SCS評価制度とは
SCS(Supply Chain Cybersecurity)評価制度は、経済産業省が主導するサプライチェーン全体のサイバーセキュリティレベルを可視化する格付け制度です。2026年度から本格運用が開始されます。
サプライチェーン攻撃の増加を背景に、取引先のセキュリティレベルを客観的に評価し、サプライチェーン全体のセキュリティ底上げを目指す制度です。企業は自社のセキュリティ対策状況に応じて★1〜★5の5段階の格付けを取得できます。
制度の背景
近年、大企業ではなく取引先の中小企業を経由したサイバー攻撃が急増しています。
| 事例 | 年 | 概要 |
|---|---|---|
| 大阪急性期・総合医療センター | 2022年 | 給食委託先経由でランサムウェア感染。電子カルテが約2ヶ月停止 |
| 名古屋港コンテナターミナル | 2023年 | VPN経由でランサムウェア感染。コンテナ搬出入が約3日間停止 |
| 自動車部品メーカー | 2022年 | 取引先の部品メーカーがランサムウェア被害。国内全工場が1日停止 |
これらの事例を受け、経産省はNIST CSF 2.0(サイバーセキュリティフレームワーク)との整合を図りつつ、日本の産業構造に合わせた評価制度を設計しました。
評価基準と5段階格付け
| 格付け | 評価方法 | 主な要件 | 想定対象 |
|---|---|---|---|
| ★1 | 自己宣言 | SECURITY ACTION「情報セキュリティ5か条」相当の基本対策への取り組み宣言 | すべての中小企業 |
| ★2 | 自己宣言 | 自社診断の実施+情報セキュリティ基本方針の策定・公開 | すべての中小企業 |
| ★3 | 自己評価 | 25項目の要求事項(MFA、EDR、パッチ管理、資産台帳、インシデント対応計画、バックアップ等)への準拠。2026年10月運用開始 | サプライチェーンに参加する企業の標準レベル |
| ★4 | 第三者評価 | 44項目の要求事項(★3+リスク評価、ネットワーク監視、委託先の定期評価等)。2027年度運用開始予定 | 機密情報を扱う・システム接続のある受注者 |
| ★5 | 第三者評価 | 最高位レベル。要求事項は検討中(NIST SP 800-171等の国際基準との整合が想定) | 重要インフラ・防衛関連等 |
中小企業にとっては2026年10月に運用が始まる★3の達成が最優先です。★3はMFA・EDR・パッチ管理・バックアップなど「標準的なサイバーハイジーン(衛生管理)」に相当する25項目で構成され、自己評価で申請できます。詳細は「★3の要求事項25項目チェックリスト」をご覧ください。
中小企業への影響
- 取引条件への影響:大企業が取引先に★3以上の格付けを要件として求める可能性。経産省は「格付けの取引条件化」を推奨する方針
- 入札・調達への影響:政府調達・公共事業の入札で★格付けが加点要素となる見込み
- ★3未達のリスク:取引停止、新規取引の機会損失、サイバー保険の保険料上昇
- 早期対応のメリット:運用開始と同時に★3を取得すれば、競合他社に対する差別化要因に
★3達成のための具体的対策
Microsoft 365 Business Premiumを活用すれば、★3の技術的な要求事項の多くをカバーできます。
| ★3要件 | Microsoft 365での対応策 |
|---|---|
| MFA(多要素認証) | Entra ID 条件付きアクセスでMFA必須化。セキュリティの既定値群を有効化 |
| EDR導入 | Microsoft Defender for Business(Business Premiumに含む)でEDR機能を展開 |
| バックアップ | Microsoft 365 Backup(追加ライセンス)またはサードパーティバックアップでメール・SharePointを保護 |
| 従業員教育 | Attack Simulation Training(Defender for Office 365 Plan 2)でフィッシングシミュレーション |
| 資産管理 | Intuneでデバイスインベントリを自動収集。ソフトウェア一覧も取得可能 |
BTNコンサルティングの支援
SCS評価制度への対応をワンストップで支援します。現状のセキュリティ対策状況のアセスメント、★取得に必要な対策のギャップ分析、Microsoft 365を活用した具体的な実装まで、「情シス365」セキュリティパックで対応可能です。
★3〜★5の取得をワンストップで支援します。現状アセスメント・ギャップ分析・技術対策・文書整備・申請サポートまで対応。
→ SCS評価制度 対応支援の詳細はこちら
→ SCS評価制度 対応の完全ガイド
まとめ
SCS評価制度は、サプライチェーンセキュリティを「見える化」する日本初の格付け制度です。中小企業にとっては2026年10月に運用が始まる★3の達成が喫緊の課題です。Microsoft 365 Business Premiumを活用すれば、MFA・EDR・バックアップ・資産管理といった★3の技術要件を効率的にカバーできます。本格運用開始に向けて、早期の対策着手を推奨します。