近年、サプライチェーンに起因するサイバー攻撃や被害事例が増加傾向にあります。
自社が直接攻撃を受けていなくても、

• 委託先・協力会社からの不正侵入
• 取引先の事故をきっかけとした業務停止
• サプライチェーン全体への影響拡大

といった形で、事業継続に深刻な影響が及ぶケースが後を絶ちません。

こうした状況の中、発注側・受注側の双方で、次のような課題が顕在化しています。

こうした課題を解決するため、経済産業省では、
企業のセキュリティ対策状況を共通の基準で評価・可視化する仕組みとして、

「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の構築を進めています。

本制度の大きな特徴は、取引先に提示可能なセキュリティ対策レベルを★3／★4／★5の3段階で示せる点です。

これにより、

• 自社のセキュリティ対策レベルを客観的に説明できる
• 取引先とのセキュリティ要求のすり合わせが容易になる

といったメリットが期待されています。

※本制度は、主にサプライチェーンを構成する企業の情報セキュリティ対策を対象としています。
※企業間の優劣を競う「格付け制度」ではありません。

• 基礎的なシステム防御策
• 情報セキュリティ体制の整備

を中心に実施する段階です。
（専門家確認付き自己評価を想定）

• 組織ガバナンス
• 取引先管理
• システム防御・検知
• インシデント対応

など、包括的なセキュリティ対策を実施します。
（第三者評価を想定）

• 国際規格等に基づくリスクベースの考え方
• 継続的な改善プロセスの整備
• 現時点のベストプラクティスに基づく技術的対策

を実施する段階です。
（第三者評価を想定）

※令和8年度以降、対策基準や評価スキームの具体化が検討される予定です。

★3および★4については、令和8年度末頃の制度開始を目標に、制度運営基盤の整備や導入促進が進められています。

（※現時点では予定であり、今後変更される可能性があります）

つまり、
「制度が始まってから考える」のではなく、今から準備を進めることが重要です。

① SECURITY ACTIONの宣言はお済みですか？

「SECURITY ACTION」は、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。

補助金・助成金の申請要件として採用されるケースも多く、すでに対応されている企業も増えています。

• ★一つ星
  　「情報セキュリティ5か条」への取り組み
• ★★二つ星
  　自社診断の実施と、情報セキュリティ基本方針の策定・公開

※本ページ内の★3～★5（SCS評価制度）とは異なる制度ですが、セキュリティ対策の第一歩として非常に有効です。

② 自社のセキュリティ対策状況を把握できていますか？

★3（★4）の取得を検討するうえで、自社の現状を客観的に把握することが不可欠です。

• IT資産の把握はできているか
• どこに脆弱性が潜んでいるか
• ルールや体制は形だけになっていないか

そのうえで、

• 情報セキュリティ基本方針・インシデント対応ルールの整備
• 従業員向け標的型攻撃メール訓練
• IT資産管理、UTM、バックアップ、ウイルス対策の導入

などを、自社の実情に合わせて段階的に進めていくことが重要です。

エイコーでは、

• SECURITY ACTION対応支援
• セキュリティ対策状況の可視化・課題整理
• SCS評価制度を見据えた段階的な対策支援　　を行っています。

「うちは、どこまで対応できているのだろう？」

セキュリティ対策は、「何をどこまでやれば十分なのか」が分かりにくい分野です。

SCS評価制度への対応を検討していても、
・自社のレベルが★3に届いているのか分からない
・今の対策で、取引先から求められる水準を満たせるのか不安

そう感じている企業様は少なくありません。

エイコーでは、現状の整理から、無理のない対策の進め方までご支援しています。

• IT資産管理：社内IT資産を一元管理

• バックアップ：障害・感染時の迅速な復旧支援

• UTM（統合脅威管理）：不正アクセス・迷惑メール対策

• エンドポイント対策（AI対応）：未知の脅威への予防

• セキュリティ教育（eラーニング）：社員のリテラシー向上

（参考）

「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（SCS評価制度の構築方針（案））を公表しました （METI/経済産業省）

サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)　令和7年12月

SECURITY ACTIONとは？（独立行政法人 情報処理推進機構（IPA））

お問い合わせ