ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

ここから本文です。

【概要解説】サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)とは

【概要解説】サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)とは

2026.1.6 生成AIにより原案作成 東京都 加筆訂正

1. 制度の目的と概要

本制度は、サプライチェーン全体のリスク低減を目的として、経済産業省及び内閣官房国家サイバー統括室が策定を進めている新たな評価制度です1。

  • 背景と課題
    • 発注企業側:「取引先のセキュリティ対策状況を外部から判断しにくい」
    • 受注企業(サプライヤー)側:「複数の取引先からバラバラな基準で対策を求められ、負担が大きい」
    • これらの課題に対し、国が統一された基準(「ものさし」)を設けることで、双方の負担軽減と対策の可視化を図ります1。
  • 制度の性質:企業の優劣を競う「格付け」ではなく、サプライチェーン上の重要性やリスクに応じて、適切な対策が実施されているかを確認・可視化するための仕組みです4。

2. 評価ランク(星の数)と要求レベル

対策の成熟度に応じて段階(★)が設定されています。実務上、今回新たに構築される **★3** と **★4** が運用の中心となります。

★3:一般的なサイバー攻撃への対処

  • 想定レベル:広く認知された脆弱性の悪用などを防ぐ、基礎的な組織的対策とシステム防御策(自工会ガイドラインLv1相当)5。
  • 評価方法専門家確認付き自己評価自社で評価記入後、セキュリティ専門家(情報処理安全確保支援士など)による確認・助言を受け、専門家の署名付きで登録します5。
  • 有効期間:1年8。

★4:サプライチェーンへの影響が大きい攻撃への対処

  • 想定レベル:包括的な対策(検知・復旧含む)。取引先のデータ保護や被害拡大防止を重視(自工会ガイドラインLv2相当)5。
  • 評価方法第三者評価認定された評価機関による審査(文書確認+実地審査)および技術検証(脆弱性検査等)が必要です5。
  • 有効期間:3年(期間内は年次で自己評価を実施)8。

★5:高度な攻撃への対処(到達目標)

  • 想定レベル:リスクベースアプローチに基づき、自組織に必要な改善プロセスを整備し、現時点でのベストプラクティス(最良の事例)を実装している段階5。
  • 位置づけ:ISMS(ISO27001)などのマネジメントシステムに加え、具体的なシステムへの高度な対策(自工会ガイドラインLv3等)を行っていることを証明する枠組みとなる予定です10。
  • 状況:詳細な要件や評価方法は、令和8年度(2026年度)以降に具体化される予定です6。
※ ★1・★2は既存の「SECURITY ACTION(IPA運営)」を参照12。

3. 対象範囲と要求事項

対象システム

企業の **IT基盤**(PC、サーバー、ネットワーク機器、クラウド環境等)が対象です。※工場などの制御システム(OT)や、納品する製品自体のセキュリティ機能は原則として対象外です13。

主な要求事項(7つの分類)

NIST CSF(サイバーセキュリティフレームワーク)をベースに、「取引先管理」を加えた構成となっています15。
  1. ガバナンス:CISO等の責任者の明確化、体制構築。
  2. 取引先管理:重要な情報の提供先の把握、委託先の対策状況確認。
  3. 識別:資産・クラウドサービスの把握、脆弱性管理。
  4. 防御:多要素認証、パッチ適用、マルウェア対策、ログ取得。
  5. 検知:異常の監視(★4ではより高度な監視)。
  6. 対応:インシデント対応手順の整備。
  7. 復旧:復旧手順の整備(★4で特に重視)。

4. 評価・認証の流れ(実務フロー)

★3を取得する場合(専門家確認付き自己評価)

  1. 自己評価:要求事項に基づき、自社でチェックシートを記入7。
  2. 専門家の確認:所定の研修を受けたセキュリティ専門家(社内の有資格者でも可)に内容を確認してもらい、助言を受ける7。
  3. 登録申請:専門家の署名と経営層の宣誓を含めて登録機関へ提出7。

★4を取得する場合(第三者評価)

  1. 自己評価:まずは自社で基準を満たしているか確認9。
  2. 評価依頼:認定された評価機関に審査を依頼9。
  3. 審査・検証:評価機関による「実地審査(ヒアリング等)」と「技術検証(脆弱性検査等)」を受ける9。
  4. 登録:合格すれば登録・公開18。

5. メリットとコスト交渉への活用

既存制度との関係

  • ISMSとの違い:ISMSは「仕組み(マネジメント)」を審査しますが、本制度は「具体的な対策(パッチ適用など)の実装」を重視するベースラインアプローチです。相互補完的な関係を目指しています19。
  • 業界ガイドラインとの連携:自動車業界のガイドライン(自工会・部工会ガイドライン)と整合しており、★3がLv1、★4がLv2に相当します20。

価格転嫁・コスト交渉の材料として

国(経済産業省・公正取引委員会)は、この制度に基づくセキュリティ対策費用について、発注元企業との **価格交渉(価格転嫁)の正当な材料** として認める指針を示しています21。
  • 発注元から「★4相当の対策」を求められた場合、それに伴う設備導入費や人件費(間接経費)について、費用負担の協議を行うことが推奨されています23。
  • 対策費用を単なる「持ち出しコスト」ではなく、製品・サービスの価格に反映すべき「投資」として交渉に使用できます24。

6. 今後のスケジュール

  • ~2026年(令和8年)1月24日:パブリックコメント(意見公募)期間25。
  • 2026年度(令和8年度)末頃:制度の正式運用開始予定26。

実務担当者としては、まずは自社のIT基盤が「★3」または「★4」のどちらの基準に近いか、自工会ガイドライン等を参考に現状把握を始めることが推奨されます。

本文ここまでです。

ページトップへ