SCS評価制度の詳細情報と不適切勧誘への対応 ~第57号からの更新差分と、正しい認定取得の進め方~
サイバーレジリエンスリスク通信:『SCS評価制度の詳細情報と不適切勧誘への対応 ~第57号からの更新差分と、正しい認定取得の進め方~』
※今号には生成AIによって作成された後に筆者が編集した文章が含まれます。
2026年5月発行
1.はじめに
2026年3月31日発行の第57号では、3月27日に公表された「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」を踏まえ、SCS評価制度の目的、★3・★4の概要、2025年12月案からの差異、そして★3・★4取得に向けた準備の考え方を紹介しました。
その後、2026年4月21日にIPAがSCS評価制度の公式サイトと「SCS評価制度の詳細情報」を公開しました。これにより、制度の方向性だけでなく、制度運用体制、★3・★4の評価スキーム、評価・確認の実施内容、今後の公表予定が、より実務的な形で示されました。つまり、第57号の内容が否定されたのではなく、「どの順序で、誰に、何を見せて、どのように登録へ進むか」が一段具体化された、と捉えるのが適切です。
さらに、2026年4月27日には、経済産業省と内閣官房国家サイバー統括室が、SCS評価制度に係る不適切な勧誘への注意喚起を公表しました。「評価を取得していないと商取引が規制される」「今すぐ評価を取得しないと入札から除外される」といった営業活動が報告されたためです。制度開始前のこの時点で注意喚起が出たことは、制度への関心の高さと同時に、制度を口実にした不安商法が発生しやすいことを示しています。
そこで今号では、IPAの「SCS評価制度の詳細情報」を中心に、第57号からの差異を紹介します。特に、★3・★4取得に際して行うべきことの差異を綿密に整理します。そのうえで、不適切あるいは悪質な宣伝・勧誘の典型例と、それらへの反証を示し、「正しく理解して正しい認定取得を目指そう」というメッセージをお伝えしたいと思います。
2.IPA「SCS評価制度の詳細情報」で具体化されたこと
まず注目すべきは、SCS評価制度が、経済産業省および内閣官房国家サイバー統括室の監督のもと、IPAが運営する制度として、公式サイト上で整理され始めたことです。第57号でもIPAがスキームオーナーとなることは紹介しましたが、今回のIPAページでは、運営審議委員会、事務局、指定委員会、評価機関、技術検証事業者、セキュリティ専門家、研修事業者という役割分担が明示されました。
この具体化により、制度の見方は「方針を読む段階」から「取得プロセスを逆算する段階」へ移りました。制度そのものはまだ運用開始前ですが、準備の勘所はかなり明確になっています。
| 項目 | IPA詳細情報で具体化された内容 | 実務上の意味 |
|---|---|---|
| 運営主体 | 経済産業省・内閣官房国家サイバー統括室の監督のもと、IPAが制度を運営。 | 今後の公式情報は、経済産業省の制度構築方針とIPA公式サイトを軸に確認する。 |
| 運営体制 | 運営審議委員会、事務局、指定委員会、評価機関、技術検証事業者、セキュリティ専門家、研修事業者の役割が整理。 | 取得企業は、単に「評価者を探す」のではなく、★3・★4ごとに関与主体が異なることを理解する必要がある。 |
| ★3 | 専門家確認付き自己評価。取得希望組織が自己評価を行い、社内外のセキュリティ専門家の確認・助言・署名を経て、経営層の自己適合宣誓を含む評価結果を事務局へ提出。 | 従来の「専門家確認付き自己評価」という理解に加え、専門家署名と経営層の宣誓が明確な準備項目になった。 |
| ★4 | 第三者評価に加え、技術検証の実施が明示。評価機関・技術検証事業者による文書確認、実地審査、技術検証を経て、評価報告書を受け、事務局へ登録申請。 | 書類審査だけを想定していては足りない。現場運用、設定、ログ、技術的実装を見せられる状態が必要。 |
| 評価対象の扱い | 各取得希望組織で決定した適用範囲の中から対象をサンプリングして評価等を実施する想定。 | スコープ定義だけでなく、サンプリングされても説明できるよう、対象範囲内の台帳・証跡のばらつきをなくす必要がある。 |
| スケジュール | ★3・★4は2027年3月頃の運用開始予定。評価用ガイド等は2026年度下期、申請方法は2026年10月頃、評価機関は2026年12月末頃、セキュリティ専門家は2027年1月以降に公表予定。 | 今すぐ正式申請する段階ではない。2026年度内は、要求事項への実装、証跡整備、公式情報の更新確認、模擬評価に使うべき時期である。 |
3.第57号との主な差異
第57号は、制度構築方針の成案化を受けて、SCS評価制度の骨格と取得準備の方向性を整理した内容でした。今回のIPA詳細情報は、その骨格を維持したうえで、取得に向けた手続・関与者・公表予定を具体化したものです。従って、差異は「制度の方向転換」ではなく、「取得実務の具体化」と見るべきです。
| 論点 | 第57号での整理 | 今回の差異・実務上の意味 |
|---|---|---|
| 制度の位置付け | 任意制度であり、取引で使える共通言語としての制度。 | この理解は維持。ただし、IPA公式サイトが公開され、今後は公式情報の参照先がより明確になった。 |
| 運用主体 | IPAがスキームオーナーとなることを紹介。 | IPAの事務局・委員会・評価機関・技術検証事業者・専門家・研修事業者という制度運用体制が明示された。 |
| ★3の取得 | 専門家確認付き自己評価。証跡付きで説明できる状態を作ることを推奨。 | 自己評価票の作成、社内外のSCS制度上のセキュリティ専門家による確認・助言・署名、経営層の自己適合宣誓、事務局への提出、台帳登録・公開という流れが示された。 |
| ★4の取得 | 第三者評価。証跡、監査対応、技術検証準備の必要性を紹介。 | 第三者評価に加え、技術検証事業者の関与、実地審査、技術検証、評価報告書、事務局への登録申請という手続が明確化された。 |
| 専門家・評価機関 | 評価機関は2026年12月頃公表予定、専門家確認の必要性を紹介。 | セキュリティ専門家は2027年1月以降、評価機関は2026年12月末頃に公表予定。SCS制度のセキュリティ専門家は、資格要件と研修受講要件を満たし、事務局に登録された者であることが示された。 |
| 申請方法・費用 | 制度開始時期や評価ガイドの見通しを紹介。 | 申請方法は2026年10月頃、申請・登録費用は今後公開予定。現時点で「正式申請代行」「登録費用確定」をうたう勧誘には注意が必要。 |
| 要求事項の達成 | ★3・★4要求事項を前提に証跡整備を推奨。 | FAQで、★3・★4を取得するには定められたすべての要求事項・評価基準を満たす必要があると明示。部分対応や書類だけの整備では足りない。 |
| 準備の出発点 | サイバーセキュリティ経営ガイドライン、IPAガイドライン、SECURITY ACTION等を足掛かりにすることを推奨。 | IPAの関連制度・施策ページでも、★3・★4取得の準備段階として、まずSECURITY ACTIONから始めること、中小企業ガイドライン第4.0版やお助け隊サービス新類型等を活用することが整理された。 |
この表で最も重要なのは、★3・★4取得の準備が「要求事項を満たすためのセキュリティ対策」だけでなく、「評価・確認・登録のための説明可能性」を含むものになった点です。第57号で述べた証跡台帳は、引き続き有効です。しかし、今回の具体化により、証跡台帳は単なる社内管理表ではなく、専門家確認、第三者評価、実地審査、技術検証、経営層宣誓、事務局登録をつなぐ中核資料として位置付けるべきものになりました。
4.取得に際して行うべきことの差異
ここからが本号の中心です。第57号では、★3・★4取得のために、スコープ整理、資産・ネットワーク・クラウド棚卸し、規程・台帳・ログ・訓練記録等の証跡整備、専門家レビュー、模擬評価を推奨しました。これは今回も変わりません。ただし、IPA詳細情報を踏まえると、次のように「行うべきこと」の精度を上げる必要があります。
4-1.共通準備:証跡整備から「評価に耐える運用パッケージ」へ
第57号では、要求事項ごとに規程、台帳、ログ、画面証跡、契約書、教育記録、点検記録などを紐づける証跡台帳の作成を推奨しました。今回の差異は、その証跡台帳を、評価者や専門家が確認することを前提に再設計する必要がある点です。
| 領域 | 第57号での準備 | 今回強化すべき準備 |
|---|---|---|
| 適用範囲 | 社内ネットワーク、主要サーバ、クラウド、リモートアクセス、業務端末、公開サーバ、VPN装置等を棚卸し。 | 適用範囲の中から評価対象がサンプリングされる想定を踏まえ、対象範囲内のどこを選ばれても説明できる粒度で台帳を整える。クラウド、SaaS、外部公開資産、委託先接続の境界も明示する。 |
| 要求事項対応表 | 要求事項ごとに実施状況と証跡を紐づける。 | すべての要求事項・評価基準を満たす必要があるため、「一部未対応だが重要ではない」という整理は避ける。未対応・代替対応・例外承認は、経営判断と是正期限を含めて管理する。 |
| 証跡の性質 | 規程、台帳、ログ、教育記録等を準備。 | 単に文書があるだけでなく、いつ運用され、誰が確認し、どの不備を是正したかを示す。専門家や評価機関に見せることを前提に、証跡名、保管場所、更新頻度、責任者を決める。 |
| 経営層関与 | 経営層の関与、目的整理、予算・人材確保を推奨。 | ★3では経営層による自己適合宣誓が明示されたため、経営層が「現場任せ」では済まなくなった。宣誓前に、リスク、未対応事項、例外、是正計画を経営会議等で確認する。 |
| 公式情報の追跡 | 評価ガイドや評価機関の公表時期を見ながら準備。 | 2026年8月頃の制度規程、2026年10月頃の申請方法・解説書、2026年12月末頃の評価機関、2027年1月以降の専門家、2027年3月頃の運用開始を管理カレンダー化する。 |
つまり、今後の準備では、「対策を実施した」だけでなく、「評価者が見ても分かる」「経営層が宣誓できる」「事務局登録に進める」状態を作る必要があります。ここが、第57号から最も実務的に変わった点です。
4-2.★3取得:専門家確認付き自己評価の段取りが明確化
★3について、第57号では「専門家確認付き自己評価」として、要求事項を満たし、証跡を整え、専門家に確認してもらうことを推奨しました。今回のIPA詳細情報では、その流れがより明確になりました。
| ★3の段取り | IPA詳細情報で示された内容 | 取得希望組織が行うべきこと |
|---|---|---|
| 1. 自己評価を記入 | ★3要求事項・評価基準に基づき、取得希望組織が自己評価を記入する。 | 要求事項ごとに「実施済み」と書くだけでなく、証跡番号、規程名、ログ名、点検日、責任者、是正状況を紐づける。 |
| 2. セキュリティ専門家が確認 | 社内外のセキュリティ専門家が内容を確認し、必要に応じて評価結果の修正を含む助言を行う。 | ここでいう専門家は、単なる外部コンサルタントではなく、SCS制度上の資格要件・研修受講要件を満たし、事務局に登録された専門家である点に注意する。 |
| 3. 専門家が署名 | 事務局へ提出する内容に関して了承した場合、専門家が署名する。 | 専門家が署名できる品質まで、証跡の不足、記述の曖昧さ、未運用のルールを是正する。署名を「形式的な押印」と捉えない。 |
| 4. 経営層が自己適合宣誓 | 取得希望組織は、経営層による自己適合宣誓を含めて事務局へ提出する。 | 経営層向けに、適用範囲、対応状況、残リスク、例外、次年度更新計画を説明する資料を作る。 |
| 5. 事務局へ提出・台帳登録 | 申請内容に問題がなければ事務局が台帳に登録し、公開する。 | 登録・公開される前提で、社名、適用範囲、外部説明文、問い合わせ対応を整える。 |
この差異から、★3取得に向けた実務は次のように変わります。
・「専門家を早めに探す」のではなく、2027年1月以降に公表予定のSCS制度上の専門家として資格要件・研修受講要件を満たした登録専門家であることを確認する必要があります。
・自己評価は、社内チェックリストではなく、専門家が署名し、経営層が宣誓し、事務局へ提出する文書として作成する必要があります。
・経営層の自己適合宣誓が明示されたため、セキュリティ部門だけで取得を進めるのではなく、経営会議、リスク管理会議、情報システム委員会等で確認履歴を残す必要があります。
・★3の有効性は、取得時点の書類ではなく、次年度以降の更新に耐える運用にあります。年次点検、教育、訓練、台帳更新、是正管理を通常業務に組み込むことが重要です。
4-3.★4取得:第三者評価に「技術検証」が明確に加わった
★4について、第57号では、第三者評価、実地審査、技術検証準備の必要性を紹介しました。IPA詳細情報では、★4は「第三者評価及び技術検証」を求めること、評価機関と技術検証事業者の役割、評価報告書を受けたうえで事務局に登録申請する流れが明示されました。
| ★4の段取り | IPA詳細情報で示された内容 | 取得希望組織が行うべきこと |
|---|---|---|
| 評価機関・技術検証事業者の指定 | 指定委員会が評価機関・技術検証事業者を指定。評価機関が技術検証も行う場合と、委託先の技術検証事業者が行う場合がある。 | 2026年12月末頃に公表予定の評価機関リストを確認する。現時点で「当社は公式評価機関」と名乗る者には注意する。 |
| 自己評価の記入 | 取得希望組織が★4要求事項・評価基準に基づき自己評価を記入。 | ★4は、★3より広い範囲・深い対策を含む。重要取引先、重要情報、ログ分析、脆弱性管理、暗号化、復旧、委託先管理等を、証跡付きで整理する。 |
| 評価機関への依頼 | 取得希望組織が評価機関に検証・評価を依頼。 | 評価機関が公開されてから、評価範囲、費用、日程、技術検証の実施方法、中立性・利益相反の扱いを確認する。 |
| 文書確認・実地審査・技術検証 | 評価機関および技術検証事業者が、文書確認に加え、実地審査および技術検証を実施。 | 規程・台帳だけでなく、管理画面、ログ、設定、脆弱性管理記録、アクセス権、バックアップ・復旧テスト、インシデント訓練記録等を提示できる状態にする。 |
| 評価報告書の受領 | 評価機関が取得希望組織に評価報告書を提供。 | 指摘事項が出ることを前提に、是正対応、再確認、登録申請までの社内責任者と期限を決めておく。 |
| 事務局への登録申請 | 取得希望組織が事務局に★4の登録を申請し、問題がなければ台帳に登録・公開。 | 登録後の外部説明、主要取引先への通知、年次自己評価の運用、次回評価に向けた改善計画を準備する。 |
★4については、特に「技術検証」を軽く見ないことが重要です。評価基準上は組織的な対策も重視されますが、★4では文書だけでなく実装状態を確認される可能性が高くなります。公開サーバ、VPN、クラウド管理画面、SaaSの権限設定、ログ取得・保管、バックアップ、脆弱性対応、EDR等の運用状況について、担当者しか分からない状態を脱し、評価機関に説明できる状態にしておくべきです。
また、★4では、評価範囲内からサンプリングして評価等を実施する想定が示されています。従って、「このシステムだけは整っている」という点対応ではなく、対象範囲全体で最低限の証跡品質をそろえることが必要です。監査対応でありがちな“当たりのシステムだけきれい”作戦は、SCS評価制度では危ういと考えるべきでしょう。
4-4.第57号から見た実務ロードマップの更新
第57号で示したロードマップは、引き続き有効です。ただし、今回の具体化により、2026年度内のロードマップは次のように更新するのが望ましいと考えます。
| 時期 | 行うべきこと | 実務上のポイント |
|---|---|---|
| 2026年4~8月 | 制度規程・委員会の詳細公表を待ちながら、適用範囲、資産台帳、クラウド・SaaS一覧、取引先接続、公開資産一覧を整備。 | 制度詳細は未確定でも、棚卸しと証跡整備は今すぐ始められる。 |
| 2026年8~10月 | 制度規程、申請方法、解説書の公表内容を確認し、自己評価票・証跡台帳・経営層説明資料を更新。 | 公式様式が出たら、既存の社内資料を公式様式に寄せる。 |
| 2026年10~12月 | ★3は専門家確認に向けた模擬レビュー、★4は第三者評価・技術検証に向けた模擬審査を実施。 | 「不足を見つけるためのレビュー」と割り切り、年内に是正計画を確定する。 |
| 2026年12月末頃 | 評価機関の公表予定。★4を目指す企業は評価機関候補を確認し、評価範囲・日程・技術検証の前提を整理。 | この時点より前の「公式評価機関」名乗りには慎重に対応する。 |
| 2027年1月以降 | セキュリティ専門家の公表予定。★3を目指す企業は、制度上の専門家要件を満たす者に確認を依頼。 | 中小企業向け支援者リストの専門家と、SCS制度上のセキュリティ専門家は要件が異なる点に注意する。 |
| 2027年3月頃以降 | 運用開始予定。★3・★4の正式な申請・登録へ進む。 | 慌てて整えるのではなく、2026年度中の準備をそのまま提出・評価対応に接続する。 |
5.不適切あるいは悪質な宣伝・勧誘の事例と反証
今回の注意喚起で特に重要なのは、「制度を理由にした不安商法」に警戒すべきことです。SCS評価制度は、サプライチェーン全体のセキュリティ水準を底上げするための有用な制度です。しかし、制度の理解が浅い段階では、「取らないと大変なことになる」「この製品を買えば済む」といった単純化された営業トークが入り込みやすくなります。
以下では、経済産業省等の注意喚起で示された内容を踏まえ、想定される勧誘例と反証を整理します。
| 勧誘例 | 反証 | 確認・対応ポイント |
|---|---|---|
| 「SCS評価を取得していないと商取引が規制されます」 | 制度は、2社間の取引契約等で発注者が受注者に適切な段階を提示し、対策実施を促し、実施状況を確認することを想定した任意制度。個社間の商取引に規制措置を講じる制度ではない。 | 「どの法令・どの調達条件で義務化されたのか」を確認する。答えが曖昧なら、公式情報と取引先からの正式文書を確認するまで契約しない。 |
| 「今すぐ取得しないと入札から除外されます」 | ★3・★4は2027年3月頃の運用開始予定であり、申請方法も2026年10月頃公開予定。制度開始前に正式な取得を迫る表現は不自然。 | 取引先から正式な条件が来ているのか、制度開始前の準備要請なのかを分けて確認する。「今すぐ取得」は現時点では言い過ぎである。 |
| 「この製品を導入しないと★3・★4は取れません」 | 制度構築方針では、評価基準を達成するにあたって特定のセキュリティ対策製品の導入が必須ではないと明記されている。 | 製品導入は手段の一つにすぎない。要求事項、既存環境、運用能力、証跡化の可否を見て、必要な製品・サービスを選ぶ。 |
| 「当社は公式評価機関なので、今契約すれば優先枠を確保できます」 | 評価機関は2026年12月末頃、セキュリティ専門家は2027年1月以降に公表予定。制度規程も2026年8月頃公表予定。 | IPA公式サイトの評価機関・専門家ページで公表状況を確認する。公表前の「公式」表現には注意する。 |
| 「書類テンプレートを買えば、短期間で★3を取れます」 | ★3は自己評価に専門家確認・署名、経営層の自己適合宣誓、事務局提出が必要。FAQでは、すべての要求事項・評価基準を満たす必要があるとされている。 | テンプレートは補助資料としては有用だが、運用証跡がなければ取得にはつながらない。教育・訓練・点検・是正の記録まで確認する。 |
| 「脆弱性診断だけ受ければ★4相当です」 | ★4は文書確認、実地審査、技術検証を含む第三者評価であり、組織的対策、取引先管理、ログ、復旧、ガバナンスなどを含む。 | 技術診断は重要だが一部にすぎない。★4準備では、組織運用と技術実装の両方を整える。 |
| 「申請・登録費用は当社経由なら確定しています」 | FAQでは、★3・★4の申請・登録にかかる費用は今後公開予定とされている。 | 公式に費用が公表されるまでは、制度申請費用と民間サービス費用を混同しない。見積書では内訳を必ず確認する。 |
| 「支援者リストに載っている登録セキスペなら、必ずSCS専門家として署名できます」 | SCS制度のセキュリティ専門家は、資格要件と研修受講要件を満たし、事務局に登録された専門家。中小企業向け支援者リストの専門家とは要件が異なる。 | 支援を依頼する専門家が、SCS制度上の署名・確認を担える者なのか、単なる準備支援なのかを区別する。 |
このような勧誘に対しては、相手を必要以上に疑うというより、「公式情報と照合する」ことが最も有効です。良い支援事業者であれば、制度開始前であること、公式情報の未確定部分、製品導入が必須ではないこと、自社の役割が準備支援なのか公式な評価・確認なのかを、きちんと説明するはずです。逆に、制度の不確定部分を隠し、恐怖心をあおり、即決を迫る場合は、慎重に距離を取るべきです。
6.正しく理解して正しい認定取得を目指そう
SCS評価制度は、サプライチェーン全体のセキュリティ水準を高めるための重要な制度です。取引先に自社の対策状況を説明しやすくなり、発注者・受注者双方の負担を下げる可能性があります。その意味で、第57号で述べたように、制度開始を待たずに準備を始めることは正しい対応です。
しかし、正しい準備と、焦らされた準備は別物です。正しい準備とは、次の三つを満たすことだと考えます。
・第一に、公式情報を基準にすること。経済産業省・内閣官房国家サイバー統括室・IPAの情報を確認し、未公表事項を断定しない。
・第二に、自社のリスクと取引上の役割に合った段階を目指すこと。全社一律に★4を急ぐのではなく、重要情報、直接接続、委託範囲、取引先要請を踏まえて判断する。
・第三に、ロゴや形式ではなく、実装と運用を整えること。規程、台帳、ログ、教育、訓練、是正、復旧、取引先管理を日常業務として回す。
正しい認定取得とは、「とにかく早くマークを得ること」ではありません。自社がどの範囲で、どの要求事項を、どの証跡で、どのように運用しているかを説明できるようにすることです。そして、それを専門家や評価機関に確認されても、経営層が宣誓しても、取引先に説明しても、矛盾しない状態にすることです。
制度開始前の今、行うべきことは明確です。恐怖心をあおる営業に振り回されず、公式情報を確認し、SECURITY ACTIONや中小企業の情報セキュリティ対策ガイドライン第4.0版を土台に、まずは自社のIT基盤、クラウド、公開資産、取引先接続、重要情報を棚卸しする。そして、★3・★4の要求事項に対して、実装と証跡のギャップを潰していく。これが、最も堅実で、最も近道の準備です。
正しく理解して、正しい認定取得を目指しましょう。SCS評価制度は、不安を売るための道具ではなく、サプライチェーン全体で信頼を作るための共通言語です。
7.おわりに
今号では、IPAが2026年4月21日に公開した「SCS評価制度の詳細情報」を踏まえ、第57号からの差異を整理しました。今回の具体化によって、★3は「専門家確認付き自己評価」の段取り、★4は「第三者評価+技術検証」の段取りが、より明確になりました。特に、専門家署名、経営層の自己適合宣誓、実地審査、技術検証、サンプリング、登録・公開といった要素は、取得準備の実務に直接影響します。
同時に、制度を口実とした不適切な勧誘にも注意が必要です。SCS評価制度は任意制度であり、個社間の商取引を直接規制するものではありません。また、特定の製品導入が必須という制度でもありません。制度の意義を正しく理解し、公式情報に基づいて、必要な対策を着実に積み上げることが重要です。
第57号でお伝えした「制度開始を待つのではなく、今から準備する」という考えは変わりません。ただし、今後は、準備の内容をより具体的な取得プロセスに合わせて更新する必要があります。焦らず、侮らず、公式情報を確認しながら、正しい認定取得を目指していきましょう。
最後までお読みいただき、ありがとうございました。
参考記事・文献
IPA「SCS評価制度の詳細情報」 https://www.ipa.go.jp/security/scs/details.html
IPA「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」 https://www.ipa.go.jp/security/scs/index.html
IPA「要求事項・評価基準」 https://www.ipa.go.jp/security/scs/requirements-criteria.html
IPA「セキュリティ専門家・評価機関」 https://www.ipa.go.jp/security/scs/security-experts-organization.html
IPA「制度規程・委員会」 https://www.ipa.go.jp/security/scs/regulation-advisory-committeess.html
IPA「よくある質問」 https://www.ipa.go.jp/security/scs/faq.html
IPA「関連制度・施策」 https://www.ipa.go.jp/security/scs/related-regulations-policies.html
経済産業省「『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針』(SCS評価制度の構築方針)を公表しました」 https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)に係る不適切な勧誘に御注意ください」 https://www.meti.go.jp/policy/netsecurity/20260427_scs.html
当リスク通信 第57号「SCS評価制度の正式化 ~制度構築方針の要点、2025年12月案との差異、★3・★4取得の要領~」 2026年3月31日https://japan-resilience.co.jp/cyber/2026/04/08/cyberriskreport57/
―以上―
投稿者プロフィール
