「知」の結集ゆびすいコラム

2026.06.01

もうすぐ始まる「SCS評価制度」、準備はできていますか？

SCS評価制度の概要

近年、自社でセキュリティ対策を行っていても、取引先や委託先を起点としたサイバー攻撃によって被害が発生する事例が増えています。こうした背景を受けて新たに始まるのが、「サプライチェーン強化に向けたセキュリティ対策評価制度」（以下、SCS評価制度）です。

SCS評価制度は、企業のセキュリティ対策状況を共通の基準で可視化し、取引先との間で「どの水準まで対策すればよいのか」を、過不足なくすり合わせやすくすることを目的としています。

このような制度の位置付けから、任意の制度ではありますが、業種・規模を問わず、取引先から自社の対策状況について説明を求められる機会が増える可能性があります。今のうちから、できる範囲で対策を進めておくと安心です。

なお、この制度と関連する取り組みとして、IPA（情報処理推進機構）が運営する「SECURITY ACTION」があります。評価段階としては、★1・★2が「SECURITY ACTION」、★3～★5が「SCS評価制度」に位置付けられています。

注意事項

SCS評価制度は、商取引を規制するための制度ではなく任意の制度です。制度を引き合いに「評価がないと取引ができない」「入札から除外される」といった不適切な勧誘が報告されており、経済産業省も注意喚起しています。また、評価基準を満たすうえでツール導入が有効になる場合はありますが、特定の製品の利用が必須とされているわけではありません。

一方で、SECURITY ACTIONは、補助金・支援制度の要件になる場合があります。たとえば「デジタル化・AI導入補助金（旧：IT導入補助金）」では、申請要件としてSECURITY ACTION（★一つ星または★★二つ星）の宣言が求められています。制度の性質を正しく理解したうえで、段階的に対策を進めていくことが重要です。

評価段階について

SCS評価制度の実質的な評価段階は、主に★3と★4で整理されています。

　★3：一般的なサイバー脅威に対応できる水準

　★4：侵入防止に加え被害拡大防止や取引先保護まで含めた、より高い水準

★3は「まず会社として最低限の守りを整える」、★4は「事故が起きても広げない」と考えると分かりやすいでしょう。

また、★3は「自己評価＋専門家による確認」という方式、★4は第三者評価が必要となります。

※なお、★5については現時点では詳細はまだ整備・公開されておりません。

では、何から始めればよいのでしょうか。

まず取り組みやすいポイントを、チェックリスト形式でまとめました。

まずやることチェックリスト10項目

1. まずはSECURITY ACTIONを検討する

IPAは、SCS評価制度の★3・★4取得の準備段階として「SECURITY ACTION」から始めることを推奨しています。必須ではありませんが、最初の一歩として有効です。

【参考】IPA「SECURITY ACTION セキュリティ対策自己宣言」

　https://www.ipa.go.jp/security/security-action/sa/

2. 守る対象の棚卸し

社内PC、サーバー、NAS、クラウド、メール、VPN、外部委託先が触れる環境を一覧化し、「誰が使うか」「止まると何が困るか」を書き出します。制度対象は主にIT基盤なので、ここが出発点となります。

3. 管理責任者を決める

「誰が責任を持つのか」「誰が窓口になるのか」が曖昧だと対策は進みません。情シス専任がいなくても、責任者と窓口担当は決めておくことが重要です。

4. ID・権限の棚卸し

退職者アカウントや共有ID、不要な管理者権限が残っていないかを確認します。まずは「今だれが何にアクセスできるか」を見える化します。

5. 多要素認証を入れられる所から導入

メール、クラウドストレージ、管理画面、リモートアクセスなど、重要な入口から順に多要素認証を有効化します。Microsoft 365やGoogleワークスペースなど、最近は多くの製品で設定可能になっています。設定を一度見直してみましょう。

6. バックアップの復元テスト

バックアップがあるだけでは不十分です。実際に復元できるか、小さくてもテストをしておくことが重要です。

7. 怪しいメールや異常時の連絡先を決める

「何かあったら誰に言うか」が決まっていないと初動が遅れます。社内連絡先と、必要なら外部相談先をまとめて周知しておきましょう。

8. 委託先・再委託先の扱いを確認する

どの会社がどの情報・システムに触れるのか、契約上の責任分担や連絡ルールを整理します。

9. 規程類はひな型を活用する

ゼロから作成する必要はありません。「中小企業の情報セキュリティ対策ガイドライン」や付録のサンプルを土台に進めるのがおすすめです。

【参考】IPA「中小企業の情報セキュリティ対策ガイドライン」

　https://www.ipa.go.jp/security/guide/sme/about.html

10. 自力で難しければ支援策を使う

専門家からの支援策も整備されています。すべてを内製しようとせず、活用できる支援を前提に進めた方が現実的です。

少し取っつきにくく感じる部分もあるかもしれませんが、この機会に一度、自社のセキュリティ対策を見直してみてはいかがでしょうか。

なお、弊社ではITサポートやセキュリティ対策のご相談を承っております。ご不明点や気になる点がございましたら、お気軽にお問い合わせください。

■出典

・経済産業省「『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針』（SCS評価制度の構築方針）を公表しました」（2026年3月27日）

　https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html

・経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）に関する注意喚起」（2026年4月27日）

　https://www.meti.go.jp/policy/netsecurity/20260427_scs.html

・IPA「SECURITY ACTIONとは？（★一つ星／★★二つ星）」