己評価票、是正記録、訓練結果、更新計画 |
| (必要と判断した場合) ★4対応を上乗せする | 重要取引先管理、脆弱性管理体制、ログ分析、暗号化、技術検証、模擬審査 | 監査パッケージ、検査結果、第三者評価向け証跡一式 |
このロードマップのポイントは、制度開始直前に一気に対応するのではなく、経営ガイドラインに基づく通常のPDCAの中に、★の要求事項と証跡更新を組み込んでしまうことです。そうすれば、★3の年次更新や、将来の★4受審も『特別なイベント』ではなく、日常運用の延長線上で行いやすくなります。
6.おわりに
2026年3月27日の成案化によって、SCS評価制度は『構想』から『実装準備の段階』へと一歩進みました。制度の骨格は2025年12月案から大きく変わっていませんが、IPAが運用主体として明確になり、中小企業向けの支援策やFAQ、今後公表される評価ガイド等の見通しが具体化したことで、準備に着手しやすい環境が整っています。
任意制度である以上、直ちにすべての企業が★4を求められるわけではありません。しかし、取引の現場でセキュリティ対策を共通言語で説明する必要性は確実に高まっています。第48号で紹介した通り、対策は被害低減だけでなく、取引機会にも結びつきます。だからこそ、今は、制度開始を待つのではなく、サイバーセキュリティ経営ガイドラインとIPAの改訂ガイドラインを足掛かりに、まずは★3を説明できる状態まで整え、必要に応じて★4へ段階的に進むことを強くお勧めしたいと思います。
最後までお読みいただき、ありがとうございました。
参考記事・文献:
経済産業省 「『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針』(SCS評価制度の構築方針)を公表しました」 https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
経済産業省 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」 https://www.meti.go.jp/press/2025/03/20260327001/20260327001-br.pdf
経済産業省 「SCS評価制度に関するよくあるお問合せ(FAQ)」 https://www.meti.go.jp/press/2025/03/20260327001/20260327001-gr.pdf
経済産業省 「『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)』を公表しました」 https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
経済産業省 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」 https://www.meti.go.jp/press/2025/12/20251226001/20251226001-c.pdf
経済産業省 「サイバーセキュリティ経営ガイドラインと支援ツール」 https://www.meti.go.jp/policy/netsecurity/mng_guide.html
経済産業省・IPA 「サイバーセキュリティ経営ガイドライン Ver3.0」 https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
IPA 「プレス発表『中小企業の情報セキュリティ対策ガイドライン』第4.0版を公開」 https://www.ipa.go.jp/pressrelease/2025/press20260327.html
IPA 「中小企業の情報セキュリティ対策ガイドライン 第4.0版」 https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/sme_guideline_v4.0.pdf
IPA 「2024年度 中小企業における情報セキュリティ対策に関する実態調査-報告書-」 https://www.ipa.go.jp/security/reports/sme/sme-survey2024.html
投稿者プロフィール
