「SCS評価制度」に向け、企業が今すべき準備
Naoya Hashimoto
「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」とは
サプライチェーン全体に対するサイバー攻撃が急増する中、経済産業省と国家サイバー統括室は2025年12月、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)構築方針(案)」を公表し、2026年度末の制度開始を目指す方針を明確化しました。
本制度は、企業(事業者)がどの程度のセキュリティ対策を実施しているかを“★3〜★5”の段階で評価し、自社だけでなくサプライチェーン全体のセキュリティレベルの向上を目的としています。
この記事では、SCS評価制度の概要とISMS(情報セキュリティマネジメントシステム)との関連性を軸に、制度開始までに企業が何を準備すべきかをわかりやすく解説します。
<出典>
(※公式サイトやガイドラインの更新情報(経産省・IPA等)を適宜ご参照ください。)
目次
SCS評価制度の概要
SCS評価制度の評価基準とは
SCS評価制度は、企業のセキュリティ対策実施状況を可視化する仕組みとして検討が進んでいる制度で、以下の図のように「★3」「★4」「★5」という3段階の評価基準が提示されています。
今後、企業は調達要求や取引基準としてこの★ランクを提示・活用することが想定されています。
★3:全企業が必ず備えるべき基礎レベル
セキュリティ体制整備、基本的な防御策など、全サプライチェーン企業(中小企業を含む)が最低限実装すべき対策。
(※専門家確認付き自己評価/結果は取引先に提示可能)
★4:標準的に求められるレベル
ガバナンス、取引先管理、システム防御・検知、インシデント対応などを体系的に実施する水準。
(※指定第三者機関による評価/審査結果を調達・発注の要件に利用)
★5:到達点となる高度なレベル
国際規格に基づくリスクベース管理、高度な対策と継続的改善を実施するレベルとして、2026年度以降に詳細が策定・公開される予定。
SCS評価制度の主な要求事項
SCS評価制度の評価対象は、企業の「IT基盤」(=PC、サーバー、ネットワーク機器、クラウド環境 等)であり、データの取り扱いや外部からの不正侵入対策など、業務に直結する領域の強化が強く求められます。(工場などの制御システムや、納品する製品自体のセキュリティ機能は原則別扱い。)
また、SCS評価制度の主な要求事項は下記7分類で構成されています。
- ガバナンスの整備:社内ルール・責任者の明確化、体制構築。
- 取引先管理:重要な情報の提供先の把握、委託先の対策状況確認。
- リスクの特定:資産・クラウドサービス・データフローの把握、脆弱性管理とリスクアセスメント。
- 攻撃等の防御:多要素認証、パッチ適用、マルウェア対策、ログ取得などの技術的コントロール。
- 攻撃等の検知:異常の監視、外部からの侵入兆候の検知(★4ではより高度な監視)。
- インシデントへの対応:インシデント対応手順の整備、被害を受けた際の社内外連携。
- インシデントからの復旧:復旧手順の整備、バックアップの検証(★4で特に重視)。
【ポイント】
中小企業にとっては、過剰投資にならないよう「適切な優先順位付け」と「ツール利用」を進めることが重要です。
SCS評価制度とISMSとの関係
SCS評価制度はISMSを参照して作られている
SCS評価制度の★3・★4で求められる項目の多くが ISMS(ISO/IEC 27001:2022)を参照していることが以下のとおり示されています。
これは、ISMS運用がそのままSCS評価制度への対応の基礎となることを意味しています。
★3:83項目 → うち81項目がISMS参照(約97.5%カバー)
★4:157項目 → うち151項目がISMS参照(約96.1%カバー)
SCS評価制度とISMSの共通点
SCS評価制度は、企業のセキュリティ対策レベルを段階的に整理する枠組みであり、その基礎となる考え方はISMS(ISO/IEC 27001)と多くの共通点があります。
【共通点1】:リスクベースアプローチ
★5レベルは、「国際規格におけるリスクベースの考え方に基づく」と明言されており、これはISMSの根幹そのものです。
【共通点2】:組織的なマネジメント
★4レベルでは、ガバナンス整備やインシデント対応、取引先管理など、PDCAに基づいた管理体系が必須となります。これはISMSの要求事項と高い親和性があります。
【共通点3】:第三者評価の仕組み
★4・★5レベルは、第三者による審査を前提とする点で、外部認証制度であるISMSと類似した仕組みを採用しています。
SCS評価制度への対応にはISMSベースの体制構築が有効!
SCS評価制度とISMSは親和性が抜群!
SCS評価制度の要求事項はISMSの内容・枠組みと極めて親和性が高く、ISMSをベースとした体制構築が効率的かつ確実な準備方法となります。
【理由1】:求められる対策項目が重複している
リスク管理、ガバナンス、インシデント対応、資産管理、取引先管理など、ISMSの主要要素がそのままSCS評価制度の評価基準にも含まれています。
【理由2】:審査に耐える文書体系がISMSで整う
★3は自己評価ですが専門家確認が必要で、★4は第三者審査の対象となります。ISMSで文書化された管理策や記録があれば、SCS審査における証跡としても活用できます。
【理由3】:継続的改善の仕組みがそのまま活かせる
SCS評価制度は認定後も改善が求められる制度です。PDCA体制を前提とするISMSはその基盤として非常に適しています。
ISMSの体制構築・運用はツール利用が最適解
ISMSに準拠した体制を整えるには、ISMS運用を効率化し、証跡管理を自動化できるツールの導入が大きく効果を発揮します。
その代表例が SecureNavi (セキュアナビ)です。
SecureNaviは、
- ISMS要求事項に基づくタスク管理
- リスクアセスメント支援
- 必要文書の一元管理
- 内部監査の効率化
など、ISMS運用に必要な各種プロセスを一括で管理・可視化できます。
SecureNaviの活用事例など、詳しくは当社ブログをご参照ください。
まとめ
以上の説明にて、『SCS評価制度への準備=ISMS体制の構築と確実な運用』 であることをご理解いただけましたでしょうか?
✓ すでにISMS認証を取得済み
⇒ISMSの確実な運用がSCS評価制度への対応のベースとなります。ISMSの運用が形骸化していないか?、改めてご確認ください。
✓ まだISMS認証を取得していない
⇒新たにISMSの規格に沿った体制を構築し、加えてISMSを運用しておくことでSCS評価制度への対応がスムーズになります。(ISMS認証の取得は必ずしも必要ではありません)
当社は、SecureNaviを活用し、ISMSの構築・認証取得から運用までを効率的かつ確実に実施しています。
当社は、SecureNaviの導入だけでなく当社独自のサービスにより、ISMSの構築から運用、そして技術的対策までご支援させていただきます。
今、ご認識されている課題や心配事なども含め、以下のリンクよりお気軽にお問い合わせください。
お問い合わせ
IT人材不足でお困りの企業様向けにも、様々なご支援・ご提案が可能です!
ご依頼及び業務内容へのご質問などお気軽にお問い合わせください
