近年、企業を取り巻くサイバー攻撃の脅威は、自社のみならず、取引先を経由してサプライチェーン全体に波及するケースが急増しています。こうした状況を受け、経済産業省と内閣官房は、サプライチェーン全体のセキュリティ水準を底上げするための新しい枠組みとして、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築を進めています。
本記事では、2026年度末の本格運用開始を目指して検討が進められているサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) について、その背景や仕組み、そして特に中小企業が今から備えておくべき対策について詳しく解説します。
サプライチェーン強化に向けたセキュリティ対策評価制度の概要と目的
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)は、サプライチェーンを構成する企業が満たすべきセキュリティ対策を提示し、その対策状況を「可視化」するための仕組みです。
制度の目的
本制度の主な目的は、事業者のセキュリティレベルを競わせる(格付けする)ことではありません。真の目的は、以下の3点に集約されます。
- リスクの軽減: 取引先へのサイバー攻撃を起因とした情報流出や、製品・サービスの提供が途絶えるリスクを低減する。
- 対策の適正化: 発注元が取引先に求める要請内容を明確化し、委託先企業が複数の取引先からバラバラな要求を受ける過度な負担を解消する。
- サプライチェーン全体の底上げ: 経済・社会全体のサイバーレジリエンス(回復力)を強化する。
制度で設けられる3段階のセキュリティレベル
本制度では、企業の立ち位置やリスクに応じて、3つのセキュリティレベルが設定されています。
上位の段階は下位の事項を包括しますが、★3を取得していなければ★4を取得できないというわけではなく、自社のリスクに応じて適切な段階から取得可能です。
なぜ今、この制度が必要なのか
現在、日本の産業界では、サイバーセキュリティに関する2つの大きな課題が表面化しています。
課題1: 取引先の対策状況が見えない
発注元企業にとって、委託先のセキュリティ対策が十分かどうかを外部から判断することは困難です。そのため、独自に複雑なチェックリストを作成し、取引先に回答を求めるケースが増えていますが、これが双方の負担となっています。
課題2: サプライチェーンの弱点を突く攻撃の頻発
近年、セキュリティ対策が強固な大手企業を直接狙うのではなく、その取引先である中堅・中小企業を踏み台にして不正侵入したり、部品供給を停止させたりする事案が頻発しています。サプライチェーンのどこか一箇所でも穴があれば、グループ全体や産業全体の事業継続が危ぶまれるのが現状です。
こうした課題を解決するため、国が「共通の物差し」を提供することで、取引の安定化と円滑化を図ろうとしているのが本制度の背景です。
対象範囲と具体的な要求項目
本制度が対象とするのは、主に企業の「IT基盤」です。これには、PCやスマートデバイスなどのエンドポイント機器、サーバー、VPN装置、ファイアウォール、クラウド環境などが含まれます。
7つのカテゴリー別対策
本制度では、国際的かつ代表的なアメリカ国立標準技術研究所(NIST)サイバーセキュリティフレームワーク(CSF)に基づき整理された7つの分類において対策が求められます。
評価スキームの具体的内容
各段階に応じて、信頼性を担保するための評価方法が異なります。
- ★3 専門家確認付き自己評価: 企業自らが実施した自己評価結果について、情報処理安全確保支援士などのセキュリティ専門家が内容を確認し、助言・署名を行います。
- ★4 第三者評価と技術検証: 指定された評価機関による文書審査・実地審査に加え、インターネットに公開されている機器に対する技術検証(脆弱性検査など)が行われます。
評価の有効期間
- ★3: 有効期間は1年で、毎年専門家の確認を経て更新します。
- ★4: 有効期間は3年ですが、期間中も年次での自己評価結果の提出が求められます。
中小企業に求められる対策
中小企業にとって、セキュリティ対策は「重要性は理解しているが、リソースが足りない」という切実な悩みでしょう。しかし、中小企業は、取引先からの要請に応じて適切な「★(段階)」を取得し、自社の信頼性を証明することが求められます。中小企業がこの制度に対応するためには、単なるITツールの導入だけでなく、組織としての運用体制を整える必要があります。
求められるアクション
- 自社の立ち位置の把握: 取引先からどのレベル(★)を求められる可能性があるかを確認する。
- 経営層の関与: セキュリティを「コスト(損失)」ではなく、企業価値を維持・増大させるための「投資」と捉え、経営リスクとして把握する。
- 基礎対策の徹底: ★3の要求事項を参考に、ID管理やパスワード設定、アップデートの適用、マルウェア対策など、基礎的な防御を固める。
自社の役割に応じた★の選択
まずは、自社が取引先からどのレベルを求められる可能性があるかを確認します。
- ★3の取得: 一般的な部品供給や業務委託を受けているすべての企業が対象です。83項目の評価基準を満たす必要があります。
- ★4の取得: 発注元の重要業務に深く関わっている、あるいは重要な機密情報を扱っている場合に求められます。157項目の評価基準に加え、外部機関による審査が必要となります。
評価を受けるための準備とプロセス
評価を取得するまでの流れは以下の通りです。
- ★3の場合(自己評価+専門家確認): 自社で自己評価を実施し、その結果を情報処理安全確保支援士などのセキュリティ専門家に確認してもらいます。専門家は内容に矛盾がないかを確認し、助言・署名を行います。その後、経営層による自己適合宣誓書を作成し、評価結果とあわせて登録機関に提出します。
- ★4の場合(第三者評価+技術検証): 指定された評価機関による文書審査・実地審査を受けます。さらに、VPN装置などのインターネット公開機器に対して、技術検証(脆弱性検査)が実施されます。ここではCVSS 7.0以上の深刻な脆弱性の有無や、多要素認証(MFA)の実装状況などが厳しくチェックされます。
今後のスケジュール
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) は、現在「制度構築方針(案)」に基づき、詳細な検討が進められており、2026年年末頃から本格運用が開始される予定です。
今から始めるセキュリティ対策評価制度への対応準備
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) は、単なる新しい規制ではなく、サプライチェーンを構成する企業が安心してビジネスを継続するための「共通インフラ」を目指しています。中小企業にとっては、本制度を活用して自社のセキュリティ水準を可視化することで、取引先からの信頼を獲得し、ビジネスチャンスを広げる契機にもなり得ます。
まずは、情報処理推進機構(IPA)が公開している「SECURITY ACTION」や今後公表される詳細情報をチェックし、自社でできることから着手してみましょう。セキュリティ対策を経営の重要課題と位置づけ、次世代のビジネス環境に備えることが、企業の持続可能な成長へと繋がります。
関連コンテンツ
