★5の位置づけ
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の★5は、5段階格付けの最高位レベルです。★4(44項目の第三者評価)のさらに上位に位置し、★4と同じく第三者評価が必要で、2027年度の運用開始が予定されています。
★3が「サプライチェーンに参加する企業の標準レベル」、★4が「機密性の高い情報を扱う企業のレベル」とすれば、★5は国の安全保障や重要インフラの根幹に関わる情報・システムを扱う企業に求められる水準です。すべての企業が目指すレベルではなく、対象は限定的です。
★4との違い
★5の要求事項は経産省で検討が進められている段階ですが、制度設計の議論からは以下の方向性が示されています。
| 項目 | ★4 | ★5(想定される方向性) |
|---|---|---|
| 要求事項数 | 44項目 | 44項目+高度要件(検討中) |
| 評価方法 | 第三者評価 | 第三者評価(より厳格な審査が想定) |
| 想定対象 | 機密情報を扱う受注者 | 重要インフラ・防衛関連・機微技術を扱う企業 |
| 防御の前提 | 一般的なサイバー攻撃への対処 | APT(高度持続的脅威)を想定した侵入前提の防御 |
| 国際基準との関係 | NIST CSF 2.0と整合 | NIST SP 800-171等の国際基準との整合が検討課題 |
| 運用開始 | 2027年度(予定) | 2027年度以降に順次(予定) |
★5の具体的な要求事項・評価基準は2026年6月時点で確定していません。本記事は産業構造審議会WG等で示されている制度設計の方向性に基づく解説です。最終的な要求事項は経産省の公表資料をご確認ください。
想定される要求事項の方向性
★4までの要求事項の積み上げ構造と、国際的な高度セキュリティ基準の内容から、★5では以下のような領域の強化が想定されます。
- 侵入を前提とした防御:ネットワークの厳格なセグメンテーション、ゼロトラストアーキテクチャの実装、ラテラルムーブメント(横展開)の阻止
- 高度な検知・対応:SOCによる24時間監視、脅威ハンティングの定期実施、ペネトレーションテスト・レッドチーム演習
- ガバナンスの高度化:経営層が関与するサイバーリスク管理体制、セキュリティ投資の継続的なレビュー、CISO等の責任者設置
- サプライチェーン全体の管理:自社だけでなく委託先・再委託先を含めたリスク管理、委託先の評価レベルの確認・契約への反映
- 事業継続・復旧能力:ランサムウェア等を想定した復旧演習、フォレンジック対応体制、外部専門機関との連携
これらはNIST SP 800-172(APT対策の拡張要件)が示す「侵入耐性・被害限定運用・サイバーレジリエンス」の考え方と方向性が重なります。
国際基準との整合
★5の制度設計では、国際的なサプライチェーン・セキュリティ基準との整合が検討課題とされています。グローバルに事業展開する企業にとって重要なのは、以下の関係です。
| 基準 | 概要 | ★5との関係 |
|---|---|---|
| NIST SP 800-171 | 米国のCUI(管理対象非機密情報)保護要件。110項目 | ★5の要求水準の参照先として整合が検討されている |
| CMMC 2.0 | 米国防総省の調達要件。SP 800-171への準拠を第三者認証 | 米国防衛調達に参加する場合は別途CMMC認証が必要 |
| 防衛省 防衛産業サイバーセキュリティ基準 | 日本の防衛調達の契約要件。SP 800-171と同水準 | 防衛関連企業は両制度への対応が視野に入る |
米国の防衛サプライチェーンに関わる企業は、SCS評価制度とは別にCMMCへの対応が必要です。両制度の違いと両対応の進め方は「SCS評価制度とCMMCの違い」で詳しく解説しています。
★5を目指すべき企業
★5は全企業が目指すレベルではありません。以下に該当する企業が候補です。
- 重要インフラ事業者とその主要委託先:電力・ガス・水道・交通・通信・金融・医療等の14分野。経済安全保障推進法の基幹インフラ制度の対象企業はとくに親和性が高い
- 防衛・安全保障関連のサプライチェーンに属する企業:防衛省基準への対応と要求水準が重なるため、二重投資を避けた統合対応が合理的
- 機微技術情報を扱う製造業:半導体・先端素材・宇宙・量子等、経済安保上の重要技術を扱う企業
- 政府の高機密案件を受注するIT企業:政府調達で最高水準の格付けが要件・加点となる可能性がある
一方、一般的な商取引における信頼性の証明が目的であれば、★3または★4で十分なケースが大半です。過剰対応はコスト面で見合いません。
準備ロードマップ
★5の要求事項確定を待ってから動くのではなく、確実に求められる★4までを固めながら、高度要件の基盤を先行整備するのが現実的です。
| 時期 | アクション |
|---|---|
| 今すぐ | ★3の25項目に準拠し、2026年10月の申請に備える |
| 〜2026年度内 | ★4の44項目とのギャップ分析・対策実装を進める |
| 並行して | SOC運用(SentinelまたはMDR)、ゼロトラスト実装、委託先管理など★5方向の基盤を整備 |
| 2027年度 | ★4の第三者評価を受審。★5の要求事項公表後にギャップ分析 |
| ★5要件確定後 | 追加要件への対応と第三者評価の受審 |
BTNコンサルティングでは、★4・★5を見据えた高度セキュリティ対策(SOC運用設計・ゼロトラスト実装・委託先管理体制)の構築を支援しています。
→ SCS評価制度 対応支援の詳細|→ SCS対応の完全ガイド|→ 専門家要件の解説
まとめ
★5はSCS評価制度の最高位で、重要インフラ・防衛・機微技術を扱う限られた企業が対象です。要求事項は検討中ですが、NIST SP 800-171等の国際基準と整合した高度な水準が想定されます。該当しうる企業は★3→★4を着実に固めつつ、SOC運用やゼロトラストなど高度要件の基盤を先行整備しておきましょう。