■初回投稿日:2026.03.02 最終投稿日:2026.06.02
近年、自社だけでなく、取引先や委託先の弱点を突いた「サプライチェーン攻撃」が深刻化しています。また、取引先からセキュリティチェックシートが届くたびに、「どこまで対応すればよいのか分からない」「自社の対策状況を客観的に説明できない」と感じている企業も多いのではないでしょうか。
こうした課題に対応するため、経済産業省および内閣官房国家サイバー統括室は、2026年3月に「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」を公表しました。
サプライチェーンセキュリティ(SCS)評価制度は、企業のセキュリティ対策状況を共通の基準で可視化し、発注者・受注者双方が取引におけるセキュリティ水準を確認しやすくするための制度です。2026年度末頃、具体的には2027年3月頃の運用開始が予定されています。
ただし、制度はあくまで任意の仕組みであり、「今すぐ取得しないと取引できない」「特定の製品を導入しなければならない」というものではありません。重要なのは、制度の趣旨を正しく理解し、自社の現状を把握したうえで、必要な対策を段階的に整えていくことです。
本コラムでは、SCS評価制度の最新情報を踏まえ、発注者・受注者それぞれが今から確認しておきたいポイントを分かりやすく解説します。
なぜ今、サプライチェーンのセキュリティなのか
2020年以降、国内外でサプライチェーンを起因としたサイバー攻撃や侵害が多発しています。特に日本国内では、ランサムウェアへの感染をきっかけに、情報漏洩やシステムの停止、さらには部品供給が滞り工場が停止するといった甚大な被害が後を絶ちません。
独立行政法人情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威」においても、サプライチェーンリスクに対する関心は年々高まっており、常に上位にランクインしています。
サイバー攻撃は、最も守りが弱い企業を入口にして拡大します。
大企業が直接攻撃されるのではなく、セキュリティの甘い委託先や関連会社(サプライチェーン)を経由して本丸を攻める「サプライチェーン攻撃」が増えています。しかし、中小企業にとっては「何をどこまでやればいいか分からない」、発注側にとっては「取引先の対策状況を正確に把握できない」という課題がありました。
この制度は、こうした状況を受けて、企業間取引の安全性を担保する共通の物差しを作ることを目的としています。サプライチェーン全体のセキュリティ対策状況を可視化し、リスクを体系的に低減する狙いがあります。
また、企業ごとにバラバラだったセキュリティ要求を統一し、過度な要求や認識のズレを防ぐ役割も期待されています。
セキュリティ対策評価制度(SCS評価制度)の仕組み:セキュリティ対策状況を共通の基準で可視化する制度
「サプライチェーン強化に向けたセキュリティ対策評価制度」、通称「SCS評価制度」は、サプライチェーンを構成する企業のセキュリティ対策状況を、共通の基準で評価・可視化するための制度です。
これまで、
発注者側は「委託先がどの程度セキュリティ対策を行っているのか分かりにくい」
受注者側は「取引先ごとに異なるチェックシートや要求事項への対応が負担になる」
といった課題を抱えていました。
SCS評価制度は、こうした双方の負担を軽減しながら、サプライチェーン全体のセキュリティ水準を底上げすることを目的としています。
主なポイントは、次の通りです。
| 項目 | 内容 |
| 対象 | サプライチェーンを構成する企業。特に中小企業にとっても関係のある制度です。 |
| 目的 | 取引先のセキュリティ対策状況を共通の基準で確認しやすくすること。 |
| 運営 | 経済産業省および内閣官房国家サイバー統括室の監督のもと、IPAが制度を運営します。 |
| 段階 |
まずは★3・★4を中心に制度開始が予定されています。 ★5は今後、具体化が進められる予定です。 |
| 開始時期 | ★3・★4は2026年度末頃、具体的には2027年3月頃の運用開始が予定されています。 |
制度のイメージとしては、発注者が受注者に対して、業務内容や取り扱う情報の重要度に応じたセキュリティ対策の段階を示し、受注者がその対策状況を確認・説明できるようにする仕組みです。
つまり、SCS評価制度は「企業を一律にランク付けして優劣を競わせる制度」ではありません。取引上必要なセキュリティ対策を、共通の物差しで確認しやすくするための制度と捉えると分かりやすいでしょう。
★3・★4・★5の違いとは?
SCS評価制度では、セキュリティ対策の段階として★3・★4・★5が示されています。現時点で具体的な運用開始が予定されているのは、主に★3と★4です。
| ★3:基礎的なセキュリティ対策を整える段階 |
|
★3は、一般的なサイバー脅威に対処できることを目指す基礎的な水準です。 ウイルス対策、OSやソフトウェアの更新、ID・パスワード管理、バックアップ、社内ルール、インシデント発生時の連絡体制など、企業として最低限整えておきたい対策が中心になります。 評価方法としては、取得を希望する企業が自ら評価を行い、その内容についてセキュリティ専門家の確認を受ける「専門家確認付き自己評価」が想定されています。 中小企業がまず目指すべき現実的な水準としては、この★3が一つの目安になると考えられます。 |
| ★4:より包括的な対策を求められる段階 |
|
★4は、初期侵入の防御だけでなく、被害拡大の防止、インシデント対応、取引先のデータやシステムの保護など、より包括的な対策が求められる水準です。 評価方法としては、第三者評価機関による審査や技術検証が想定されています。 重要な情報を扱う企業、取引先への影響が大きい企業、システム停止時の事業影響が大きい企業などでは、★4を求められる場面が出てくる可能性があります。 |
| ★5:今後具体化される高度な水準 |
|
★5は、より高度なサイバー攻撃への対応や、リスクベースのセキュリティマネジメントを想定した水準です。 ただし、★5については、要求事項や評価スキーム、開始時期などが今後具体化される予定です。 |
現時点では、まず★3・★4の内容を確認し、自社に関係しそうな水準を把握することが現実的です。
なお、★3を取得していなければ★4を取得できない、という関係ではありません。自社の事業内容、取引先から求められる水準、取り扱う情報の重要度などを踏まえて、必要な段階を検討することになります。
注意したいポイント:SCS評価制度は「任意制度」であり、特定製品の導入が必須ではない
SCS評価制度については、制度開始前の段階から関心が高まっています。
一方で、「評価を取得していないと商取引が規制される」「今すぐ取得しないと入札から除外される」「特定のセキュリティ製品を導入しなければ評価を取得できない」といった説明には注意が必要です。
SCS評価制度は、2社間の取引契約等において、発注者が受注者に適切なセキュリティ対策の段階を示し、受注者がその対策状況を確認・説明できるようにする任意の制度です。
制度そのものが、個別の商取引を直接規制するものではありません。また、評価基準を満たすために、特定のセキュリティ製品や特定のサービスの導入が必須とされているわけでもありません。
もちろん、今後、取引先からセキュリティ対策状況の説明を求められる場面は増えていくと考えられます。その意味で、SCS評価制度への理解や準備は重要です。
しかし、焦って不要な製品を導入するのではなく、まずは自社の現状を把握し、足りない対策を整理し、優先順位をつけて対応することが大切です。
特に中小企業の場合、いきなり高度な対策を一度に整えるのは現実的ではありません。まずは、アカウント管理、端末管理、バックアップ、メール対策、アクセス制御、社内ルール、インシデント時の連絡体制など、基本的な対策から確認していくことが重要です。
発注者は何をすればよいのか
発注者、つまり委託元企業にとって、SCS評価制度は取引先のセキュリティ対策状況を確認するための共通の物差しになります。
これまで、取引先ごとに独自のチェックシートを作成したり、個別にヒアリングを行ったりしていた企業も多いと思います。しかし、要求事項がバラバラだと、発注者側も管理が煩雑になり、受注者側にも大きな負担がかかります。
SCS評価制度を活用することで、業務内容や取り扱う情報の重要度に応じて、どの程度のセキュリティ対策を求めるべきかを整理しやすくなります。
発注者が今から確認しておきたいポイントは、次の通りです。
|
重要なのは、すべての取引先に一律で高い水準を求めることではありません。取り扱う情報の重要度、業務停止時の影響、システム連携の有無などを踏まえ、リスクに応じた確認を行うことです。
また、発注者側が一方的に要求を突きつけるのではなく、受注者側が現実的に対応できるよう、段階的な改善や支援の考え方を持つことも重要です。
受注者は何をすればよいのか
受注者、つまり委託先企業にとって、SCS評価制度は自社のセキュリティ対策状況を取引先に説明するための材料になります。
今後、取引先から「自社のセキュリティ対策はどうなっているか」「バックアップは取っているか」「退職者のアカウントは削除されているか」「インシデント発生時の連絡体制はあるか」といった確認を受ける機会は増えていくと考えられます。
このとき、場当たり的に回答するのではなく、自社の対策状況を整理し、説明できる状態にしておくことが重要です。
受注者が今から取り組むべきことは、次の通りです。
|
特に中小企業では、「対策をまったくしていない」というよりも、「やっていることはあるが、文書化されていない」「担当者任せで、会社として説明できない」というケースが少なくありません。
SCS評価制度への準備では、ツールを入れることだけが目的ではありません。すでに実施している対策を整理し、不足している部分を見える化し、取引先に説明できる状態にすることが大切です。
制度導入による「発注者」「受注者」のメリット
この制度は、単なる規制ではなく、発注者と受注者(委託元と委託先)の双方に大きなメリットをもたらします。
発注者のメリット
- 要求水準の明確化: 調達や業務委託の際、受注者に対して「★3以上」といった形でセキュリティ要件を明確に指定できるようになります。
- 評価プロセスの効率化: これまで取引先ごとに個別に実施していたセキュリティ調査(アンケート送付や監査)が標準化されるため、管理にかかる工数が大幅に削減されます。
受注者のメリット
- 個別対応からの解放: 一度「★」の認定を取得・公開すれば、複数の発注元から個別に要求されていたセキュリティ評価やアンケート対応の手間から解放されます。
- 信頼性の証明と競争力強化: 自社のセキュリティ対策方針が明確になり、取引先からの信頼獲得や継続的な受注機会の確保に直結します。
制度に適合することで、単なる「セキュリティ強化」以上のメリットがあります。双方にとって、取引先からの信頼向上、新規取引のチャンス拡大、セキュリティ投資の指針明確化、事故時の被害最小化、などが見込めます。
サプライチェーン全体の強化が進めば、経済全体のレジリエンス向上にも寄与します。
制度に対応しないとどうなるのか
SCS評価制度は任意の制度であり、評価を取得していないことだけを理由に、国が個別の商取引を規制するものではありません。
そのため、「評価を取得していないとすぐに取引できなくなる」「今すぐ取得しないと入札から除外される」といった理解は正確ではありません。
一方で、制度の開始後、取引先からセキュリティ対策状況の説明を求められる場面が増える可能性はあります。特に、重要な情報を扱う業務、システム連携を伴う業務、事業継続に影響する業務では、委託先のセキュリティ対策が取引判断の材料になることが考えられます。
現実的なリスクは、「制度に対応していないから直ちに取引停止になる」ということではなく、次のような状態です。
| ✖️ 取引先からのチェックシートに回答できない ✖️ 自社の対策状況を説明できない ✖️ 基本的なセキュリティ対策の不備を指摘される ✖️ 改善計画を示せず、取引先から不安視される ✖️ 新規取引や継続取引の判断材料で不利になる |
つまり、重要なのは「評価取得そのもの」だけではありません。自社のセキュリティ対策を棚卸しし、必要な改善を進め、取引先に説明できる状態を作ることです。
制度を過度に恐れる必要はありませんが、「まだ先の話」として何もしないのも危険です。まずは現在の対策状況を確認し、できるところから整備を進めることが重要です。
いつまでに何をすればよいのか
SCS評価制度は、★3・★4について2026年度末頃、具体的には2027年3月頃の運用開始が予定されています。
また、今後は申請方法、評価機関、セキュリティ専門家、申請・登録費用、評価ガイドなどの詳細情報が順次公表される予定です。
そのため、現時点で中小企業が行うべきことは、いきなり評価取得を目指して動くことではなく、まずは自社の現状を把握し、制度の要求事項と照らして不足している部分を整理することです。
今から進めるべきステップは、次の通りです。
| Step1 | 自社のセキュリティ対策を棚卸しする |
まずは、現在どのような対策を行っているかを整理します。
メール対策、端末管理、クラウドサービスのアクセス制御、バックアップ、アカウント管理、社内ルール、インシデント対応体制など、項目ごとに確認します。
| Step2 | 取引先から求められている事項を整理する |
過去に取引先から受け取ったセキュリティチェックシート、契約書のセキュリティ条項、個別の要望などを確認します。
どの取引先から、どのような対策を求められているのかを整理することで、優先順位が見えやすくなります。
| Step3 | 不足している対策を洗い出す |
実施している対策、実施していない対策、実施しているが文書化されていない対策を分けて確認します。
中小企業では、実際には対策していても、ルールや手順として残っていないケースがあります。そうした場合は、文書化や運用整理も重要な対応になります。
| Step4 | 優先順位をつけて改善する |
すべてを一度に整える必要はありません。
まずは、退職者アカウントの削除、管理者権限の見直し、重要データのバックアップ、OS・ソフトウェアの更新、メールのなりすまし対策、インシデント時の連絡体制など、基本的かつ効果の大きい対策から進めるとよいでしょう。
| Step5 | 取引先に説明できる状態にする |
最終的に重要なのは、対策を実施するだけでなく、取引先に説明できる状態にすることです。
「何を実施しているのか」「誰が管理しているのか」「問題が起きたときにどう対応するのか」を整理しておくことで、チェックシートへの回答や取引先からの確認にも対応しやすくなります。
制度開始直前に慌てて対応しようとしても、ルール整備や運用改善には時間がかかります。今のうちから現状把握を始め、段階的に準備を進めることが大切です。
まとめ:SCS評価制度は、取引先に説明できるセキュリティ体制づくりのきっかけ
SCS評価制度は、サプライチェーン全体のセキュリティ水準を高めるために、企業の対策状況を共通の基準で可視化する制度です。
制度そのものは任意であり、取得していないことだけを理由に、直ちに商取引が規制されるものではありません。また、特定のセキュリティ製品の導入が必須とされているわけでもありません。
しかし、取引先からセキュリティ対策状況を確認される場面は、今後さらに増えていくと考えられます。特に中小企業にとっては、「何をどこまで対策すればよいのか」「取引先にどう説明すればよいのか」を整理することが重要になります。
まず取り組むべきことは、次の3つです。
✅ 自社のセキュリティ対策を棚卸しする
✅ 取引先から求められている事項を整理する
✅ 不足している対策を優先順位づけして改善する
SCS評価制度を、単なる「取得しなければならない制度」と捉えるのではなく、自社のセキュリティ体制を見直し、取引先からの信頼を高めるためのきっかけとして活用することが大切です。
LYSTでは、中小企業の皆さまに向けて、サイバーセキュリティ対策の現状把握から、課題整理、対策の優先順位づけ、取引先からのセキュリティチェックシート対応まで、実務に沿った支援を行っています。
「SCS評価制度に向けて、まず何を確認すればよいか分からない」
「取引先からセキュリティ対策の説明を求められている」
「自社の対策状況を一度整理したい」
このようなお悩みがありましたら、まずはお気軽にご相談ください。制度対応だけを目的にするのではなく、会社の実態に合った無理のないセキュリティ対策をご提案いたします。
★お気軽にご相談ください★
↓↓LYST「サプライチェーンセキュリティ評価制度」解説講座をお申込み受付中↓↓
※2026/6/18まで。それ以降は、上記のボタンよりご相談ください。
