2つの制度の概要
サプライチェーン経由のサイバー攻撃の増加を受け、日米それぞれで取引先のセキュリティレベルを評価・認証する制度が動き出しています。
- SCS評価制度:経済産業省が主導する日本の格付け制度。★1〜★5の5段階で、2026年10月に★3の運用が始まります。国内サプライチェーン全体のセキュリティ底上げが目的です。
- CMMC 2.0:米国防総省(DoD)の調達要件。FCI(連邦契約情報)・CUI(管理対象非機密情報)を扱う受注者にLevel 1〜3の認証を義務付けます。2025年からPhase段階導入が進行中です。
「どちらも取引先のセキュリティ格付け」という点は共通ですが、性格は大きく異なります。SCSは商取引全般を対象とする「任意の格付け制度」、CMMCは防衛調達の「契約上の必須要件」です。
比較表
| 項目 | SCS評価制度 | CMMC 2.0 |
|---|---|---|
| 運営主体 | 経済産業省(日本) | 米国防総省(DoD) |
| 目的 | 国内サプライチェーン全体のセキュリティ可視化・底上げ | 防衛調達におけるFCI・CUIの保護 |
| レベル構成 | ★1〜★5の5段階 | Level 1〜3の3段階 |
| 評価方式 | ★3まで自己評価、★4・★5は第三者評価 | L1は自己評価、L2はC3PAO第三者評価(一部自己)、L3は政府主導評価 |
| 根拠フレームワーク | NIST CSF 2.0と整合した独自の要求事項 | NIST SP 800-171(L2)/SP 800-172(L3) |
| 法的拘束力 | 任意(ただし取引条件化が進む見込み) | DoD契約の必須要件(DFARS条項) |
| 対象企業 | 国内の全企業(中小企業含む) | 米国防衛サプライチェーンに属する企業(日本企業も対象) |
| スケジュール | 2026年10月★3開始、2027年度★4・★5開始(予定) | 2025年Phase 1開始、2026年Phase 2(L2認証要求)進行中 |
★とLevelの対応目安
両制度は根拠フレームワークが異なるため厳密な互換性はありませんが、要求水準のイメージとしては以下が目安です。
| SCS評価制度 | CMMC 2.0 | 要求水準のイメージ |
|---|---|---|
| ★1〜★2 | Level 1(17要件・自己評価) | 基本的なサイバーハイジーン(MFA、ウイルス対策、アクセス制御) |
| ★3(25項目・自己評価) | Level 1〜2の中間 | 体系的な管理体制+技術対策(EDR、パッチ管理、インシデント対応計画) |
| ★4(44項目・第三者評価) | Level 2(110要件・C3PAO評価)に近い方向性 | 第三者が検証する高度な管理策(監視、脆弱性管理、委託先評価) |
| ★5(最高位・検討中) | Level 2〜3相当の高度対策 | APTを想定した侵入前提の防御、SOC運用、レジリエンス |
水準が近くても、CMMCはDoD調達の契約要件であり、SCSの★で代替することはできません(逆も同様)。米国防衛案件を受注する企業は、SCSとは別にCMMC認証の取得が必要です。日本の防衛調達には防衛省の防衛産業サイバーセキュリティ基準が適用される点にも注意してください。
どちらに対応すべきか
自社がどちらの制度に対応すべきかは、取引構造で決まります。
| 自社の状況 | 対応すべき制度 |
|---|---|
| 国内の大手企業・重要インフラのサプライチェーンに属する | SCS評価制度(まず★3) |
| 米国防衛調達(直接・間接問わず)に関わる | CMMC(取扱情報に応じてL1またはL2) |
| 日本の防衛省調達に関わる | 防衛産業サイバーセキュリティ基準+将来的にSCS |
| 防衛・米国系メーカーの両方と取引がある製造業 | 両対応(共通対策で効率化) |
| 国内中小企業で当面は国内取引のみ | SCS★3を優先。CMMCは取引が生じてから |
とくに自動車・電子部品・機械加工などの製造業では、「国内大手向けにSCS★3、米系・防衛系の取引でSP 800-171系」という両対応が現実の課題になりつつあります。
両対応の共通投資
幸い、両制度の技術要件はかなりの部分が重なります。以下の対策はどちらの制度にもそのまま効く共通投資です。
- MFA(多要素認証):Entra ID 条件付きアクセスで全ユーザーに適用。SCS★3とCMMC L1/L2の双方で必須級
- EDR:Microsoft Defender for Business / Defender for Endpointの展開
- デバイス・資産管理:Intuneによる資産台帳・パッチ管理・コンプライアンスポリシー
- ログ管理:監査ログの有効化と保存期間の確保(SCS★4・CMMC L2では相関分析も視野に)
- アクセス制御・最小権限:特権アカウントの分離、役割ベースのアクセス管理
- インシデント対応計画:対応手順の文書化と訓練(CMMCではDFARS 72時間報告も考慮)
Microsoft 365での具体的な実装は「M365でSCS★3に対応する設定チェックリスト」を参照してください。CUIを扱う場合はCUIエンクレーブの分離設計でCMMC対応コストを圧縮できます。
文書・証跡の使い回し方
両対応のコストを抑える鍵は、文書と証跡の二重作成を避けることです。
- セキュリティ基本方針・体制図:1セットを正とし、両制度の評価で共用する
- 資産台帳・ネットワーク構成図:CMMCのSSP(システムセキュリティ計画)作成時に、SCSの証跡をベースに範囲を拡張する
- 統制のマッピング表:「自社の対策 → SCS要求事項 → SP 800-171要件」の対応表を作り、ギャップだけを追加対応する
- 評価のスケジュール統合:★4の第三者評価とCMMC評価の受審時期を揃え、証跡収集を一度で済ませる
BTNコンサルティングでは、SCS評価制度とCMMC・防衛省基準の統合ギャップ分析、M365を活用した共通対策の実装、文書整備までワンストップで支援しています。
→ SCS評価制度 対応支援の詳細|→ SCS対応の完全ガイド|→ CMMC 2.0実務対応ガイド
まとめ
SCS評価制度は日本国内の任意の格付け制度、CMMCは米国防衛調達の必須要件であり、相互に代替できません。ただし技術要件の大半は共通するため、MFA・EDR・Intune・ログ管理といった共通投資を軸に、マッピング表で差分だけを追加対応するのが効率的です。国内取引中心なら★3を優先し、米国防衛案件が視野にある企業は早めにCMMCのレベル判定を行いましょう。