コンテンツへ移動 メニューに移動 下段の情報に移動
🙂️ 今日も良い一日を。 正常稼働中 最終更新日 | 07/01 05:05
無料お試しはこちら
alert
同時接続機能の正式提供について

【SCS評価制度概要】今さら聞けない「SCS評価制度」とは?2026年最新の概要・格付け基準・背景にある脅威を徹底解説

2026.06.23
  • インサイト
【SCS評価制度概要】今さら聞けない「SCS評価制度」とは?2026年最新の概要・格付け基準・背景にある脅威を徹底解説

自社だけでなく、取引先や委託先を含めたサプライチェーン全体を狙ったサイバー攻撃が激増しています。こうした背景から、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築を進めています。

「うちのような中小企業には関係ないのでは?」「具体的に何をすればいいの?」と思われている担当者の方も多いかもしれません。しかし、この制度は大手企業だけでなく、そこに組み込まれるすべての企業に関係する重要な動きです。今回は、SCS評価制度の基本的な概要から、星(★1〜★5)の格付け基準、制度が創設された背景にある深刻な脅威までをわかりやすく解説します。

✨ [要約] SCS評価制度とは、自社だけでなく取引先を含めた「サプライチェーン全体のセキュリティ対策状況」を共通の基準で格付け・可視化する制度。法律上の義務ではないものの、今後のB2B取引の継続において、中堅・中小企業にとっても対応が必須となる重要な基準です。

そもそも「SCS評価制度」とは?

SCS評価制度(正式名称:サプライチェーン強化に向けたセキュリティ対策評価制度)とは、サプライチェーンを構成する企業のセキュリティ対策状況を、共通の基準で評価し、可視化(格付け)する制度です。発注元企業と委託先企業の双方の確認負担を軽減しながら、日本企業全体のセキュリティ水準を高めることを目的としています。

従来、発注元企業が取引先のセキュリティ対策状況を確認する場合、企業ごとに異なるチェックシートが使われるケースが多く、委託先企業にとっては「取引先ごとに異なるバラバラの確認項目に対応しなければならない」という大きな負担がありました。

SCS評価制度では、こうした確認を国が定めた共通の基準に基づいて行えるようにします。具体的には、取引契約などにおいて、委託元企業が委託先に対して適切な評価レベル(星の数)を提示し、委託先がその星の獲得に向けて対策を実施していくことが想定されています。

従来のバラバラな基準による個別のセキュリティ審査と、SCS評価制度導入後の共通基準(星の数による格付け)による簡単な審査方法の比較図解。
従来の複雑な個別審査(左)と、SCS評価制度導入による共通基準での効率的な審査(右)の比較

なお、評価レベル★3および★4については、2026年度末頃の制度開始(申請受付の開始)を目指して準備が進められています。

SCS評価制度の評価レベル:★1〜★5の違いと格付け基準

SCS評価制度では、企業のセキュリティ対策状況を段階的に示す仕組みが導入されます。新たに創設されるSCS評価制度は「★3以上」を中心とした独立した客観的評価ですが、その前段階として、IPA(情報処理推進機構)が運用する既存の「SECURITY ACTION」に相当する★1・★2も位置づけられています。

評価レベル 概要 主な対象企業イメージ
「情報セキュリティ5か条」に取り組むことを自己宣言するレベル これからセキュリティ対策を始める中小企業
★★ 自社診断を行い、情報セキュリティ基本方針を策定・公開して宣言するレベル 基本的な対策を自社で進めたい企業
★★★ 客観的な基準に基づき、基本的なセキュリティ対策の実施状況を確認・評価するレベル 取引先から一定の対策を求められる一般的な中小企業・ベンダー
★★★★ より重要な情報や業務を扱う企業向けの高度な評価レベル 重要インフラや大手企業の主要サプライヤー
★★★★★ 高度なサイバー攻撃への対応を想定した最高水準の評価レベル サプライチェーンの核となるグローバル企業・大企業

★1・★2は、企業がセキュリティに取り組むことを自ら宣言する簡易的な制度ですが、★3以上は第三者(または客観的なスキーム)によって実施状況を確認する本格的な段階となります。

SCS評価制度の対象となる企業と「義務化」のリアル

SCS評価制度は、現時点では法律上の義務として一律にすべての企業へ課されるものではありません。しかし、「法的な義務ではないこと」と「実務上、対応しなくていいこと」は別です。

今後は、大手企業や官公庁との取引契約や調達要件の中で、委託元企業から「取引継続の条件として★3(または★4)の取得」を求められるケースが確実に増えていきます。

そのため、大企業や公共機関と取引がある企業、重要情報やシステム運用を委託されている中堅・中小企業にとっては、実質的な「必須の取引条件」となっていくと考えられます。

なぜ今、国を挙げてこの制度が必要なのか?(最新の脅威統計)

国が主導してこの制度を整備している背景には、自社内部の防壁をどれだけ強固にしても、取引先や委託先など、比較的対策が手薄な企業を経由して侵入する「サプライチェーン攻撃」が世界的な大問題になっていることがあります。

📊 レポートが示すサプライチェーンの現実

データ侵害における第3者の関与:30%

米Verizon社の『2025年データ漏洩/侵害調査報告書(DBIR)』によると、全体のデータ侵害の30%にサードパーティの供給業者が関与しており、この割合は前年比で2倍に急増しています。

サプライチェーン侵害の平均被害額:491万ドル(約8億円)

米IBM社が発表した2025年のセキュリティレポートによると、サプライチェーン経由で発生したデータ侵害1件あたりにかかる企業の平均費用は491万ドルに達しています。

日本企業の45.8%がランサムウェア被害を経験

一般財団法人日本情報経済社会推進協会が2026年1月に実施した「企業IT利活用動向調査2026」によると、ランサムウェアの感染割合は45.8%。約2社に1社がランサムウェアの被害を経験しており、ランサムウェアが企業にとって極めて現実的な脅威となっています。

攻撃者たちは、高度なハッキング技術で大企業を正面突破するのではなく、「取引先に付与されている正規のアクセス権限」を盗んで静かに侵入してくるのです。

SCS対応で見落とされやすい「外部アクセス環境」のリスク

SCS対応を考える際、多くの企業が規程の整備や社内PCのウイルス対策に目を奪われがちです。しかし、実際の業務環境において最も見落とされやすく、かつ攻撃者に狙われやすいのが「外部ベンダーや委託先が、社内システムにリモート接続してくる環境」です。

システムの維持保守やネットワークの点検のために、外部の専門業者にリモートアクセスを許可している企業は多いでしょう。しかし、以下のような運用に心当たりはありませんか?

  • 取引先(ベンダー)だからと、VPNアカウントをそのまま渡している
  • 外部の作業者間で、1つの共有アカウントを使い回している
  • 外部ベンダーが「いつ」「誰が」「どの端末から」「どんな操作をしたか」の履歴を完全に把握できていない

これらは、制度の審査において厳しく問われるポイントであると同時に、攻撃者にとって格好の進入口となります。社外からのアクセス環境をブラックボックスにせず、いかに自社のセキュリティポリシーの下でコントロールできるかが、SCS対応の成否を分けます。

SCS評価制度に関するよくある質問(FAQ)

Q1.  一般的なサイバーセキュリティ対策と、SCS評価制度の求める対策は何が違いますか?

A. 一般的なセキュリティが「自社の社内ネットワークやシステム」の防御に集中するのに対し、SCS評価制度では、外部ベンダーや委託先を含めた「組織の境界線を越えたサプライチェーン全体の網羅的なリスク管理」が求められる点が異なります。

Q2.  セキュリティ予算の少ない中小企業でも、この制度を意識する必要がありますか?

A. 大いにあります。大手企業の強固なセキュリティを突破できない攻撃者は、意図的にセキュリティの脆弱な「サプライチェーン内の中小企業」を最初の標的にします。もし大企業への侵入経路(踏み台)になってしまえば、取引停止や巨額の損害賠償など、経営の存続に関わるリスクを負うため、中小企業にこそ必要な制度です。

Q3.  外部ベンダーや保守業者のリモートアクセスを安全に管理し、制度基準を満たすには?

A. 単にVPNを渡すような運用は避け、個人別の接続履歴の管理、IP/MACアドレスによる接続元制限、2段階認証(MFA)を強制できる「管理型のリモートアクセスソリューション」を導入することが推奨されます。これにより、万が一の際にも「誰が・いつ・何をしたか」を完全に監査・追跡(可視化)できるようになります。

💡 確実な対策へのステップ

SCS評価制度をスムーズにクリアし、高い評価(星)を獲得するための第一歩は、
最もリスクになりやすい「外部ベンダーの接続経路のコントロール」から始まります。

従来のVPN運用に潜むリスクや、評価基準を満たすために現場が今すぐ取り組むべき
具体的な「第3者接続の統制」については、ぜひ次の解説記事を参考にしてください。

リスト

関連コンテンツ

お問い合わせ

利用ガイド

10分体験

floating