SCS(サプライチェーン・サイバーセキュリティ)評価制度は、★1・★2の自己宣言レベルから、いよいよ実務レベルである★3・★4が2026年下期に運用を開始します。「取引先から★3を求められそうだが、何から準備すればいいのか分からない」という相談が急増しています。本記事では、★3と★4の違い、申請の流れ、運用開始直前にやるべきことを、中小企業の目線で整理します。
★3・★4の運用開始スケジュール
SCS評価制度は段階的に運用が始まります。2026年6月時点で公表されている想定スケジュールは以下のとおりです。
| レベル | 評価方法 | 運用開始(想定) | 位置づけ |
|---|---|---|---|
| ★1・★2 | 自己宣言 | 運用中 | SECURITY ACTION相当。すべての中小企業の出発点 |
| ★3 | 自己評価 | 2026年下期(9〜10月頃) | サプライチェーン参加企業の標準レベル |
| ★4 | 第三者評価 | 2026年下期〜2027年度 | 機密情報を扱う・システム接続のある受注者 |
| ★5 | 第三者評価 | 検討中 | 重要インフラ・防衛関連等の最高位 |
制度全体の本格運用は2026年度末(2027年1〜3月)とされる一方、評価機関の指定やシステム整備が前倒しで進み、★3の自己評価申請は2026年下期から受付開始の見込みです。日程は経産省・IPAの公表で変動するため、最新情報は必ず一次情報をご確認ください。制度の全体像は「SCS評価制度が2026年度本格運用開始」で解説しています。
★3と★4の決定的な違い
★3と★4を分ける最大のポイントは「自己評価」か「第三者評価」かです。準備の負荷もコストも大きく変わります。
| 観点 | ★3(自己評価) | ★4(第三者評価) |
|---|---|---|
| 要求事項 | 約25項目(標準的なサイバーハイジーン) | 約44項目(★3+リスク評価・監視・委託先評価等) |
| 評価者 | 自社による自己評価 | 指定された評価機関による審査 |
| エビデンス | 自社で保管(申請時に提出は限定的) | 第三者へ提示・監査対応が必要 |
| 準備期間の目安 | 3〜6ヶ月 | 6〜12ヶ月 |
| 主な対象 | 多くの中小サプライヤー | 重要情報・基幹システムに関与する受注者 |
多くの中小企業にとっては、まず★3の取得が現実的なゴールです。★4は取引先から明確に要求された場合や、機密度の高い業務を受託している場合に検討します。★3の25項目の詳細は「★3の要求事項25項目チェックリスト」、取得手順は「★3取得の進め方」を参照してください。
★3申請の流れ(5ステップ)
- 現状把握(ギャップ分析):25項目に対して自社が「できている/できていない」を棚卸し。MFA・EDR・パッチ管理・バックアップ・資産台帳・インシデント対応計画などを確認
- 不足対策の実装:未対応項目を技術・運用・文書の3面で整備。Microsoft 365 Business Premiumで技術要件の多くをカバー可能
- エビデンスの整理:各項目について「設定画面のスクリーンショット」「規程文書」「運用記録」を証跡として保管
- 自己評価の実施:制度のチェックシートに沿って自己評価を行い、達成状況を記録
- 申請・宣言:運用開始後、所定のポータルから★3を申請・公表
いきなり★3を目指すより、まずSECURITY ACTION(★1・★2相当)を済ませておくと、基本方針の策定や5か条の対応が完了し、★3のギャップが小さくなります。SECURITY ACTIONからSCSへの移行ガイドもあわせてご覧ください。
運用開始前の「今」やるべき直前チェックリスト
運用開始を待たずに、今から着手できることがあります。以下は2026年下期の運用開始までに済ませておきたい項目です。
| 領域 | 直前にやること | Microsoft 365での対応 |
|---|---|---|
| 認証 | 全ユーザーのMFA必須化、管理者の特権保護 | Entra ID 条件付きアクセス/セキュリティの既定値群 |
| 端末 | EDRの全端末展開、資産台帳の自動化 | Defender for Business+Intuneインベントリ |
| 更新管理 | OS・アプリのパッチ適用状況の可視化 | Intune/Autopatch |
| バックアップ | 重要データの定期バックアップと復旧テスト | M365 Backup+サードパーティ |
| 体制・文書 | インシデント対応手順・連絡体制の文書化 | —(規程整備・訓練) |
| 教育 | フィッシング訓練・年次セキュリティ教育 | Attack Simulation Training |
よくある誤解
- 「ISMSを取っているから★3は不要」→ 評価軸が異なります。ISMS/Pマークとの違いは「SCSとISMS・Pマークの違い」で整理しています
- 「★3は申請すればすぐ取れる」→ 25項目の実装とエビデンス整備に通常3〜6ヶ月。運用開始直前の駆け込みでは間に合いません
- 「専門家がいないと申請できない」→ ★3は自己評価のため社内対応も可能。専門家がいない場合の進め方は「専門家なしでSCSに対応する方法」を参照
- 「CMMCと同じ」→ 似ていますが別制度です。違いは「SCSとCMMCの違い」で解説
BTNコンサルティングの支援
SCS評価制度の★3・★4取得をワンストップで支援します。現状アセスメント、25項目/44項目のギャップ分析、Microsoft 365を活用した技術対策の実装、規程文書の整備、エビデンス収集、申請サポートまで対応します。
★3〜★5の取得を伴走支援。現状アセスメント・ギャップ分析・技術対策・文書整備・申請サポートまで一貫対応します。
→ SCS評価制度 対応支援の詳細はこちら
→ SCS評価制度 対応の完全ガイド
まとめ
SCS評価制度は、2026年下期にいよいよ実務レベルの★3・★4が運用を開始します。★3は自己評価で多くの中小企業の標準ゴール、★4は第三者評価で機密情報を扱う受注者向けです。25項目の実装とエビデンス整備には数ヶ月かかるため、運用開始を待たず「今」からMFA・EDR・バックアップ・資産管理・文書整備に着手することが、取引先からの要求に余裕を持って応えるための最短ルートです。