SCS評価制度自動車業界の対応｜Tier1〜Tier3のサプライチェーン格付け管理

自動車業界のサプライチェーン攻撃リスク

自動車産業は数万社の部品メーカーで構成される巨大なサプライチェーンを持ち、サイバー攻撃の格好の標的となっています。2022年2月、大手自動車部品メーカーがランサムウェア攻撃を受けた際には、完成車メーカーの国内全14工場28ラインが丸1日停止し、約1万3千台の生産に影響が出ました。

この事例は、Tier1の1社が被害を受けるだけでサプライチェーン全体が止まることを証明しました。攻撃者はセキュリティが手薄な中小サプライヤーを狙い、そこを踏み台にして上流企業への攻撃を仕掛けます。

自動車業界の攻撃トレンド

近年はVPN装置の脆弱性を突いた初期侵入が急増しています。中小サプライヤーでは、VPN機器のファームウェア更新が放置されているケースが多く、攻撃者にとって最も効率的な侵入経路となっています。

完成車メーカー（OEM）は、自社のサプライチェーンリスクを管理するため、Tier1に対してSCS★4以上の取得を要求し始めています。この要求はTier1からTier2、さらにTier3へと順次波及していきます。

SCS評価制度への対応が遅れると、取引条件を満たせず受注機会を失うリスクがあります。特にTier2・Tier3の中小企業にとっては、早期対応が競争優位につながります。

自動車業界には既に自工会（JAMA）/部工会（JAPIA）サイバーセキュリティガイドラインが存在します。SCS評価制度とは目的や範囲が異なりますが、多くの要件が重複しています。

比較項目	自工会/部工会ガイドライン	SCS評価制度
策定主体	JAMA / JAPIA	経済産業省（IPA運営）
対象範囲	自動車業界に特化	全業種横断
評価方法	自己チェック（153項目）	★1〜★5の格付け評価
第三者評価	なし	★4以上で第三者評価
公開性	非公開（取引先間で共有）	格付け結果を公開可能
更新頻度	不定期	年次更新
要件の重複	アクセス制御、マルウェア対策、バックアップ、インシデント対応等で約70%が重複

自工会ガイドラインに対応済みの企業は、SCS★3の要件の大半をすでに満たしている可能性が高く、追加対応は比較的少なくて済みます。

自動車業界のサプライチェーンにおける各Tierの推奨★レベルは以下の通りです。

Tier	推奨★レベル	評価方法	対応期限の目安
OEM（完成車メーカー）	★5	第三者評価	2026年度中
Tier1（一次サプライヤー）	★4	第三者評価	2027年3月まで
Tier2（二次サプライヤー）	★3	自己評価	2027年度中
Tier3（三次サプライヤー）	★3	自己評価	2028年度中

★4の取得には第三者評価が必要となるため、Tier1企業は早めの準備が必要です。Tier2・Tier3は★3の自己評価から始めることで、段階的に対応レベルを引き上げられます。

自動車業界のサプライヤーが現状からSCS★取得に至るまでの推奨ロードマップです。

Phase 1（1〜2ヶ月目）：現状把握
- 自工会ガイドライン対応状況の棚卸し
- SCS要件とのギャップ分析
- IT/OT資産の洗い出し
Phase 2（3〜4ヶ月目）：基盤整備
- MFA導入（Entra ID条件付きアクセス）
- EDR展開（Defender for Business）
- バックアップ体制の構築
Phase 3（5〜6ヶ月目）：体制構築
- インシデント対応手順書の策定
- セキュリティポリシーの文書化
- 従業員へのセキュリティ教育
Phase 4（7〜8ヶ月目）：★申請
- SCS自己評価の実施
- 不足項目の追加対応
- ★3（または★4）の申請

自工会ガイドライン対応済み企業の場合

既に自工会/部工会ガイドラインに対応している企業は、Phase 1のギャップ分析から直接Phase 4に進めるケースも多くあります。追加対応が必要な項目は、サプライチェーン管理や格付け結果の公開に関する手続き面が中心です。

BTNコンサルティングのSCS対応支援では、自動車業界のサプライヤー向けに以下のサービスを提供しています。

詳しくはSCS評価制度の概要ページをご覧ください。

参考リンク

株式会社BTNコンサルティング｜情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI（M&A後のIT統合）、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。