サプライチェーンセキュリティのトリセツ

カテゴリー: 制度を理解する

  • SCS評価制度とは何か:なぜ必要で、取得するとどんないいことがある?

    作成日: 2026-06-05

    はじめに

    「SCS対応をやらなければいけない気はしているが、何をすればいいかわからない」

    そんな状態でこの記事にたどり着いた方に向けて書いています。

    まず安心してほしいのですが、それは当然の反応です。SCS評価制度はまだ準備フェーズで、2026年度末(2027年初頭)の本格運用開始に向けて整備が進んでいます。専門家でも全容を把握しきれていない部分があります。私自身も情報を追いかけながらこのブログを書いています。

    今回は、制度の概要を「最低限これだけ知っていれば話についていける」レベルで整理します。難しい説明や公式の詳細は経産省のページに任せます。一緒に全体像を掴みましょう。

    SCS評価制度とは何か

    正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」、略してSCS評価制度と呼ばれています。

    一言で言うと、企業のサプライチェーン全体のセキュリティ対策レベルを共通の物差しで可視化する仕組みです。国が企業のレベルを競わせる「格付け・認定」ではなく、「自社のセキュリティ対策状況を示せるようにする」ことが目的です。

    評価の方式はレベルによって異なります。★3は企業自身による自己評価にセキュリティ専門家の確認・助言を組み合わせた形、★4は認定評価機関による第三者評価と技術検証が求められます。詳しくは後述します。

    主導しているのは経済産業省と内閣官房(国家サイバー統括室)で、IPA(独立行政法人情報処理推進機構)が事務局として制度運営を担う体制です。2026年3月に「制度構築方針」が正式公表され、2026年度末(2027年初頭)の本格運用開始に向けて、現在まさに評価基準や申請フローの整備が具体的に進んでいます。

    サプライチェーンセキュリティがなぜ問題になっているのか

    「サプライチェーン攻撃」とは、大企業を直接狙うのではなく、その取引先(サプライヤー)を踏み台にして侵入する手口です。大企業のシステムは年々堅牢になっている一方、取引先のセキュリティが手薄だと、そこが入口になります。

    国内でもその現実を突きつけた事例があります。

    【事例】小島プレス工業へのランサムウェア攻撃(2022年2月)

    トヨタ自動車のサプライヤーである小島プレス工業は、2022年2月26日にランサムウェア攻撃を受けました。その結果、翌3月1日にトヨタ自動車の国内全14工場が操業を停止しました。

    この一連の経緯は、トヨタイムズ(トヨタ自動車の公式メディア)が動画として公開しており、実際に対応にあたった方々の言葉で語られています。「サイバー攻撃」と聞いても、ニュースの向こう側の出来事のように感じてしまう方も少なくないかもしれません。実際にインシデントを経験された生の声に触れる機会は、そう多くないからです。だからこそ、今回の事例は「もし自社で起きたら」と想像しながら、ぜひ一度ご覧になってみてください。

    出典:トヨタイムズ「小島プレス、サイバー被害から1年 苦難乗り越え深めた絆」
    https://toyotatimes.jp/newscast/008.html

    この事例が示すのは、「攻撃を受けるのは大企業だけではない」という現実です。むしろ、セキュリティリソースが限られた中堅・中小のサプライヤーこそが狙われやすく、その影響が取引先全体に波及します。

    SCS評価制度は、こうした「サプライチェーン全体のセキュリティ」を可視化・標準化しようという取り組みです。

    なぜ今、対応が必要なのか

    「うちはまだ取引先から何も言われていない」という企業もあるかもしれません。ただ、制度の性質上、以下のような流れが予想されます。

    1. 大手企業・官公庁がSCSの取得を取引条件にし始める
      すでに一部の大企業では、取引先に対してセキュリティ要件を文書で求め始めています。SCS評価制度はその要件の「共通基準」になる可能性があります。
    2. 対応が遅れると取引から外れるリスクが生まれる
      「SCS未対応だから別の取引先に切り替える」という判断が、大手企業側でされるようになる可能性があります。
    3. 準備には時間がかかる
      制度への対応は、書類を揃えて終わりではなく、社内の仕組みや規則を整えることが求められます。急に言われてから動き出すと間に合わないケースも出てきます。

    「まだ何も言われていない」今のうちに概要を把握しておくことが、後々の余裕につながります。

    取得するとどんないいことがあるか

    「コストをかけて取得して、何がメリットなのか」という疑問は当然だと思います。

    メリット1:取引の継続・拡大につながる

    取引先から「SCS評価を取得していること」が条件になった場合、対応済みであればスムーズに取引を続けられます。逆に、未対応だと取引見直しのリスクがあります。

    また、SCS対応済みであることが新規の取引先開拓での差別化になる可能性もあります。

    メリット2:社内のセキュリティが実際に強くなる

    SCS対応のプロセスを通じて、社内のセキュリティ体制を見直すことになります。「やらされている」という感覚になりがちですが、結果として自社のセキュリティが実際に強化されます。

    インシデントが起きてから対応するのと、事前に仕組みを作っておくのでは、コストも影響範囲も大きく違います。

    メリット3:社内の「セキュリティへの理解」が上がる

    SCS対応は、セキュリティ担当者だけで完結しません。経営層の承認、各部門の協力が必要になります。対応を進める中で、社内でセキュリティへの関心が高まるという副産物があります。

    ★3と★4の違い:まず何を目指すか

    SCS評価制度には評価のレベルがあり、現在は★3と★4が中心です(★5は今後の話になります)。

    ★3(スター3)

    • 位置づけ: セキュリティ対策の「基礎」が整っていることを示すレベル
    • 評価方式: 企業による自己評価 + セキュリティ専門家による確認・助言
    • 要求事項: 153項目のうち81項目が対象
    • 対象: 中堅・中小企業を含む幅広い企業が最初に目指すレベル
    • まず目指すべきはここ

    ★4(スター4)

    • 位置づけ: ★3の上位。より高度なセキュリティ対策が求められる
    • 評価方式: 認定評価機関による第三者評価 + 技術検証
    • 要求事項: 153項目すべてが対象
    • 対象: 大企業、またはサプライチェーンの中で重要な位置にいる企業
    • ★3を取得してから検討する

    【数字について補足】

    ネット上では★3が83項目・★4が157項目と紹介されている記事もあります。これは2025年12月時点の情報で、私が確認する限りでは2026年3月の更新後に数字が変わっているようです。この記事では更新後の数字(★3:81項目・★4:153項目)を使用しています。

    制度はまだ整備中で、今後も数字や要件が変わる可能性があります。最新の情報は必ず公式ページで確認するようにしてください。

    参考:経済産業省プレスリリース(2025年12月)
    https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
    参考:経済産業省プレスリリース(2026年3月・最新)
    https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html

    どちらを目指せばいいか

    多くの中堅・中小企業にとって、まずは★3の取得が現実的な目標です。取引先から求められるレベルが★3なのか★4なのかは、相手の企業によって異なります。取引先から具体的な要求が来た場合は、何★を求められているかを確認するようにしてください。

    実は★1・★2もある

    あまり知られていないかもしれませんが、★1と★2もあります。これらはIPAが運営する「SECURITY ACTION」という既存の自己宣言制度がベースになっています。

    • ★1(一つ星): 情報セキュリティ5か条に取り組むことを自己宣言する
    • ★2(二つ星): 情報セキュリティ基本方針を策定・公開することを自己宣言する

    どちらも自己宣言のみで取得でき、費用もかかりません。「セキュリティ対応を何もしていない」という企業が最初の一歩として取り組める入口として位置づけられています。

    参考:IPA「SECURITY ACTION」
    https://www.meti.go.jp/policy/netsecurity/security_action.html

    私自身、★1・★2の取得支援に関わった経験があります。「まず何か形にしたい」という段階の企業にとっては、ここから始めるのも一つの選択肢です。

    このブログが目指していること

    ここで少し、このブログの目的をお伝えしておきます。

    私はグローバルな製造業グループのCSIRTリーダーとして働いており、セキュリティ製品を売る立場ではありません。自動車部品メーカーに勤めているため、取引先にセキュリティ要件を「求める側」であり、完成車メーカーから要件を「求められる側」でもあります。

    その立場から、「このブログを読んだ担当者が、経営者を動かすための言葉と資料を手に入れられる」ことを目指して書いています。

    ベンダーには書けない「要求する側の現場目線」を込めるのが、このブログの差別化です。難しい言葉をわかりやすく言い換えるだけでなく、「現場では実際にどう判断するか」という視点を大事にします。

    次回の予告

    次回は、SCS対応を進める上でよく話題に上がる「ベンダーに頼む」という選択肢を整理します。

    SCS支援を打ち出しているベンダーの情報や費用感の現実をお伝えしつつ、「自力でやる」選択肢とこのブログの役割についても改めて整理します。

    「ベンダーに相談すべきか、まず自分で勉強すべきか」という判断の材料になれば幸いです。

    相談してみませんか?

    この記事を読んで「自社の場合はどこから手をつければいいか、ちょっと聞いてみたい」という方は、お気軽にご連絡ください。

    私はセキュリティ製品を「売る側」ではなく、サプライヤーにセキュリティ要件を「求める側」の現場にいます。グローバル製造業グループでCSIRTリーダーを3年務め、CISSP・情報処理安全確保支援士を保有しています。また、IPA(情報処理推進機構)が公開している「中小企業向けサイバーセキュリティ対策支援者リスト」に登録しています。現在は一般公開していませんが、ご連絡いただき実際に支援をさせていただく場合は、情報を公開する予定です。会社で副業が禁止されているため、支援はボランティアとして実施します。そのため、本業に影響がない範囲でやらせていただくため、あまりリソースを割けない可能性があることはご容赦ください。ご相談内容は外部に開示しません。

    → IPA 中小企業向けサイバーセキュリティ対策支援者リスト
    https://www.ipa.go.jp/security/sme/shien/list.html

    正解を押しつけるのではなく、一緒に整理するつもりでお話しします。「相談するほどでもないかも」という段階でも構いません。

    ただ、SCSに便乗した不適切な勧誘や詐欺的なサービスも増えています。私のことも含め、見知らぬ相手を簡単に信用しすぎないようご注意ください(私を信用してほしいのに矛盾していますが、こういうことを正直に言える人間だと思っていただければ幸いです)。経産省の公式情報も必ず参照するようにしてください。

    → サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)に係る不適切な勧誘に御注意ください
    https://www.meti.go.jp/policy/netsecurity/20260427_scs.html

    お問い合わせはこちら

    CISSP・情報処理安全確保支援士 | けい