SCS評価制度の全体スケジュール

SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は、経済産業省が主導するサイバーセキュリティの格付け制度です。2025年度の制度設計フェーズを経て、2026年10月に★3の運用開始が予定されています。

制度全体のロードマップは以下のとおりです。

時期マイルストーン概要
2025年度制度設計・検討産業構造審議会WGで制度骨格を策定。要求事項の確定
2026年4月パブリックコメント制度構築方針(案)に対する意見募集。要求事項の最終調整
2026年7月(予定)制度確定・申請システム公開最終版の要求事項・評価基準を公表。申請ポータルの稼働
2026年10月★3 運用開始自己評価による★3の申請受付を開始
2027年度★4・★5 運用開始第三者評価による★4、高度評価の★5を順次開始
⚠️ 2026年10月が最初のターゲット

★3は自己評価のため第三者監査は不要ですが、取引先から早期取得を求められるケースが増えています。運用開始と同時に申請できるよう、事前準備を進めましょう。

2026年の月別マイルストーン

2026年の各月で想定されるイベントと、企業側で対応すべきアクションを整理します。

制度側のイベント企業側のアクション
4月パブコメ開始パブコメ内容を確認し、最終版の要求事項を把握
5月パブコメ締切・集計ギャップ分析を開始。25要求事項と現状を照合
6月制度最終案の策定対応計画の策定。優先度・担当・期限を決定
7月制度確定・申請システム公開セキュリティ方針の策定、MFA適用など技術対策を実施
8月申請準備期間インシデント対応計画・資産台帳の整備。エビデンス収集
9月申請準備期間自己評価を実施。全25項目の準拠を確認・最終調整
10月★3 運用開始・申請受付★3の申請を提出
11〜12月評価結果の公表開始★3取得完了。取引先への通知

企業側の準備タイムライン(逆算スケジュール)

2026年10月の★3取得を目標とした場合、逆算すると4月から準備を開始するのが理想的です。

期間作業内容所要期間
4〜5月現状把握・ギャップ分析(25要求事項との照合)4〜6週間
5〜6月対応計画の策定(優先度付け・予算確保・体制整備)2〜3週間
6〜8月技術対策の実施(MFA適用、EDR導入、台帳整備等)2〜3ヶ月
8〜9月文書整備・エビデンス収集(方針書、対応計画、証跡)2〜4週間
9月自己評価の実施・最終確認1〜2週間
10月★3申請の提出
💡 今から着手すれば余裕をもって間に合う

2026年4月時点で準備を始めれば、約6ヶ月の猶予があります。ただし、EDR導入やIntuneの展開など技術対策は時間がかかるため、早期着手が重要です。対応手順の詳細は「SCS★3の取得方法」をご覧ください。

業界別の対応目安

業界によって取引先からの要求時期が異なります。自社が属する業界の動向を踏まえた対応が必要です。

業界取引先からの要求時期(予測)推奨する準備開始時期
自動車2026年10月〜(Tier1から順次)2026年4月
半導体・電子部品2026年10月〜2026年4月
金融(銀行・保険)2026年度下期〜2026年4月
製造業(その他)2027年度〜2026年7月
IT・SaaS2027年度〜2026年7月
建設・不動産2027年度以降2026年10月
小売・サービス2027年度以降2026年10月

自動車・半導体・金融の3業界は、サプライチェーン攻撃の被害が多発しているため、制度運用開始と同時に取引先への要求が始まる見込みです。2026年のサイバーセキュリティ制度変更まとめも併せてご確認ください。

まとめ

SCS評価制度は2026年10月に★3の運用が開始されます。10月の申請開始に間に合わせるには、4月からの準備着手が理想的です。特に自動車・半導体・金融業界のサプライチェーンに属する企業は、優先的に対応を進めましょう。

  • 2026年4月:パブコメ確認、ギャップ分析開始
  • 2026年6〜8月:技術対策・文書整備の実施
  • 2026年10月:★3申請の提出

SCS評価制度の対応ガイド」で対応の全体像を、「SCS評価制度対応支援」でBTNコンサルティングの支援内容をご確認いただけます。

参考リンク
経産省 サイバーセキュリティ政策 ↗IPA セキュリティセンター ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。