サプライチェーン強化に向けたセキュリティ対策評価制度の概要:★3と★4の違いも解説
近年、企業間取引において「サプライチェーン評価制度」という言葉を耳にする機会が増えました。一般的にサプライチェーン評価というと、環境や人権・労働分野など、非常に幅広い概念が含まれます。
今回解説するのは、「情報セキュリティ(サイバー対策)」に特化した、経済産業省(およびIPA)が2026年度中の運用開始を目指して構築を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」です。
本記事では、この新しい評価制度の概要をご紹介します。(2026年5月8日時点)
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)とは?
制度の概要
近年、取引先を踏み台にしたサイバー攻撃が頻発しており、サプライチェーン全体でのセキュリティ強化が求められています。しかし現状では、発注元企業が取引先の対策状況を判断しづらい、あるいは委託先企業が複数の取引先から個別・ばらばらのアンケートや管理策の開示などの要求を受けて疲弊するといった課題がありました。
本制度は、企業ごとの重要性や影響度に応じて求めるセキュリティ対策水準を示し、その実施状況を可視化・評価する仕組みです。実務上は、経産省が示す要求事項・評価基準に沿って確認していく、標準化されたセキュリティチェックシートに近い評価の枠組みといえます。
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」に関する情報です。
www.ipa.go.jp
制度の背景:「どの企業も」攻撃の起点になり得る
従来、サイバー攻撃の標的は、主要製造業や金融業、IT企業などが中心と考えられがちでした。
しかし、この制度の背景にあるのは、業種や規模を問わず、サプライチェーンに連なるあらゆる企業が攻撃の起点、あるいは踏み台になり得るという産業界全体の問題意識であり現実です。そのため、限られたリソースの中で対策を進める中小企業を含め、サプライチェーンに属する多くの企業が無関係ではいられません。
一方で、中小企業にとってサイバーセキュリティへの対策が過度な負担にならないかという懸念も示されています。これに対し、本制度では、すべての企業に一律の高い水準を求めるのではなく、企業の立ち位置やリスクに応じて段階的に取り組めるよう、5段階(自己宣言2段階 + 客観的評価3段階)の枠組みが設けられています。
また、この制度は、まったく新しくゼロから作られたものではありません。すでに中小企業向けには、この5段階のうち自己宣言2段階にあたるSECURITY ACTION(★1・★2)があり、自動車業界には自工会・部工会ガイドラインがあります。国際的にも、ISMSやNIST CSFのような情報セキュリティの枠組みが広く参照されてきました。
今回の制度は、こうした先行する取り組みを踏まえながら、サプライチェーン全体で使いやすい共通の評価枠組みとして整理されたものといえるでしょう。
5つの段階(★1から★5)
なお、現時点では★1〜★5全体を束ねた正式な総称が前面に示されているわけではありません。本項では、SECURITY ACTION(★1・★2)とSCS評価制度の客観的評価(★3〜★5)をあわせて、5段階の全体像として整理します。
自己宣言による2段階(★1・★2)
これらは「SECURITY ACTION」と呼ばれ、中小企業が自ら対策に取り組むことを宣言する制度です。客観的評価(SCS評価制度)を目指すための準備段階として取り組むことができます。また、この宣言は各種IT補助金・助成金・認定などの要件・代替要件・加点とされ、40万者(2025年3月時点)が活用し宣言しています。
★1: 「情報セキュリティ5か条」への取組み。
★2: 自社診断による現状把握、および「情報セキュリティ基本方針」の策定と外部公開。
詳細はこちらをご確認ください。
SECURITY ACTIONとは? : SECURITY ACTION セキュリティ対策自己宣言
www.ipa.go.jp
客観的評価による3段階(★3〜★5)
ここからが、本題である「セキュリティ対策評価制度(SCS評価制度)」です。★3〜★5は、自己宣言ではなく、専門家や第三者の確認を伴う客観的評価の段階です。
この制度では、ルールや規程を整備しているかだけでは足りません。アクセス管理や権限管理などの対策が、実際の運用の中で継続的に実施されているか、現場できちんと回っているかまで見られます。つまり、「書いてある」「宣言した」ではなく、「運用されている」「評価に耐えうるか」が問われる制度です。
各段階で、どのような脅威を想定し、どこまでの対策が求められるのかを、下表に整理しました。(2026年5月8日時点)
段階 | 想定される脅威 | 対策の基本的な考え方 | 要求事項と評価基準 | 評価者(評価主体) |
|---|---|---|---|---|
★3 | 一般的なサイバー脅威 | 基本的な脅威に対処しうる水準。 | 要求事項:26 評価基準:81 | セキュリティ専門家(専門家確認付き自己評価) |
★4 | 標的型攻撃・サプライチェーン攻撃 | 初期侵入の防御に加え、被害拡大防止や取引先への影響低減を図る強靭化策。 | 要求事項:43 評価基準:153 | 指定評価機関・技術検証事業者(第三者評価+技術検証) |
★5 | 未知の攻撃を含む高度なサイバー攻撃 | 国際規格に基づくベストプラクティスを実行し、リスクを完遂する到達点。 | 未公表 | 指定評価機関(厳格な第三者評価) |
要求事項・評価基準 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「要求事項・評価基準」に関する情報です。
www.ipa.go.jp
要求事項の概要:★3と★4の違いも解説
次に、客観的評価が必要な★3と★4おいて求められる要求事項について解説します。
本制度の要求事項は、大分類として7つの領域に分かれています。
一概に要求事項の数だけで判断できませんが、特に比重が大きいのは 1 ガバナンス、2 取引先管理、3 リスクの特定、そして 4 攻撃等の防御です。中でも「4 攻撃等の防御」は要求事項数が最も多く、制度全体としても、平時からどこまで実効的に管理・防御できているかが強く問われることがうかがえます。
また、★3と★4の違いは、単に要求事項の数が増えるだけではありません。★3が一般的なサイバー脅威に対応するための基本的な対策を求める段階であるのに対し、★4では、各領域での評価基準の範囲や深さのレベルが上がります。加えて、★4は自組織内での影響範囲の拡大防止だけでなく、サプライチェーン全体への影響の低減まで視野に入ってきます。
1. ガバナンスの整備
社内ルール、体制、責任と権限、方針、監督など、セキュリティを継続的に運用するための土台を確認する領域です。
ルールを作って終わりではなく、誰が責任を持つのか、どの部署や役員が関与するのか、定期的に見直しているかといった点まで見られます。要するに、セキュリティを属人的に回すのではなく、組織として回る状態になっているかを確認する領域です。
★3では基本的な体制整備や責任の明確化が中心ですが、★4では推進計画や監視・分析の体制など、より継続的・実務的な運用管理まで求められます。
2. 取引先管理
取引先との関係性、機密情報の扱い、委託先の対策状況、インシデント時の役割分担など、サプライチェーン全体での管理を確認する領域です。
この制度がサプライチェーンを強く意識していることが、特に表れている部分でもあります。自社だけを守ればよいのではなく、取引先や委託先を含めて、どのようにリスクを管理するかが求められます。
★3では主に委託先との基本的な管理関係が対象ですが、★4では取引先の対策状況の確認や、機密情報の回収・破棄など、より踏み込んだ管理が追加されます。
3. リスクの特定
資産管理やリスクアセスメントなど、自社が何を守るべきか、どこにリスクがあるかを把握(特定・識別)する領域です。
具体的には、機器、システム、データ、アカウントなどの資産を把握し、重要なものが何かを整理したうえで、どこにリスクがあるかを評価することが求められます。対策の前提として、まず守る対象を把握できているかが問われます。リスクアセスメントの基本に忠実な内容です。
★3では資産やリスクの把握が中心ですが、★4ではリモートワーク環境や脆弱性管理など、より具体的なリスク要因まで対象が広がります。
4. 攻撃等の防御
ID・認証・アクセス制御、教育、データ保護、プラットフォームの保護、技術インフラの耐性など、実際の防御策を確認する領域です。
要求事項数が最も多く、本制度の中心といえる領域です。特に、アイデンティティ管理、認証、アクセス制御が大きな比重を占めており、アカウント管理や認証の強化、権限の適切な制御が重視されていることが分かります。そのほか、教育、データ保護、システムや基盤の保護も含め、日常運用の中で防御が実装されているかが見られます。
★3では基本的な認証・アクセス制御や保護策が中心ですが、★4では暗号化、ログ取得、サポート切れ対策、情報共有・可搬媒体の持ち出しのルールなどが加わり、防御の面が広がり深くなります。
5. 攻撃等の検知
継続的監視や有害事象の分析など、異常や攻撃の兆候を把握するための領域です。
社内外の通信、情報機器のログやアラート、ソフトウェアの挙動・状態などを継続的に監視し、異常を検知し、必要に応じて通知やインシデント判断につなげられる体制が求められます。評価基準は8と多くありませんが、監視・分析・初動判断に関わる重要な領域です。
★3では基本的な監視や分析が中心ですが、★4では、ネットワーク側の監視に加え、情報機器(パソコンも含む)やソフトウェアの状態・挙動も監視対象に含まれており、より横断的な検知体制が求められます。
6. インシデントへの対応
インシデント発生時の管理・対応体制を確認する領域です。
実際に問題が起きた際に、誰が、どのように判断し、どのように対処するのかという実務面が対象です。単に手順書があるかではなく、対応できる体制として整理されているかが問われます。
★3の時点で基本的な対応手順や連絡体制、役割分担、報告フォーマットなどが求められており、★4で追加の要求事項は設けられていません。
7. インシデントからの復旧
復旧計画や事業継続の観点を確認する領域です。
事故による影響の封じ込めだけでなく、その後どのように、どのレベルまで業務を立て直すのかも含まれます。被害を受けた後に事業を継続できるかという点で、本制度の意義としても重要な領域です。
★3では復旧の基本的な考え方が中心ですが、★4では実際に定めた通りにバックアップが保管され、その復元ができるかどうかを確認しているかが求められます。
本制度全体を通して見ると、要求事項の一部を切り取り、部分的な対策や一部の製品導入で対応できる評価制度ではないということが理解いただけると思います。
ガバナンスで土台を作り、取引先管理や資産管理で守る対象を明確にし、そのうえでID・認証・アクセス制御を中心とした防御を実装し、検知・対応・復旧までつなげていくという、サイバーセキュリティ全体を網羅する内容になっています。
もちろん、本制度よりさらに厳しい国際的なフレームワークや認証、業界ごとのコンプライアンス要件もあります。その一方で、本制度の価値は、サプライチェーン全体で共有しやすい粒度に整理されていることにあります。現場で実際に回せる水準に落とし込まれた、実務的な評価枠組みといえるでしょう。
制度のスケジュールと対応時期
経済産業省の発表によると、本制度の「★3」および「★4」については、2026年度末頃の制度開始(申請受付の開始)を目指して準備が進められています。
具体的なスケジュールは以下の通り予定されています。
- 2025年度下期:制度構築方針発表
- 2025年度下期〜2026年度下期:制度詳細化及び運用開始準備期間
- 2026年度(末):制度開始(申請受付の開始)
なお、IPAの公式サイトによると、自己評価結果を確認する「セキュリティ専門家」は2027年1月頃より公表予定、第三者評価をする評価機関は2026年12月末頃に公表される予定です。つまり、運用開始にあたって、同時期に評価機関も公表されることになると考えられます。(2026年4月28日時点)セキュリティ専門家・評価機関 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構情報処理推進機構(IPA)の「セキュリティ専門家・評価機関」に関する情報です。www.ipa.go.jp
実務者としての制度の捉え方
繰り返しになりますが、「サプライチェーン強化に向けたセキュリティ対策評価制度」の趣旨として、取引上必要な確認事項を共通化し、説明可能にするための仕組みや共通言語として捉えることが重要です。
また、単なるチェックシートで終わらせず、網羅的に自組織の管理実態を俯瞰していく機会として捉え、形式的な制度としてではなく、実効性のある管理体制を整えていきましょう。
この評価制度に関して、経済産業省から異例の注意喚起がなされています。あくまで、任意の制度であることを念頭に、拙速なセキュリティ製品の導入や体制づくりをする前に、自社の状況を把握した上で、落ち着いて対応をしていきましょう。www.meti.go.jp
ZUNDA では、お客様の環境に応じて、実効性のある運用設計と、それを支える各種ツール・ソリューションをあわせてご提案しています。
自社に必要な対策の整理、具体的な製品・構成の検討について相談したい方は、ぜひお気軽にお問い合わせください。
.png)
