サプライチェーンを守る新常識！セキュリティ対策評価制度（SCS評価制度）を徹底解説

2026/1/21追記：
2025/12/23に行われたワーキンググループで新しく発表された情報に基づき、以下の点で修正・追記を行いました。

• 制度の呼称
• 評価項目

はじめに

近年、企業のセキュリティ対策は「自社だけ守ればよい」という時代から、「取引先やサプライチェーン全体で守る」時代へと変わりつつあります。背景には、サプライチェーンを狙ったサイバー攻撃の急増があります。取引先のセキュリティが甘ければ、自社もリスクにさらされる――こうした現状を受け、経済産業省や関連機関が中心となり、統一された基準で企業のセキュリティ評価を行う「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の検討が進められています。
本記事では、SCS評価制度の定義や目的、今後のスケジュール、そして企業が今できることをわかりやすく解説します。

情シス・IT管理者目線で考えるサプライチェーン強化に向けたセキュリティ対策評価制度解説セミナー

2/19(木)にSCS評価制度に関するセミナーを開催予定しています。
「もっと知りたい！」という方へ、SCS評価制度の内容を解説し、★獲得の準備のためのセミナーのご案内もご用意しています。
お気軽にお申し込みください。

サプライチェーン強化に向けたセキュリティ対策評価制度とは

公式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」で、暫定的な略称はSupply-Chain Securityの頭文字を取って「SCS評価制度」となっています。企業のセキュリティ対策レベルを一定の基準で評価し、可視化する仕組みです。これにより、発注側は取引先のセキュリティ水準を簡単に把握でき、受注側は毎回異なるチェックシート対応の負担を減らせます。

これが必要となった背景として、特にサプライチェーン攻撃の増加が挙げられます。直近でも、基幹システムのランサムウェア感染によってシステム障害が発生し、配送を担当している子会社でも障害が発生、これにより請け負っている取引先のサービスにも影響が広がった事例がありました。

企業間でセキュリティ対策のばらつきが大きいことに加え、発注企業には相手先の企業が「どこまで対策しているか」が見えず、受注企業は「毎回異なるセキュリティチェックシート」に対応しなければならないという現状があります。
こうした課題を解決するため、共通の評価制度が必要とされているのです。

SCS評価制度の仕組み

この制度では、セキュリティ対策を段階的に評価します。現時点で検討されているのは以下の5段階です。

★1、★2：IPA独立行政法人が提供する「SECURITY ACTION」に基づく自己宣言レベル
★3 Basic：基礎的なシステム防御策と体制整備を中心とした最低限の対策（専門家確認付き自己評価^※1、83項目（要求事項は25→26項目へ変更））
★4 Standard：組織ガバナンス・取引先管理、システム防御・検知、インシデント対応といった標準的な包括対策（第三者評価^※2、157項目（要求事項は44→56項目へ変更））
★5 Advanced：国際規格にも用いられるリスクベースの考え方に基づく対策（第三者評価^※2、項目は詳細検討中）

※1 専門家確認付き自己評価：★取得を希望する組織が行った自己評価に対して、社内外のセキュリティ専門家による確認及び助言を経て、当該組織の評価結果として確定させることを指します ※2 第三者評価：★取得を希望する組織が自ら実施した評価結果に、外部組織（評価機関）による評価等を経て、評価結果として確定させることを指します。

★3以上が今回の新制度の対象で、企業規模や業界に応じて取得が期待されています。 ★3、★4を取得し、公開を希望した企業は公表され、発注企業はリストを参照すれば受注企業が評価を受けているか、どの評価を獲得しているかを確認することができます。

セミナーで詳しく確認する

今後のスケジュール

現在公開されている中間取りまとめでは、以下のスケジュールが予定されています。

★1〜★5
2025年12月：制度構築方針案公表（実施済み）
2026年3月ごろ：制度構築方針公表

★3、★4
2025年12月：要求事項・評価基準・評価スキーム案の確定
2025年度末～2026年度末：制度詳細化及び運用開始準備
2026年度末：制度運用開始予定

★5
スケジュール未定（国際規格対応を検討中）

※ 2026/1追記：全体的に3ヶ月ほど後ろ倒しになっています。

このため、企業は2026年度の制度開始に向けて準備を進める必要があります。

今できること

「まだ制度が始まっていないから何もしなくていい」――そう考えるのは危険です。今からできる準備はたくさんあります。

現状把握

まずは自社のセキュリティ対策を棚卸し、IPAの「SECURITY ACTION」で★1、★2を取得しましょう。
https://www.ipa.go.jp/security/security-action/

取得にあたり、どちらに取り組むか★1または★2を選ぶ必要があります。★2を取得する前に★1を取得している必要はなく、★2から取得することも可能です。

★1における宣言内容は5つです。

1. OSやソフトウェアを常に最新にする
2. ウイルス対策ソフトを導入し、最新の状態に保つ
3. パスワードを推測されにくいものにすることで、強化する
4. 共有設定を見直し、不要な共有は解除する
5. 脅威や攻撃の手口を知り、従業員に注意喚起する

★2では以下の2つの作業が必要です。

1. 「5分でできる！情報セキュリティ自社診断」のチェックリストからチェックを行う
   https://www.ipa.go.jp/security/sme/f55m8k0000001waj-att/000055848.pdf
2. 情報セキュリティ基本方針を策定し、外部へ公開する

申し込みを行って1-2週間程度でロゴマークの使用が可能となります。
さらにその1-2週間後に宣言事業者一覧に掲載されます。

必要なツールの導入

★3、★4の評価基準には、MDM（モバイルデバイス管理）や資産管理、バックアップ、ID管理、アクセス管理などが含まれます。詳細こそ確定していないものの、内容はある程度固まっていると言ってよいでしょう。特に資産管理、ID管理、データセキュリティについては★3でも必要ですし、令和5年度版の政府統一基準（政府機関等のサイバーセキュリティ対策のための統一基準群 ^※3）にも該当項目があるため、ツールの選定を進めておいて損はありません。

※3 政府機関等のサイバーセキュリティ対策のための統一基準群 ：政府機関等が講ずるべき情報セキュリティ対策のベースラインを定めています。民間企業は、政府機関等から業務委託を受ける場合にはサプライチェーンにおけるセキュリティ向上のため、これを満たしている必要があります。

社内教育

★2までの対策でも従業員へのルール周知がありますが、★3以降でも引き続き従業員へのルール周知や教育は必要となります。

• 情報セキュリティ研修を実施する
• サプライチェーンリスクに関する理解を深める

これらの研修や教材の作成については、設計や計画および内容の浸透に時間がかかるため、計画的に進めておきましょう。

おわりに

SCS評価制度は、企業の信頼性を高める新しい仕組みです。2026年度末の制度開始に向け、今から準備を始めることが重要です。
今後もSCS評価制度に関して、オプティム製品では何ができるかを含め、定期的にお知らせしていきます。
この機会に自社のセキュリティ対策を棚卸しすることから始めてみませんか？

※ 制度の詳細は変更される可能性があります。最新情報は経済産業省等の公式発表をご確認ください。