サプライチェーン強化に向けた
セキュリティ対策評価制度への対応
始めていますか?
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)への対応、始めていますか?
国のセキュリティ審査が2026年末に始まります。
不合格と判定された企業は、取引先を失うリスクがあります。
─ サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)への対応、始めていますか?
⚠️ 2026年度末、経済産業省と内閣官房が主導する新制度が始まります。業種・規模を問わず、サプライチェーンに関わるすべての企業が対象です。
まず知ってほしいこと──この制度、他人事ではありません
「セキュリティの話は、IT担当者に任せている」 「うちは中小企業だから、関係ないだろう」 「大手から何も言われていないから、まだ大丈夫」
そう思っている方に、こそ、読んでいただきたい内容です。
2026年、国が企業のセキュリティ対策レベルを「見える化」する制度が正式に動き出します。 取引先・発注元があなたの会社のセキュリティ状況を、客観的なスコアで確認できる時代が来るのです。 対応が遅れた企業は、取引の土俵にすら立てなくなる可能性があります。
SCS評価制度とは何か
正式名称: サプライチェーン強化に向けたセキュリティ対策評価制度
略称: SCS評価制度(Supply Chain Security)
主管: 経済産業省・内閣官房国家サイバー統括室
運営: 独立行政法人 情報処理推進機構(IPA)
制度開始目標: 2026年度末頃(★3・★4の申請受付開始)/★5は2026年度以降に検討中
制度の目的
サプライチェーン全体のセキュリティを底上げするため、各企業のセキュリティ対策状況を共通の星評価で可視化する仕組みです。
- 発注企業が取引先のセキュリティレベルを客観的に判断できるようにする
- 受注企業が複数の取引先から異なるセキュリティ要求を受ける負担を減らす
- 日本全体のサプライチェーンのセキュリティ水準を引き上げる
星の評価レベル、あなたの会社は今どこにいますか?
| 段階 | 位置づけ | 要求事項数 | 評価方法 |
| ★1・★2 | 既存のSECURITY ACTION制度(自己宣言) | ─ | 自社による宣言 |
| ★3(新制度) | すべてのサプライチェーン企業が最低限実装すべき基礎対策 | 26件 | セキュリティ専門家の確認付き自己評価(有効期限1年) |
| ★4(新制度) | サプライチェーン企業が標準的に目指すべき対策 | 43件 | 認定評価機関による第三者評価(有効期限3年) |
| ★5(検討中) | 到達点として目指すべき最高水準 | 今後検討 | ISMSとの整合を踏まえ策定中 |
★3 で求められること(概要)
26件の要求事項に基づき、一般的なサイバー攻撃(既知の脆弱性の悪用・ランサムウェアなど)への対処が可能な状態を自己評価します。 ツールを入れるだけでは不十分で、運用実績と証跡の整備が評価されます。
★4 で求められること(概要)
43件の要求事項に基づく、★3よりも包括的な対策が求められます。取引先企業の管理・システムへの侵入検知・インシデント対応など、組織ガバナンスからシステム防御・検知まで幅広い対策の実装と、実地審査・技術検証を含む第三者評価を受ける必要があります。なお、★4の取得に★3の事前取得は必須ではありません。 実務上、★4以上が取引継続の事実上のラインになるとの見方が業界内で広まっています。
なぜ「ほぼすべての企業」が対象なのか
この制度の対象は、特定の業界や大企業に限りません。 サプライチェーンに関わる企業すべて、つまり——
- 大手メーカーや商社の部品・資材サプライヤー
- システム開発・保守・運用を受託するIT企業
- 物流・倉庫・配送を担う企業
- 経理・人事・コールセンターなどのBPO企業
- クラウドサービス・SaaSを提供するベンダー
- 官公庁・自治体・独立行政法人と取引する企業
これらすべてが「サプライチェーンの一員」として評価の対象になります。 日本の企業の大多数は、何らかのサプライチェーンに組み込まれています。
💡 「自社には関係ない」と判断できる企業のほうが、はるかに少ない制度です。
この制度に乗り遅れると、何が起きるのか
①取引から外される
発注元企業が「★3以上であること」を取引条件に設定し始めると、評価を取得していない企業は選定から外れます。指名停止・契約更新見送りという形で、気づいたときには手遅れになるケースも考えられます。
②入札・公共調達に参加できなくなる
政府調達においてセキュリティ対策の証明が条件化される動きが進んでいます。公共系の案件を扱う企業にとっては、取得は事実上の必須要件になる可能性があります。
③「対応中」では遅い
評価取得には、現状把握→ポリシー整備→対策実装→証跡整備→専門家確認という一連のプロセスが必要です。制度が始まってから動き出しても、評価取得まで半年〜1年以上かかるケースも珍しくありません。
だから今、動く必要があります
制度開始まで、時間はあるように見えて、実はありません。 ★3・★4の要求事項はすでに公表されており、対応の準備は今すぐ始められます。
今取り組むべきことは、大きく3つです。
① 現状把握(ギャップ分析) 自社のセキュリティ対策状況が、★3・★4の要求事項に対してどれだけ対応できているかを確認します。何が足りていて、何が足りていないかを正確に把握することが出発点です。
② 対応計画の策定 ギャップを埋めるために、何を・いつまでに・誰が対応するかを計画します。すべてを一度に整備する必要はなく、優先順位をつけた段階的な対応が現実的です。
③ 証跡・ドキュメントの整備 ★3の評価では、「やっている」だけでなく「やっていることを示せる」状態が必要です。ポリシー文書・作業記録・ログ管理など、評価に耐えうる証跡を整えていく必要があります。
サポートできること
株式会社セキュアフィールドは、セキュリティコンサルタントとしてSCS評価制度への対応を一気通貫でサポートしています。
「どこから手をつければいいかわからない」 「社内にセキュリティの専門家がいない」 「評価取得の要件が難しくて読み解けない」
そういった不安があれば、お早めにご相談ください。 現状をヒアリングした上で、貴社の規模・体制・目標に合った現実的なロードマップをご提案します。
支援メニュー(例)
- 現状評価・ギャップ分析:★3・★4要求事項への対応状況を可視化
- 対応計画の策定支援:優先順位づけ・スケジューリング
- ポリシー・規程類の文書整備:情報セキュリティポリシー、インシデント対応手順など
- ★3取得のための専門家確認:制度上の「セキュリティ専門家」として評価結果を確認・署名
- 継続的な改善支援:取得後の運用維持・次のステップに向けた伴走支援
まずは、お問い合わせください。
社内にセキュリティに詳しい担当者がいなくても、心配はいりません。 専門家のサポートを活用することで、自社だけで取り組むよりも短期間・低コストで対応できるケースが多いです。
貴社の状況を30分お聞きするだけで、今何をすべきかが見えてきます。 まずはお気軽にお問い合わせください。無料相談させていただきます。
参照:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(2026年3月27日公表)/IPA「SCS評価制度の詳細情報」