(更新情報)令和8年3月27日 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました
主な更新点(抜粋)
・ 評価段階: ★3~★5の3段階。★3・★4は2026年度末頃に申請受付開始予定。
・ 対象範囲: IT基盤(クラウド含む)が対象。※OT(制御技術)は対象外。
・ 支援策: 中小企業向けの支援策(お助け隊サービス新類型)も整備。
サプライチェーン強化に向けた
セキュリティ対策評価制度(SCS評価制度)と今企業が取るべき対応とは
1.なぜ今「セキュリティ対策評価制度」が重要なのか?
近年、サプライチェーンに起因するサイバー攻撃や被害事例が増加傾向にあります。
自社が直接攻撃を受けていなくても、
- 委託先・協力会社からの不正侵入
- 取引先の事故をきっかけとした業務停止
- サプライチェーン全体への影響拡大
といった形で、事業継続に深刻な影響が及ぶケースが後を絶ちません。
こうした状況の中、発注側・受注側の双方で、次のような課題が顕在化しています。
発注側企業:
取引先ごとのセキュリティ対策状況を客観的に把握できず、どこまで対策を求めるべきか判断が難しい
委託先企業:
取引先ごとに異なる要求事項への対応を求められ、過度な負担や対応漏れが発生しやすい
2.サプライチェーン強化に向けた「セキュリティ対策評価制度(SCS評価制度)」とは?
こうした課題を解決するため、経済産業省では、
企業のセキュリティ対策状況を共通の基準で評価・可視化する仕組みとして、
「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築を進めています。
本制度の大きな特徴は、取引先に提示可能なセキュリティ対策レベルを★3/★4/★5の3段階で示せる点です。
これにより、
- 自社のセキュリティ対策レベルを客観的に説明できる
- 取引先とのセキュリティ要求のすり合わせが容易になる
といったメリットが期待されています。
※本制度は、主にサプライチェーンを構成する企業の情報セキュリティ対策を対象としています。
※企業間の優劣を競う「格付け制度」ではありません。
3.セキュリティ対策レベル(★)の考え方
★3
すべてのサプライチェーン企業が最低限実装すべき対策レベル
- 基礎的なシステム防御策
- 情報セキュリティ体制の整備
を中心に実施する段階です。
(専門家確認付き自己評価)
★4
サプライチェーン企業等が標準的に目指すべき
対策レベル
- 組織ガバナンス
- 取引先管理
- システム防御・検知
- インシデント対応
など、包括的なセキュリティ対策を実施します。
(第三者評価)
★5
サプライチェーン企業等がさらに目指すべき高度な
対策レベル
- 国際規格等に基づくリスクベースの考え方
- 継続的な改善プロセスの整備
- 現時点のベストプラクティスに基づく技術的対策
を実施する段階です。
(第三者評価)
※★5については、2026年度以降、要求事項・評価基準や評価スキームの具体化を検討予定
4.制度開始に向けて、今から準備すべきこと
★3および★4については、2026年度末頃の制度開始(申請受付の開始)を目標に、制度運営基盤の整備や導入促進が進められています。
★5については、2026年度以降、要求事項・評価基準や評価スキームの具体化を検討となっています。
(※現時点では予定であり、今後変更される可能性があります)
つまり、
「制度が始まってから考える」のではなく、今から準備を進めることが重要です。
Q. | ★3や★4の取得は必須ですか? それとも任意ですか? |
|---|---|
A. | 本制度は、事業者間で委託元から委託先に対して求めるセキュリティ水準を分かりやすく提示し、サプライチェーン全体のセキュリティ水準を高めることを目的とした任意の制度です。 ★の取得は委託元(または委託先)との取引契約において決められるものであり、本制度として何らかの規制を課すものではありません。 |
Q. | SCS評価制度は、どのような業種や企業規模に適用されるのですか? |
|---|---|
A. | 業種や事業規模を問わず、幅広い事業者が対象となり得ます。サプライチェーンを構成する企業等を対象としていますが、取引先からの要請が無くても、各企業が自らのサイバーセキュリティ対策状況を可視化するために、マーク(★)を自主的に取得することも考えられます。 |
5.まず取り組むべき2つのステップ
① SECURITY ACTIONの宣言はお済みですか?
「SECURITY ACTION」は、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。
補助金・助成金の申請要件として採用されるケースも多く、すでに対応されている企業も増えています。
- ★一つ星
「情報セキュリティ5か条」への取り組み
※本ページ内の★3~★5(SCS評価制度)とは異なる制度ですが、セキュリティ対策の第一歩として非常に有効です。
② 自社のセキュリティ対策状況を把握できていますか?
★3(★4)の取得を検討するうえで、自社の現状を客観的に把握することが不可欠です。
- IT資産の把握はできているか
- どこに脆弱性が潜んでいるか
- ルールや体制は形だけになっていないか
そのうえで、
- 情報セキュリティ基本方針・インシデント対応ルールの整備
- 従業員向け標的型攻撃メール訓練
- IT資産管理、UTM、バックアップ、ウイルス対策の導入
などを、自社の実情に合わせて段階的に進めていくことが重要です。
6.エイコーのご支援について
エイコーでは、
- SECURITY ACTION対応支援
- セキュリティ対策状況の可視化・課題整理
- SCS評価制度を見据えた段階的な対策支援 を行っています。
「うちは、どこまで対応できているのだろう?」
セキュリティ対策は、「何をどこまでやれば十分なのか」が分かりにくい分野です。
SCS評価制度への対応を検討していても、
・自社のレベルが★3に届いているのか分からない
・今の対策で、取引先から求められる水準を満たせるのか不安
そう感じている企業様は少なくありません。
エイコーでは、現状の整理から、無理のない対策の進め方までご支援しています。
まずはお気軽に、現状のお悩みをお聞かせください
エイコーがご提案する主なサイバー攻撃対策
• IT資産管理:社内IT資産を一元管理
• バックアップ:障害・感染時の迅速な復旧支援
• UTM(統合脅威管理):不正アクセス・迷惑メール対策
• エンドポイント対策(AI対応):未知の脅威への予防
• セキュリティ教育(eラーニング):社員のリテラシー向上
200名以上にお申込みいただいた大好評セミナー!!
セキュリティ対策評価制度セミナー【開催レポート】
3月24日に、セキュリティ対策評価制度の概要と、当社の取り組み・対応のロードマップなどをお伝えするセッションの2部構成でセミナーを開催し、181社/242名にお申込みをいただきました。視聴いただいた方へのアンケートでは・・・
お問い合わせ
株式会社エイコー セールスマーケティンググループ
Mail: eicoh-inside@eicoh.com Tel: 0120-506-815
東京本社 :〒105-0013 東京都港区浜松町1-30-5 浜松町スクエア3 階
大阪本社 :〒542-0081 大阪府大阪市中央区南船場2-5-2 エイコービル
名古屋支店 :〒450-0001 愛知県名古屋市中村区那古野1-47-1 名古屋国際センタービル20F
福岡支店 :〒810-0001 福岡県福岡市中央区天神三丁目10-30 オフィスニューガイア天神4F
Copyright(c) Eicoh Co., Ltd. All rights reserved.