SCS評価制度とは
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は、経済産業省が2026年10月の運用開始を目指す、企業のサイバーセキュリティ対策を★3〜★5の段階で可視化する新制度です。取引先のセキュリティ対策状況を統一基準で評価・確認できる仕組みであり、サプライチェーン全体のセキュリティ底上げを目的としています。
★1・★2はIPAの「SECURITY ACTION」制度がそのまま適用され、★3以上が本制度で新たに定められます。
⚠️ 取引先から「★3取得」を求められる時代へ
金融・自動車・半導体業界を中心に、取引条件として★3以上の取得を求める動きが始まっています。対応が遅れるとサプライチェーンから外されるリスクがあります。
★3の位置づけ
| レベル | 評価方法 | 要求事項数 | 概要 |
|---|---|---|---|
| ★1・★2 | SECURITY ACTION(自己宣言) | — | 情報セキュリティ5か条等の基本対策 |
| ★3 | 自己評価 | 25項目 | サプライチェーンの基礎的なセキュリティ水準 |
| ★4 | 第三者評価 | 44項目 | 標準的〜高度なセキュリティ水準 |
| ★5 | 第三者評価(高度) | 検討中 | 最高水準(2027年度以降) |
★3は自己評価による準拠であり、第三者の監査は不要です。すべての企業が最低限達成すべき基礎水準です。
25要求事項の概要
★3の25要求事項は、NIST CSF 2.0をベースに以下の6領域で構成されています。
| 領域 | 主な要求事項 |
|---|---|
| ガバナンス整備 | セキュリティ方針の策定、責任者の指定、経営層への報告体制 |
| 取引先管理 | 委託先へのセキュリティ要件の提示、契約時のセキュリティ条項 |
| リスクの特定 | 情報資産の台帳管理、リスクアセスメントの実施 |
| システムの防御 | アクセス制御、MFA、パッチ管理、ネットワーク分離、暗号化 |
| 攻撃等の検知 | ログの取得・保管、異常検知の仕組み |
| インシデント対応・復旧 | インシデント対応計画、バックアップ、復旧手順 |
対応チェックリスト
| # | チェック項目 | 対応状況 |
|---|---|---|
| 1 | セキュリティ方針(基本方針)を文書化しているか | □ |
| 2 | セキュリティの責任者を指定しているか | □ |
| 3 | 重要な情報資産を台帳で管理しているか | □ |
| 4 | ネットワーク機器・サーバーの一覧を把握しているか | □ |
| 5 | ソフトウェアのパッチ・更新を定期的に適用しているか | □ |
| 6 | 全ユーザーにMFA(多要素認証)を適用しているか | □ |
| 7 | 不要なアカウントを定期的に棚卸・削除しているか | □ |
| 8 | ウイルス対策ソフト(EDR)を導入・更新しているか | □ |
| 9 | バックアップを定期的に取得し、復旧テストを行っているか | □ |
| 10 | インシデント対応計画を策定し、連絡体制を整備しているか | □ |
※上記は25項目の中から特に重要な10項目を抜粋したものです。全25項目の詳細は経産省の制度構築方針(案)をご確認ください。
対応の進め方
| Step | 内容 | 期間目安 |
|---|---|---|
| 1 | 25要求事項と自社の現状を照合し、ギャップを洗い出す | 2週間 |
| 2 | 未対応項目の対応計画を策定(優先度・担当・期限) | 1週間 |
| 3 | 対策を実施(方針策定、MFA適用、台帳整備等) | 1〜3ヶ月 |
| 4 | 自己評価を実施し、★3の準拠を確認 | 1週間 |
まとめ
SCS評価制度★3は2026年10月運用開始予定の、全企業が対象となる基礎的なセキュリティ水準です。自己評価による25項目の準拠が求められます。取引先から要求される前に、今から資産台帳の整備、MFAの適用、インシデント対応計画の策定に着手しましょう。