こんにちは、 ネクストモード株式会社のサイドウです。
突然ですが、皆さんの会社ではセキュリティ対策を「事故を防ぐためのコスト(出費)」と捉えていませんか?
今回紹介する新制度を一言でまとめると、企業の対策状況を「★(星)」で評価し、取引の際の共通指標にするというものです。
つまり、本格的にこの制度が運用された後、セキュリティ対策は、単なるコストではなく、信頼の証となり、取引の維持や新規獲得に必要な「攻めの投資」へと変わっていくかもしれません。
今後のビジネスの必須条件になっていくであろう、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」のポイントをギュッと凝縮して解説します!
※本記事は2025年12月に経済産業省から発表された構築方針案に基づいています。現在も検討が進められている制度のため、実際の運用開始時には内容が変更される可能性がある点にご留意ください。
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)は、経済産業省と内閣官房国家サイバー統括室が主導し、2026年度中の運用開始を目指して検討が進められている、企業のセキュリティ対策状況を可視化するための新しい制度です。
ざっくり解説すると、2社間の取引契約等において、セキュリティ対策における共通の評価基準(SCS評価制度)を設けるというものです。
これまで難しかった
「御社でインシデントが起きるとうちの業務も止まってしまうので、このレベルの対策をお願いします」
という発注側からの明確な要請や、
「弊社はしっかりと基準を満たした対策をしていますよ」
という受注側からの客観的な証明
これらをスムーズにやり取りできるようにしましょう!という制度となっています。
続いて、本制度で実際に求められる「セキュリティ要求事項・評価基準」の具体例を見ていきましょう。 制度の評価基準は、世界的なセキュリティのガイドラインである「NIST CSF」の6分類をベースに設計されています。
そこに本制度独自の重点項目として「取引先管理」を追加した「全7分類」について、各段階で達成すべき対策が整理されています。大まかな内容は以下の表の通りです。
対策の評価のレベルは、「★1」から「★5」の5段階が設けられる予定ですが、事実上の最低基準は★3以上となっています。
まずは本格運用が始まる「★3」と「★4」の違いを案内します。詳細は後ほど解説します。
本制度は、こうした「共通言語(評価基準)」を設けることで、発注側・受注側、そして社会全体が抱える課題を解決し、表にまとめたような効果をもたらすことを目的としています。
また、中小企業の場合、「セキュリティ対策に割ける人手や予算(リソース)が限られている」「自社特有のリスクをゼロから分析して対策を考えるのはハードルが高い」といった悩みを抱えがちです。 しかし本制度を活用すれば、国や専門家があらかじめ包括的なリスク分析を行った上で「共通して求められる一般的な対策」を提示してくれるため、中小企業は「自社が何をすべきか」を迷うことなく、容易かつ適切に対策を決定できるようになるという効果も期待されています。
| 視点 | 現状の課題 | 目指す効果 |
| 発注企業 | 取引先におけるセキュリティ対策が可視化しづらく、自社が求めている要求事項(チェックリスト等)が適正な水準かどうかの担保も難しい。 | ・取引先に求める対策水準の決定や、実施状況の把握が「共通言語」で簡易化される。 ・取引先の対策レベルが上がることで、サプライチェーン経由で自社が被害を受けるリスクを低減できる。 |
| 受注企業 | 複雑なサプライチェーン下で、様々な取引先からバラバラの要求事項を求められ、都度対応する過度な負担につながっている。 |
・自社がどこまで対策を実施すべきかが明確になる。 |
| 社会全体 | 一つの企業のインシデントが連鎖し、経済や社会生活に広く影響を及ぼす事案が頻発している。 |
・サプライチェーン全体の底上げにより、社会全体の「サイバーレジリエンス(サイバー攻撃への回復力・抵抗力)」が強化される。 |
制度の概要がわかったところで、本制度が対象としているリスクの範囲を見ていきましょう。
本制度では、単なる自社の「情報漏えい」だけでなく、サプライチェーン全体に影響を及ぼす以下の3つの主要なリスクを防ぐことを目的としています
発注企業は、これらのリスク観点から、各サプライチェーンにおいてセキュリティインシデント発生時のリスク・影響を分析し、要求する★のレベルを判断します。
以下に、経済産業省が案内している★適用の考え方の一例を記載します。
サプライチェーンを構成する企業のIT基盤(一般的なパソコン、サーバ、ネットワーク機器、クラウド環境など)が対象となっています。
一方で、工場の製造ラインを動かす「制御システム(OT)」や、発注元に納品する「製品そのもの(IoT機器など)」は、求められるセキュリティ対策が異なるため、本制度の対象外とされています。
まず★5段階の概要は以下の通りとなっています。
上位の段階はそれ以下の段階で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係ではありません。
★1・★2
IPA(情報処理推進機構)が現在運営している「SECURITY ACTION」制度を参照する。
★3(実質の最低基準)
一般的なサイバー脅威に対処するため、すべてのサプライチェーン企業が最低限実装すべき基礎的なセキュリティ対策の段階です。外部のセキュリティ専門家による確認と助言を経た「自己評価」で取得でき、有効期間は1年です。
★4
サプライチェーンにおいて重要な位置づけを持つ企業などが、標準的に目指すべき包括的なセキュリティ対策の段階です。取得には指定された評価機関による第三者評価(実地審査や技術検証)が必要となり、有効期間は3年です。
★5
より高度なサイバー攻撃への対応として、ベストプラクティスに基づき到達点として目指すべき最も高度な対策の段階です。こちらも第三者評価となりますが、詳細な対策基準や評価スキームについては令和8年度(2026年度)以降に具体化される予定です
★3以降の段階について、下記表にまとめていますので、こちらも参照ください。
★3については、「自己評価」、★4以上は第三者評価とのことですが、実際の評価の実施内容についても資料が公開されていましたので、簡略化したものを以下にまとめています。
★4以降は、第三者評価として、実地検査や技術検証の評価プロセスが必要であり、取得までに要する期間やハードルが比較的高くなっている形となります。
★3および★4のSCS評価制度については、2026年度下期後半が運用開始想定となっています。
まだ少し先のように感じるかもしれませんが、いざ発注元から「来年の取引更新までに★3を取ってください」などの依頼を受けても、すぐには対応できません。 まずは自社の現状のセキュリティ対策が、7分類の基準とどれくらいギャップがあるのかを確認し、来年度の予算や計画に少しずつ組み込んでいくことをお勧めします!
※★5の開始予定時期は未定
今回は、2026年度から本格始動する「SCS評価制度」の概要についてまとめてみました。
冒頭に書いた通り、この制度が始まれば、「★を持っていること」が信頼の証となり、新たな取引を獲得するための「攻めの投資」へと変わっていきます。
特に「★4」を目指すとなると、高度な監視や厳格なアイデンティティ管理など、ツールと運用の両面で一段上の対策が求められます。
ネクストモードでは、OktaやNetskope、CrowdStrikeといった強力なセキュリティ商材の導入をサポートしております。「制度対応をきっかけに、さらなるセキュリティ対策を実装したい」という方は、ぜひお気軽にご相談ください!
参考資料:
https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
https://www.meti.go.jp/press/2025/12/20251226001/20251226001-c.pdf