経済産業省のSCS評価制度「全社で備える」理由
2026年3月27日、経済産業省と内閣官房国家サイバー統括室は、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の制度構築方針を公表しました。この制度は、サプライチェーンを構成する企業のセキュリティ対策状況を共通の基準で評価・可視化し、委託元・委託先双方の負担を軽減しながら、サプライチェーン全体のセキュリティ水準を底上げすることを狙う仕組みです。
本記事では、制度の概要を正確に理解することに加え、なぜ「情シス/セキュリティ部門だけ」では完結しないのかを整理します。SCS評価制度は、単なる技術対策ではなく、会社全体の運用、契約、教育、ガバナンスを含めた“信頼の仕組み”として捉える必要があります。
SCS評価制度を一言で言うと
これまで多くの企業では、取引先ごとに形式の異なるチェックシートや個別要件で確認が行われてきました。回答する側も確認する側も負荷が高く、しかも基準がばらばらで比較しにくいという課題がありました。
SCS評価制度は、その課題に対して「共通のものさしで対策状況を可視化しよう」という発想です。つまり、個別対応の積み重ねではなく、一定の共通基準に沿ってセキュリティ対策の水準を確認できるようにする制度です。
また、制度は取引契約等において、委託元が委託先に必要な段階(★)を提示し、対策を促し、実施状況を確認する利用形態も想定しています。サプライチェーン全体で「どこまで備えているか」を共通言語でやり取りできるようにする点が、大きな特徴です。
「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました (METI/経済産業省)
経済産業省及び内閣官房国家サイバー統括室は、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS(Supply Chain Security)評価制度の構築方針(案))に対して実施した意見募集の結果を踏まえ、必要な修正を加えた「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を、本日公表しました。 本方針に基づき、2026年度末頃の制度開始を目指した取組を進めてまいります。
https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
3/27公表の要点
今回の公表で、少なくとも以下の点が公式に示されました。
- 制度の目的
共通基準で評価・可視化し、サプライチェーン全体のセキュリティ水準向上を図る
- 制度の性格
企業の優劣を競う「格付け」を目的とするものではない
- 対象範囲
主に企業等のIT基盤(クラウド含む)が対象。OT(制御)システムや提供製品等は直接の対象外
- 段階(★)
★3・★4(★5は今後検討)
- 開始時期
★3/★4は2026年度末頃の制度開始(申請受付開始)を目指す
- 評価の考え方
★3は「最低限の対策」、★4は「より包括的な対策」として設計
- 評価スキーム
★3は専門家確認付き自己評価、★4は第三者評価が想定される
- 注意点
取得・更新時点で定められた水準を満たしていることを示すものであり、完全な安全を保証するものではない
- 今後の補足資料
要求事項や評価基準を満たすための具体的実装例をまとめた評価ガイド等を、2026年秋頃を目途に公表予定
ここで重要なのは、SCS評価制度が「合格すれば終わり」の制度ではないことです。むしろ、一定の時点で必要な水準を満たしていることを示し、それを継続的に維持していくことが前提になります。
SCS評価制度におけるセキュリティ対策の段階
本制度においては、★でセキュリティ対策の段階が定められており、評価スキーム等も異なります。
★3 | ★4 | ★5[検討中※2] | |
|---|---|---|---|
想定される脅威 |
|
|
|
対策の基本的な考え方 | 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策:
| サプライチェーン企業等が標準的に目指すべきセキュリティ対策:
| サプライチェーン企業等がさらに目指すべき高度な対策:
|
要求事項 | 26件 | 43件 | (今後検討) |
有効期間 | 1年 | 3年(毎年自己評価を実施し、結果を評価機関へ提出) | (今後検討) |
評価スキーム | 専門家確認付き自己評価 ※1 | 第三者評価 | 第三者評価 |
※1:専門家・登録セキスペ、CISSP等の資格を有し、かつ制度が定める研修を受講したセキュリティ専門家
※2:ISMS適合性評価制度、★3・4との整合性も踏まえ、対策事項を今後検討
「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました (METI/経済産業省)を元に作成。注釈の番号を本記事に合わせ編集
各段階の要求事項及び評価基準
各段階の要求事項については、経済産業省のサプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(METI/経済産業省)のページからExcel形式でダウンロードし確認することができます。
サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針
サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/20260327_report.html
対象は「IT基盤」- だから“全社の実態”が問われる
公式資料では、本制度の対象はサプライチェーン企業等のIT基盤(クラウド含む)とされています。これは言い換えると、社内の一部署だけが持つシステムではなく、業務で使っている端末、ネットワーク、クラウド利用、認証基盤、ログ、バックアップ、委託先接続など、会社全体の運用実態が評価の前提になるということです。
そして重要なのは、SCSは「製品導入ありき」ではない点です。公式資料でも、特定のセキュリティ対策製品の導入が必須とされているわけではないことが示されています。つまり、問われるのは「何を買ったか」よりも、要求事項・評価基準に沿った運用が実際にできているかです。
ここが、情シスだけで完結しない最大の理由です。SCSの設計は、技術対策だけでなく、ガバナンスや取引先管理を含んでいることが特徴です。概要資料でも、★4では「組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等の包括的対策」を実施する考え方が示されています。
この時点で、関係部門は情シスにとどまりません。たとえば以下のような役割が必要です。
経営層・事業責任者:方針の意思決定、リソース配分、対外説明の責任
調達・購買・パートナー管理:委託先管理、契約・要件提示、サプライチェーン上の要求整合
法務・コンプライアンス:契約条項、情報共有の範囲、インシデント時の連携・通知
人事・総務:ルール周知、教育、権限管理の運用
全社員:認証、共有、持ち出し、報告など、日々の業務そのもの
つまり、SCS評価制度は「システムの設定が正しいか」を見るだけではありません。会社として、ルールを決め、守り、運用し、必要なときに説明できるかが問われます。
4. なぜ“全社で備える”必要があるのか
サイバーセキュリティは、ひとつの部門だけで完結するものではありません。たとえば、情シスが強固な設定をしていても、現場がルール外の共有をしていれば、そこが弱点になります。法務が契約条項を整えても、調達現場で委託先管理が徹底されなければ、サプライチェーン全体の安全性は上がりません。経営が重要性を理解していても、教育や運用の仕組みがなければ、継続性は保てません。
SCS評価制度が示しているのは、まさにこの現実です。セキュリティは「情シスの専門領域」ではなく、会社の仕事の品質そのものです。だからこそ、制度対応は技術対策の整備だけでなく、業務フロー、契約、教育、権限管理、報告体制まで含めて見直す必要があります。
5. まとめ
SCS評価制度は、サプライチェーンにおけるセキュリティ対策状況を共通基準で可視化し、取引実務の中で活用されることを想定した制度です。対象はIT基盤であり、ガバナンスや取引先管理、対応・復旧まで含む考え方が示されています。
だからこそ、これを機に「セキュリティ=情シスの仕事」ではなく、全社の仕事の品質=信頼として捉え直すことが重要です。SCSは「セキュリティ部門が頑張ればOK」ではなく、会社の仕事の仕方そのものを整える話でもあります。
今日からできること
まずは、普段の業務で次の3点を見直すところから始めましょう。
- 社外共有のルールを守れているか
- 委託先との連携・確認が適切にできているか
- 不審な挙動や異常を、決められた手順で報告できているか
小さな行動の積み重ねが、制度対応の土台になります。SCS評価制度を「難しい新制度」として構えるのではなく、全社で信頼を守るための共通ルールづくりとして捉えることが、これからの備えにつながります。
