「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の対応を任されてしまったけど、何をすればいいのかわからない」
そう感じている方のために、情報をまとめてみようと思いました。
2026年度から、経済産業省とIPAが「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」を本格的に動かし始めています。取引先からSCS対応を求められる企業が増えてきており、担当者も経営者も、どこから手をつければいいのか、まだ手探りの状態ではないでしょうか。
ネットで検索すると、ベンダーの解説記事がたくさん出てきます。ただ、最後は自社サービスへの誘導で終わるものが多く、「とにかく中立的に、現場目線で整理された情報」はまだ少ないのではないかと感じています。
このブログは、そういう情報の空白を少しでも埋められたらという気持ちで書いています。制度の解説から、社内での進め方、経営層への説明まで、実際に使える形でお届けできるよう努めます。
書いている人
グローバルな製造企業のセキュリティ部門で、CSIRTリーダーとして働いています。
普段の仕事は、セキュリティ製品を売ることではなく、インシデント対応や、「取引先にどのレベルのセキュリティ対策を求めるか」の基準づくりと社内への落とし込みです。毎日、判断に迷うことばかりです。
大きな組織にいると、セキュリティ専任者がいるのは当たり前になっています。でも、1000人以下の企業では、セキュリティを専任で担当できる人材の確保が難しかったり、ベンダーに相談するほどの予算を確保できなかったりするケースも多いと思います。詳しい人に少し相談できれば解決することも多いはずで、そういう方たちのお役に立てることがあれば、と思っています。
CISSP・情報処理安全確保支援士を取得していますが、自分もまだまだ勉強中です。気づいたことがあればぜひ教えてください。
実名・社名は出しませんが、現場での経験や判断をできる限り込めるようにしています。
このブログが書かないこと
- 特定のセキュリティ製品・サービスの推奨
- 「これをやれば大丈夫」という根拠のない断言
SCS制度への対応は、企業の規模・業種・既存の認証取得状況によって、必要なことが変わってきます。このブログで提供できるのは「判断のための情報と視点」です。個社の判断は、読んだ方ご自身、または信頼できる専門家と一緒に行っていただくのが良いと思っています。
相談してみませんか?
こんな方に向いています。
- SCS対応をやらなければいけない気はしているが、何から手をつければいいかわからない
- 社内やベンダーに聞いても、自社の規模・状況に合った答えが返ってこない
- 経営層に説明しなければならないが、自分でも整理できていない
ブログの記事で解決しない部分は、メールでご相談いただけます。
私はセキュリティ製品を「売る側」ではありません。自動車部品メーカーに勤めているため、サプライヤーにセキュリティ要件を「求める側」であり、完成車メーカーから要件を「求められる側」でもあります。両方の立場を経験しているのが、このブログの視点の源泉です。グローバル製造業グループでCSIRTリーダーを3年務め、CISSP・情報処理安全確保支援士を保有しています。ご相談内容は外部に開示しません。
IPA(情報処理推進機構)が公開している「中小企業向けサイバーセキュリティ対策支援者リスト」にも登録しています。過去に医療系ベンチャー企業のセキュリティアクション自己宣言の取得支援をした経験があります。現在は会社で副業が禁止されているため、支援はボランティアとして実施します。ご連絡いただき実際に支援をする場合は、リスト上の情報を公開する予定です。
SCSに便乗した不適切な勧誘や詐欺的なサービスも増えているようです(経産省も注意喚起を出しています)。私のことも含め、見知らぬ相手を簡単に信用しすぎないようご注意ください(私を信用してほしいのに矛盾していますが)。経産省・IPAの公式情報も必ず参照するようにしてください。
→ IPA 中小企業向けサイバーセキュリティ対策支援者リスト https://www.ipa.go.jp/security/sme/shien/list.html
→ ここから始めるセキュリティ!―SECURITY ACTION自己宣言― https://www.meti.go.jp/policy/netsecurity/security_action.html
→ 経済産業省・内閣官房 SCS評価制度に関する注意喚起(不適切な勧誘にご注意ください) https://www.meti.go.jp/policy/netsecurity/20260427_scs.html
CISSP・情報処理安全確保支援士 | けい