OPTiM お役立ち情報

SCS評価制度とは?概要・評価レベル・企業が今から準備すべきことを解説

サマリ

SCS評価制度とは、「企業のセキュリティ対策を★1~★5で可視化するための国主導の制度」です。「サプライチェーン強化に向けたセキュリティ対策評価制度」が正式名称であり、経済産業省・内閣官房国家サイバー統括室の方針を受け、IPAが運営する新しい公的セキュリティ評価の仕組みです。2026年度末の本格運用を目指して整備が進んでおり、企業のサイバーセキュリティ対策状況を★1〜★5の5段階で「可視化」します。

この記事の結論

  • SCS評価制度は、取引先のセキュリティ水準を統一基準で確認・証明できる公的な仕組み
  • サプライチェーンに参加するすべての企業が、まず★3(ベースライン)を意識する
  • 制度開始を待つのではなく、今すぐ自社の対策状況を棚卸しすることが重要

この記事でわかること

  • SCS評価制度の正式名称・目的・運営主体
  • ★1〜★5の評価レベルの違いと求められる要件
  • ★3取得に向けて確認すべき主な対策領域
  • 企業がつまずきやすいポイントと今から取り組める準備
  • 自社状況を確認できる簡易チェックリスト

1. SCS評価制度とは

SCS評価制度(Supply Chain Security評価制度)の正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」です。経済産業省および内閣官房国家サイバー統括室の方針に基づき、独立行政法人・情報処理推進機構(IPA)が事務局・運営審議委員会・指定委員会を設置して運営します。

この制度の目的は、ビジネス・ITサービスのサプライチェーン全体におけるセキュリティ水準の底上げです。具体的には次の2点を実現します。

  • 受注側企業:自社が実施すべき対策を明確に把握し、実施できる
  • 発注側企業:取引先のセキュリティリスクを客観的な基準で判断できる

これまで企業は、取引先ごとに異なるチェックシートに回答するという非効率な対応を迫られていました。SCS評価制度はその課題を解消し、統一された客観基準による評価と「見える化」を実現します。2026年度末の本格運用開始が目指されており、2026年3月に制度構築方針が正式公表されました。

評価の対象となるシステム範囲

SCS評価制度の評価対象は、IT基盤と外部ネットワーク境界、およびIT基盤を構成するクラウドサービスです。メールサーバー・Webサーバーなどの公開サーバーや認証基盤を含むIT基盤全体、ファイアウォール・ルーター・VPN装置等のネットワーク機器、さらにパソコン・スマートデバイス等のエンドポイント機器が含まれます。一方、製造環境等の制御(OT)システムや発注元へ提供する製品そのものは対象外となっています。

2. SCS評価制度が注目される背景

近年、サイバー攻撃の手口は大きく変化しています。防御の堅い大企業や基幹インフラ事業者を直接狙うのではなく、セキュリティ対策が手薄な取引先・委託先を足がかりにして侵入する「サプライチェーン攻撃」が急増しています。

2025年の1年間で国内に報告されたセキュリティインシデントは559件にのぼり、製造業・サービス業・金融業が上位を占めながらも、IT系・教育など業種を問わず被害が広がっています。特に「他組織(委託先・取引先)を経由した二次被害」が被害経路の最多を占めており、サプライチェーンセキュリティの重要性が改めて浮き彫りになっています。

被害の規模も無視できません。2025年に発生した大規模なランサムウェア攻撃では52億円超の損失を計上した事例もあります。「セキュリティ対策はコスト」という認識はすでに過去のものです。

SCS評価制度が対象とする3種類のサプライチェーンリスク

SCS評価制度は、以下の3分類のリスクを明示的に対象として設計されています。自社が負う可能性があるのがどのリスクかを確認することが、対応優先度を決める第一歩になります。

リスクの分類想定されるインシデント例該当するサプライチェーン
自社事業・サービスの提供途絶調達部品の供給遅延・停止、クラウドサービスの停止自動車部品メーカー、クラウド事業者等
機密情報の漏えい・改ざんBPO事業者・ITベンダー・クラウド経由での機密情報流出BPO事業者、ITベンダー等
取引先を踏み台にした不正侵入委託先・マネージドサービス経由での発注者システムへの侵入医療機関、ITベンダー等

SCS評価制度は、この課題に対する国家戦略としての回答の一つです。取引関係にある企業群(サプライチェーン全体)を対象に統一基準を整備することで、セキュリティ対策は「コスト」ではなく、企業の信頼性を証明し競争力を高める「戦略的投資」として機能するよう設計されています。

自動車業界では自工会・部工会のサイバーセキュリティガイドライン(★3はLv1相当、★4はLv2〜3相当に対応)への準拠がすでに取引条件となっているケースがあり、SCS評価制度はこの動きを業界横断で標準化するものです。

3. SCS評価制度の対象となる企業

SCS評価制度の直接的な義務対象は現時点では定められていませんが、実質的に関係する企業は非常に広範囲にわたります。

特に関係する企業の類型

企業の立場具体的な状況
委託先・外注先発注元から情報やシステムを預かって業務を行う
SaaS・ITサービス提供者顧客の業務データを取り扱うクラウドサービスを提供する
部品・製品の供給元製造業のサプライチェーンに参加している
情報サービス受託企業個人情報や機密情報を含む業務を受託している

重要なのは、「大企業が対象」という認識は誤りということです。むしろ中小・中堅企業こそが優先的に確認すべき制度です。★4の要求事項には「重要な機密情報を取り扱う取引先のセキュリティ対策状況を把握すること」が含まれており、★4取得を目指す発注元企業は取引先に対して★の取得状況を確認するようになります。

「セキュリティチェックシート」の代替として機能する

これまで発注側企業が取引先に求めていた個別のセキュリティチェックシートは、要求内容が企業ごとにバラバラで、受注側企業にとっては複数の異なる書式への対応が大きな負担でした。SCS評価制度の★取得は、この「チェックシート対応」を一本化できる仕組みとして機能します。★を取得してIPAの台帳に登録・公開されることで、発注元からのセキュリティ確認要求に対して★を示すだけで対応できるようになり、双方の取引コストを大幅に削減できます。

4. SCS評価制度の評価レベル

SCS評価制度では、企業のセキュリティ対策状況を★1〜★5の5段階で評価します。★1・★2はIPAの既存制度「SECURITY ACTION」(自己宣言)がその役割を担い、★3以降が本制度で新たに定められた評価レベルです。

レベル評価方法概要要求事項数評価基準数有効期間
★1SECURITY ACTION(自己宣言)情報セキュリティ5か条への取り組み宣言
★2SECURITY ACTION(自己宣言)自社診断と情報セキュリティ基本方針の策定・公開
★3専門家確認付き自己評価最低限実装すべきセキュリティ対策(ベースライン)26件81項目1年
★4第三者評価(実地審査+技術検証)標準的・包括的なセキュリティ対策43件153項目3年
★5第三者評価(高度)到達点として目指すべき最高水準今後検討今後検討今後検討

★3と★4の考え方の違い

★3は「広く認知された脆弱性等を悪用する一般的なサイバー攻撃」を想定した最低限の対策水準です。組織内の役割と責任の定義・自社IT基盤への初期侵入対策・インシデント発生時の最低限の報告手順策定が達成水準の核心です。

一方★4は、供給停止や情報漏えいに大きな影響をもたらす攻撃を想定した標準的・包括的な対策水準で、取引先のシステムやデータ保護・サプライチェーン強靭化策まで求められます。

★3の取得プロセス(4ステップ)

  1. 自己評価を実施(81の評価基準に対して対応状況を記入)
  2. セキュリティ専門家に確認を依頼(情報処理安全確保支援士・CISA・CISSP・CISM・公認情報セキュリティ監査人・ISO27001主任審査員のいずれかを保有し、所定研修修了者による確認・助言)
  3. 経営層が自己適合宣誓を行う
  4. 事務局(IPA)へ登録申請→問題がなければ台帳登録・ロゴマーク発行

★3は年次更新が必要です。なお、申請主体は原則として法人または個人事業主単位ですが、セキュリティ専門家または評価機関による適用範囲の妥当性確認を経ることで、事業部単位・グループ単位での申請も可能です。また、★3を先に取得しなくても★4を直接取得することも可能で、上位レベルは下位を包括する設計になっています。

ISMSとSCS評価制度の関係

ISMSとSCS評価制度は「相互補完的な関係」にあります。ISMSが「人・組織(プロセス)」を軸に機密性・可用性・完全性を管理するのに対し、SCS評価制度は「システム・技術的対策」を含むサイバーセキュリティ対策に特化しています。ISMS取得済みの企業は準備を有利に進められますが、SCS評価制度が独自に重視する「取引先管理」分野については追加のギャップ対応が必ず必要です。

5. ★3取得に向けて確認したい主な対策領域

★3の評価基準は81項目からなり、技術的対策だけでなく経営層の関与を強く求める内容が含まれています。NIST CSF*の6機能に「取引先管理」を加えた7分類で構成されており、以下の各領域で自社の現状を確認することから始めましょう。

*NIST CSF(Cyber Security Framework):米国国立標準技術研究所(NIST)が策定したサイバーセキュリティ対策の国際的なフレームワーク。統治(GV)・識別(ID)・防御(PR)・検知(DE)・対応(RS)・復旧(RC)の6機能で構成され、業種・規模を問わず世界中の企業が対策の基準として参照している。

① ガバナンスの整備(8項目)

  • 経営層が承認したセキュリティ基本方針の文書化・定期見直し(法令・契約に基づいた社内ルール/体制策定)
  • セキュリティ責任者の指定と、経営層への定期報告体制
  • 守秘義務・セキュリティ対策方針の策定および推進

ポイント: 「方針は作ったが経営層は関与していない」「担当者任せになっている」という状態は要求事項を満たしません。

② 取引先管理(4項目)

  • 委託先へのセキュリティ要件の提示と契約への盛り込み(最低限のルール策定)
  • 委託先の対策状況の定期的な確認・監督
  • 機密情報を取り扱う取引先の管理・把握と責任の明確化

ポイント: ISMSとの最大の差分がここです。自社だけでなく、委託先のセキュリティ状況まで確認・証明できる体制が必要です。

③ リスクの特定(11項目)

  • 自社IT基盤・情報資産の現状把握(ハードウェア・OS・ソフトウェア・ネットワーク・クラウドの一覧整備)
  • 機密区分に応じた情報管理
  • リモートワークのルール策定

なお、クラウドサービスや親会社提供のグループ共通ネットワークなど、他社との間で対策責任を共有するものについては、責任共有モデルに基づき、自社における対策実装またはサービス提供者側の対策状況の確認(ISMAPへの登録有無・SOC2レポートの確認等)を行う必要があります。「クラウドだからベンダー任せ」で済まない点を確認しておきましょう。

④ 攻撃等の防御(48項目)

★3で最も対応負荷が高い領域です。多くの企業がここでつまずきます。

  • 多要素認証(MFA)の全ユーザーへの適用(4-1)
  • 重要情報へのアクセス権管理ルールの策定、パスワードポリシーの策定(4-1)
  • サーバー設置エリアへの入退室管理・可搬媒体のルール策定(4-1)
  • 組織の全要員に対するセキュリティ教育・インシデント発生時の訓練(4-2)
  • 重要データに関するルール策定と暗号化(4-3)
  • 適切なバックアップの実施(4-3)
  • ハードウェア・OS・ソフトウェアの保護とログの取得(4-4)
  • 内外のネットワーク分離と境界部分の防護(4-5)

ポイント: ★3の要求事項の中で項目数が最も多い領域です。端末管理・ID管理・ネットワーク管理が個人任せ・部門任せになっていると、対応状況の証明が困難になります。

⑤ 攻撃等の検知(3項目)

  • ネットワーク接続とデータ転送の監視
  • 不正アクセスの検知・遮断とアラートの仕組み整備

⑥ インシデントへの対応(6項目)

  • インシデント発生時の対応手順整備(手順書・連絡体制・報告先)

⑦ インシデントからの復旧(1項目)

  • バックアップの確保と復元時間の確認
  • インシデント発生後の復旧手順整備

6. SCS評価制度対応で企業がつまずきやすいポイント

制度対応を進める企業の現場では、次のような課題が典型的に発生しています。

① 何から始めるべきか分からない

7領域・81項目の評価基準と多岐にわたるため、全体像を把握しないまま個別の対策に着手してしまい、優先順位が定まらないケースが多くあります。まず「一つ一つの項目の難易度はそこまで高くないが、量が多い」という全体像を踏まえ、現状の棚卸しと優先度の整理から始めることが重要です。

② 対策状況を証明しづらい

ルール・手順書は存在するが、実際に運用されている証跡(エビデンス)がないという状況が頻発します。★3は「専門家確認付き自己評価」であり、セキュリティ専門家がルール・ツール・エビデンスの3点セットを確認します。「やっている」だけでなく「証明できる」状態にする必要があります。

「証明できる」状態の具体例としては、MFA適用であれば「全アカウントにMFAが有効になっている設定画面のスクリーンショット+適用率のレポート」、パッチ管理であれば「定期適用を実施した日付・対象端末・適用バージョンの記録ログ」、アカウント棚卸しであれば「棚卸しの実施記録と削除・無効化対応の履歴」といったものが該当します。対策を実施する段階から、同時に証跡を残す習慣をつけることが重要です。

③ 端末・ID・SaaSの管理が分散している

クラウドサービスの普及により、管理対象の端末・アカウント・SaaSが複数の部門・システムにまたがって分散しているケースが増えています。たとえば退職者が発生した際、複数のSaaSそれぞれでアカウントを削除する手順が統一されていなければ、「4-1-1-3(ユーザーIDが不要になった場合、速やかに削除または無効化すること)」を継続的に証明することが困難です。

④ ルールはあるが運用実態を把握できない

方針文書や規程は整備されていても、現場での実施状況をリアルタイムに把握できていないという課題です。ソフトウェアのパッチ適用状況・MFAを始めとする規定のセキュリティの適用状況・不審端末の有無などを継続的に確認する仕組みがない場合、年次更新のたびに証跡収集に追われることになります。

⑤ ISMS取得済みだから大丈夫という思い込み

ISMSとSCS評価制度は相互補完的な関係にあり、ISMS取得済みの企業は準備を有利に進められます。しかし両者は対象領域が異なり、SCS評価制度が独自に重視する「取引先管理」分野(委託先へのセキュリティ要件提示・監督状況等)については追加のギャップ対応が必要です。「ISMSがあれば十分」と油断せず、差分確認を必ず行ってください。

7. 今から準備すべきこと

SCS評価制度の本格運用は2026年度末が目標とされていますが、取引先からのセキュリティ対応要求はすでに始まっています。制度開始を待つのではなく、今から段階的に準備を進めることが重要です。早い段階から準備を積み重ねることが、認証取得の近道となります。

Step 1:社内のセキュリティルールを把握する(今すぐ)

まず「自社のセキュリティに関するルールがどの程度制定されているか」を把握します。関連ドキュメントを網羅し、一箇所に集めた上で、★3の7領域・81の評価基準を対照表として活用し「対応済み・一部対応・未対応」を仕分けましょう。

Step 2:管理対象を整理する(必要期間:1〜2週間)

次に、自社の物品・SaaSの管理状況の把握から着手します。完全に把握できなくても、「何が不透明な状態なのか」を明確にすることは重要な作業です。モバイル端末・PC端末・使用SaaS・管理者アカウントが誰のものかを一覧化し、「誰が何にアクセスできるか」を可視化します。

Step 3:不足項目を洗い出し、優先順位をつける(必要期間:1〜2週間)

棚卸し結果をもとに未対応・不足している項目を明確にします。優先順位の基準は「リスクの高さ」と「取引先から求められる可能性」の2軸です。MFAの全社展開・バックアップの定期検証・インシデント対応計画の整備は、多くの企業で優先度が高い傾向があります。

Step 4:対策を実施する(必要期間:1〜3カ月)

不足項目に対して、ツール導入・手順書整備・教育実施等の対策を順次進めます。この段階で重要なのは、対策の実施証跡(ログ・設定画面のスクリーンショット・実施記録等)を同時に残すことです。「やった」だけでなく「証明できる」状態を最初から意識してください。

Step 5:継続的に確認できる体制を構築する(必要期間:3カ月〜)

★3の有効期間は1年間のため、年次更新のたびに対策状況を確認・報告できる体制が必要です。人手に頼った定期点検ではなく、管理ツールを活用して常時モニタリングできる状態にすることが、持続的な対応コストを下げる鍵になります。

8. SCS評価制度対応 簡易チェックリスト

自社の現状確認にご活用ください。「○:対応済み」「△:一部対応」「×:未対応」で評価してみましょう。

管理体制・ガバナンス
セキュリティ基本方針が文書化・経営層承認済みか
セキュリティ責任者が指定されているか
経営層への定期的な報告体制があるか
従業員向けのセキュリティ教育を定期的に実施しているか
情報資産・リスク管理
端末・サーバー・クラウドサービスの資産台帳が整備されているか
台帳は最新状態に維持されているか
リスクアセスメントを実施し、記録に残しているか
ID・アクセス管理
全ユーザーにMFA(多要素認証)が適用されているか
不要なアカウントの定期棚卸し・削除ができているか
退職者・異動者のアカウント削除が速やかに行われているか
最小権限の原則に基づいたアクセス制御ができているか
端末・システム管理
全端末にEDRやウイルス対策ソフトが導入・更新されているか
OSおよびソフトウェアのパッチを定期的に適用しているか
業務端末のディスク暗号化が実施されているか
バックアップ・インシデント対応
重要データのバックアップを定期的に取得しているか
バックアップからの復旧テストを実施し、記録しているか
インシデント対応計画(手順書・連絡体制)が策定されているか
インシデント対応計画を定期的に訓練・見直ししているか
委託先管理
委託先にセキュリティ要件を提示し、契約書に盛り込んでいるか
委託先のセキュリティ対策状況を定期的に確認しているか
集計: 0 0 × 0 (未選択:20 件)

チェック結果の見方

×が多い(5個以上):★3取得に向けた本格的なギャップ対応が必要

△が多い:ルールや仕組みは存在するが証跡・運用実態の整備が急務

ほぼ○:セキュリティ専門家による確認に向けた書類整備フェーズへ

9. よくある質問(FAQ)

Q. SCS評価制度はいつから始まるのですか?

2026年3月に経済産業省・内閣官房国家サイバー統括室が制度構築方針を正式公表し、2026年度末(2027年3月頃)の★3・★4本格運用開始が目標とされています。★5については今後具体化される予定です。ただし、取引先への★3取得要求はすでに業界によっては始まっています。

Q. すべての企業が対象になるのですか?

現時点では全企業への義務付けはありません。ただし、発注側企業がサプライチェーン上の取引先に対してSCS評価制度の評価取得を条件とする動きが広がっています。「義務ではないから関係ない」という判断は危険で、取引上のリスクとして捉えることが重要です。

Q. ISMSを取得していれば★3は取得できますか?

ISMSとSCS★3は相互補完的な関係にあり、ISMS取得済みの企業は準備を有利に進められます。ただし、SCS評価制度が独自に重視する「取引先管理」分野(委託先へのセキュリティ要件提示・監督状況等)については追加の対応が必要です。「ISMSがあれば十分」と油断せず、差分確認を必ず行ってください。

Q. まず何から始めればよいですか?

社内のセキュリティ関連ドキュメントを一箇所に集めることと、自社の物品・SaaS・アカウントの管理状況の把握が最初の一歩です。完全に把握できなくても、「何が不透明な状態なのか」を明確にするだけでも重要な作業になります。

Q. ★3の自己評価に必要な「セキュリティ専門家」は誰に頼めばよいですか?

情報処理安全確保支援士・CISA・CISSP・CISM・公認情報セキュリティ監査人・ISO27001主任審査員のいずれかを保有し、かつSCS評価制度の所定研修を修了してIPAに登録された人物が担います。社内の有資格者でも、外部のコンサルタントでも可能です。研修事業者については2026年12月末頃より公表予定です。

Q. 自工会/部工会のサイバーセキュリティガイドラインへの対応とSCSは別ですか?

SCS評価制度は自工会/部工会ガイドラインとの対応関係が明示されており、★3はLv1相当、★4はLv2〜3相当(Lv3は一部)に対応しています。すでに自動車業界のガイドライン準拠を進めている企業は、その取り組みをSCS★3〜★4の対応に活かせる場合が多いです。

10. まとめ

SCS評価制度は、サプライチェーン全体のセキュリティ対策状況を可視化し、取引先との信頼性を高めるための公的な制度です。2026年度末の本格運用を前に、発注側企業からの取得要求はすでに現実のものとなっています。

重要なのは、制度開始を「待つ」のではなく、今すぐ準備を始めることです。早い準備が認証取得の近道となり、対応が遅れるほどコスト・期間が増大します。

  • 今すぐ:社内のセキュリティルール文書の棚卸しと、★3の7領域・81項目の評価基準との照合
  • 1〜2週間:端末・SaaS・IDの管理状況の一覧化と、不透明箇所の特定
  • 1〜3カ月:優先度の高い不足項目(MFA・バックアップ・インシデント対応計画等)の対策実施と証跡確保
  • 3カ月〜:継続的な管理・モニタリング体制の構築

セキュリティ対策は「一度やれば終わり」ではありません。★3の有効期間は1年で、毎年更新が必要です。継続的に対策状況を把握・証明できる仕組みを、今のうちに構築しておくことが中長期的な対応コストを下げる鍵となります。

SCS★3対応では、

  • 資産管理
  • ID管理
  • SaaS管理
  • 証跡収集

の継続運用が課題になります。

これらを手作業で維持するのは負荷が高いため、統合管理ツールの活用も有効です。

その一例として、OPTiM Biz Premiumをご紹介します。

11. OPTiM Biz Premiumとは

OPTiM Biz Premium サービスサイト

OPTiM Biz Premiumは、株式会社オプティムが提供する情シス・IT管理者向けの統合管理プラットフォームです。「統合ダッシュボード」「社内ITサポートAI」「スマホ・PC管理(MDM)」「ID管理」「SaaS管理」「物品管理」を1ツールで一元化し、分散しがちな資産・ID・セキュリティ管理の負荷を解消します。

OPTiM Biz PremiumでSCS評価制度への対応をスムーズに

SCS評価制度★3の対応では、ハードウェア・OS・ソフトウェアの資産把握、ID・アカウント管理、多要素認証、アクセス制御といった「攻撃等の防御」領域の項目が全81項目中48項目を占め、対応負荷が最も集中します。OPTiM Biz Premiumでは、これらツール対応が必要な項目の約半数を1製品でカバーできます。

OPTiM Biz Premiumで対応できる主な評価基準

対応領域評価基準(例)OPTiM Biz Premiumの機能
資産管理ハードウェア・OS・ソフトウェアの把握(3-1-1)、安全な構成(4-4-1)OPTiM Biz / OPTiM Asset
ID・認証管理ユーザーIDの管理手続(4-1-1)、認証強度の決定(4-1-3)、アカウントロック制御(4-1-4)、パスワード設定ルール(4-1-5)OPTiM ID+(IDaaS)
多要素認証認証の強度・実装方法の決定(4-1-3)OPTiM ID+
SaaS管理ハードウェア・OS・ソフトウェアの把握(3-1-1)OPTiM サスマネ
機密情報管理機密区分に応じた情報の管理(3-1-4)OPTiM Contract / 文書管理

特に退職者・異動者発生時のアカウント管理は、複数のSaaSに分散したIDをOPTiM ID+で一元管理することで、「OPTiM IDからアカウントを削除すれば連携するMDMや他サービスの権限も同時に無効化される」というフローを実現できます。これにより★3の要求事項「ユーザーIDが不要になった場合、速やかに削除または無効化すること(4-1-1-3)」を継続的に証明できる運用体制が構築できます。

SCS評価制度への対応にOPTiM Biz Premiumの活用をご検討の方は、お気軽にオプティムまでお問い合わせください。

OPTiM Biz Premium 資料ダウンロードはこちら

OPTiM Biz Premium お問い合わせはこちら

出典

・経済産業省・国家サイバー統括室、サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ事務局「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(令和8年3月版)(2026/03/27公開)

IPA、要求事項・評価基準「★3・★4 要求事項・評価基準.xlsx」(2026/04/21更新)

本記事は2026年6月時点の公開情報をもとに作成しています。制度の詳細はIPA公式サイト(https://www.ipa.go.jp/security/scs/)および経済産業省の発表をご確認ください。

このブログの免責事項について

「OPTiM Biz Premium」に関するお問い合わせはこちら