SCS評価制度とは
SCS(Supply Chain Cybersecurity)評価制度は、経済産業省が主導するサプライチェーン全体のサイバーセキュリティレベルを可視化する格付け制度です。2026年度から本格運用が開始されます。
サプライチェーン攻撃の増加を背景に、取引先のセキュリティレベルを客観的に評価し、サプライチェーン全体のセキュリティ底上げを目指す制度です。企業は自社のセキュリティ対策状況に応じて3段階の格付けを取得できます。
制度の背景
近年、大企業ではなく取引先の中小企業を経由したサイバー攻撃が急増しています。
| 事例 | 年 | 概要 |
|---|---|---|
| 大阪急性期・総合医療センター | 2022年 | 給食委託先経由でランサムウェア感染。電子カルテが約2ヶ月停止 |
| 名古屋港コンテナターミナル | 2023年 | VPN経由でランサムウェア感染。コンテナ搬出入が約3日間停止 |
| 自動車部品メーカー | 2022年 | 取引先の部品メーカーがランサムウェア被害。国内全工場が1日停止 |
これらの事例を受け、経産省はNIST CSF 2.0(サイバーセキュリティフレームワーク)との整合を図りつつ、日本の産業構造に合わせた評価制度を設計しました。
評価基準と3段階格付け
| 格付け | レベル | 主な要件 | 想定対象 |
|---|---|---|---|
| ★1 | 基本対策 | EDR導入、MFA実施、バックアップ(3-2-1ルール)、従業員セキュリティ教育、資産管理台帳の整備 | 全企業(中小企業含む) |
| ★2 | 標準対策 | SIEM/SOC運用、インシデント対応計画の策定・訓練、脆弱性管理プロセスの確立、ログ保存(1年以上) | 中堅〜大企業 |
| ★3 | 先進対策 | ゼロトラスト実装、サプライチェーン全体のリスク管理、継続的モニタリング、レッドチーム演習 | 大企業・重要インフラ |
中小企業にとっては★1の達成が最優先です。★1は「最低限のサイバーハイジーン(衛生管理)」に相当し、EDR・MFA・バックアップ・教育の4本柱で構成されます。これらは比較的低コストで実施可能です。
中小企業への影響
- 取引条件への影響:大企業が取引先に★1以上の格付けを要件として求める可能性。経産省は「格付けの取引条件化」を推奨する方針
- 入札・調達への影響:政府調達・公共事業の入札で★格付けが加点要素となる見込み
- ★1未達のリスク:取引停止、新規取引の機会損失、サイバー保険の保険料上昇
- 早期対応のメリット:制度開始前に★1を達成すれば、競合他社に対する差別化要因に
★1達成のための具体的対策
Microsoft 365 Business Premiumを活用すれば、★1要件の多くをカバーできます。
| ★1要件 | Microsoft 365での対応策 |
|---|---|
| MFA(多要素認証) | Entra ID 条件付きアクセスでMFA必須化。セキュリティの既定値群を有効化 |
| EDR導入 | Microsoft Defender for Business(Business Premiumに含む)でEDR機能を展開 |
| バックアップ | Microsoft 365 Backup(追加ライセンス)またはサードパーティバックアップでメール・SharePointを保護 |
| 従業員教育 | Attack Simulation Training(Defender for Office 365 Plan 2)でフィッシングシミュレーション |
| 資産管理 | Intuneでデバイスインベントリを自動収集。ソフトウェア一覧も取得可能 |
BTNコンサルティングの支援
SCS評価制度への対応をワンストップで支援します。現状のセキュリティ対策状況のアセスメント、★1取得に必要な対策のギャップ分析、Microsoft 365を活用した具体的な実装まで、「情シス365」セキュリティパックで対応可能です。
まとめ
SCS評価制度は、サプライチェーンセキュリティを「見える化」する日本初の格付け制度です。中小企業にとっては★1の達成が喫緊の課題です。Microsoft 365 Business Premiumを活用すれば、MFA・EDR・バックアップ・教育の★1要件を効率的にカバーできます。2026年度の本格運用開始に向けて、早期の対策着手を推奨します。