近年、自社だけでなく取引先や委託先の弱点を突いた「サプライチェーン攻撃」が深刻化しています。また、取引先からセキュリティチェックシートが届くたびに、対応に追われていませんか?
「自社のセキュリティ対策、本当にこれで十分なのか客観的な指標が欲しい……」
そんな企業の悩みを解決する、新たな国家制度がいよいよ動き出します。
2025年12月、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS(Supply Chain Security)評価制度の構築方針(案))を公表しました。これは企業単体ではなく、取引関係全体のセキュリティを底上げする新制度です。企業のセキュリティ水準を星(★)の数で格付けするもので、2026年度末頃の運用開始が想定されています。
本コラムでは、この新制度の全体像と、発注者・受注者それぞれにもたらすメリット、そして「今すぐ知るべきポイント」についてわかりやすく解説します。
2020年以降、国内外でサプライチェーンを起因としたサイバー攻撃や侵害が多発しています。特に日本国内では、ランサムウェアへの感染をきっかけに、情報漏洩やシステムの停止、さらには部品供給が滞り工場が停止するといった甚大な被害が後を絶ちません。
独立行政法人情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威」においても、サプライチェーンリスクに対する関心は年々高まっており、常に上位にランクインしています。
サイバー攻撃は、最も守りが弱い企業を入口にして拡大します。
大企業が直接攻撃されるのではなく、セキュリティの甘い委託先や関連会社(サプライチェーン)を経由して本丸を攻める「サプライチェーン攻撃」が増えています。しかし、中小企業にとっては「何をどこまでやればいいか分からない」、発注側にとっては「取引先の対策状況を正確に把握できない」という課題がありました。
この制度は、こうした状況を受けて、企業間取引の安全性を担保する共通の物差しを作ることを目的としています。サプライチェーン全体のセキュリティ対策状況を可視化し、リスクを体系的に低減する狙いがあります。
また、企業ごとにバラバラだったセキュリティ要求を統一し、過度な要求や認識のズレを防ぐ役割も期待されています。
「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」は、企業のIT基盤のセキュリティ対策状況を客観的に評価し、そのレベルを「★(星)」マークで可視化・公開する仕組みです。
主な特徴は以下の通りです。
| 対象範囲 | 業種を問わず全ての企業が対象となります。ただし、対象となるのはインターネット接続のあるオンプレミスやクラウドなどの「IT基盤」であり、工場などの「OTシステム」は対象外です。 | |
| 3つの評価段階 | ★3(基礎水準): すべての企業が最低限実装すべきセキュリティ対策。 | |
| ★4(標準水準): 標準的に目指すべきセキュリティ対策。(事業停止などの影響が大きい企業向け) | ||
| ★5(高度水準): 到達点として目指すべきセキュリティ対策。重要インフラ等、特に高度なレジリエンスが求められる水準。(※現在検討中)。 | ||
| 評価方法の違い | ★3は社内または社外の資格者による「人」の評価であるのに対し、★4は評価機関などの「組織」による厳格な第三者評価が必須となります。いずれも公表可能な指標になります。 | |
※★3・★4が先行して運用される見込みです。
※★1・★2は、既存の「SECURITY ACTION」制度との整合性を踏まえて位置付けられる予定です。
ISO認証のように、自社のセキュリティレベルを客観的に証明できる制度になります。この評価結果は、取引先の選定にも直接影響すると考えられています。
発注側(委託元)企業にとって最大のポイントは、取引条件にセキュリティ要件を組み込むことです。
制度では、発注者が受注者に対して「★4以上」などの基準を提示し、その達成度を確認する運用が想定されています。バラバラだった独自のチェックシートを本制度に統合することで、管理コストの大幅な削減が可能です。発注企業にとって、この制度は「取引先管理の強力な武器」になります。
発注者が取るべき主な対応は次の通りです。
これにより、委託先由来の事故リスクを低減できるだけでなく、説明責任も果たしやすくなります。
受注側(委託先)企業にとっては、より直接的な影響があります。
自社の評価が低い場合、取引機会そのものを失う可能性があるためです。
制度の目的の一つは、「どこまで対策すればよいかを明確にすること」です。受注企業にとって、この制度は「負担」ではなく「信頼の証明」と捉えるべきです。
受注者が今から取り組むべきことは以下です。
特に中小企業は、リソース不足で対策が遅れがちなため、本制度の影響を強く受けると考えられています。
本制度は2026年下期(10月〜3月)の運用開始が想定されています。しかし、対策の実施や評価の準備には時間がかかるため、早期から準備に取り掛かることが望まれます。
この制度は、単なる規制ではなく、発注者と受注者(委託元と委託先)の双方に大きなメリットをもたらします。
発注者のメリット
受注者のメリット
制度に適合することで、単なる「セキュリティ強化」以上のメリットがあります。双方にとって、取引先からの信頼向上、新規取引のチャンス拡大、セキュリティ投資の指針明確化、事故時の被害最小化、などが見込めます。
サプライチェーン全体の強化が進めば、経済全体のレジリエンス向上にも寄与します。
最も現実的なリスクは、取引からの排除です。
セキュリティ水準が明確に比較されるため、基準未満の企業は選ばれにくくなります。サプライチェーンのどこかでインシデントが発生した際、「適切な監督を行っていたか」が問われます。本制度のような公的基準を活用していない場合、ガバナンス不備とみなされるリスクが高まります。
「一定ランク未満の企業とは取引しない」という条件が一般化する可能性も指摘されています。これは品質認証やコンプライアンス要件と同様、ビジネス参入条件の一つになることを意味します。
SCS評価制度は2026年度末頃の運用開始が想定されています。
(※2026年度春以降「サイバーセキュリティお助け隊サービス」の新類型(★3取得支援など)の実証開始予定)
実質的な準備期間は非常に短いと言えます。
今すぐ着手すべきステップは次の通りです。
| Step1:現状把握 |
自社のセキュリティ対策を洗い出す ※(参照)経産省が公表している「制度構築方針(案)」の別添資料に、具体的な要求事項が記載されています。 |
| Step2:目標設定 | 必要な星ランクを想定する(取引先の要求を確認) |
| Step3:優先対策の実施 |
基本対策の不足部分を補う ※台帳管理やログ取得など、技術的な対策には時間がかかります。予算化を含め、早めの準備を推奨します。 |
| Step4:体制整備 | ルール・教育・運用プロセスの確立 |
| Step5:評価準備 | 第三者評価を受けられる状態にする |
制度開始直前では対応が間に合わない可能性があるため、早期対応が重要です。
SCS評価制度は単なるIT施策ではありません。今後のBtoBビジネスにおいて、継続的な取引の必須条件(パスポート)となる可能性が高い重要な取り組みです。
発注者:安全な取引先選定の仕組み
受注者:事業継続のための必須要件
社会全体:サイバーリスクの低減
「うちは狙われない」「小規模だから関係ない」という考え方は通用しなくなりつつあります。「難しそう」「お金がかかりそう」と感じるかもしれません。しかし、経済産業省は中小企業でも取得しやすいよう、安価な支援サービス(お助け隊サービス)やガイドラインの整備も同時に進めています。
サプライチェーンの一員である限り、すべての企業が対象です。
制度開始までに、自社の立ち位置を把握し、必要な対策を計画的に進めることが求められます。本制度を「経営課題」として捉え、前もって対応を進めることが不可欠です。
株式会社LYSTの支援サービス
株式会社LYSTでは、発注者・受注者双方の立場に立った実務支援を行っております。
制度への対応や現状把握にお悩みの方は、ぜひお気軽に株式会社LYSTまでご相談ください。事実と経験に基づいた最適な「次の一手」をご提案いたします。
★LYSTにお気軽にご相談ください★