【2026年度末開始予定】SCS評価制度★3・★4対応ロードマップ|制度概要と26要求事項を徹底解説【前編】
ゆなぴー
【本記事についての注意事項】
SCS評価制度は現時点(2026年5月14日)でまだ運用開始前の制度であり、今後制度の詳細が変更される可能性があります。
本記事は公開時点の最新情報をもとに作成しており、制度の更新があり次第、内容を随時アップデートします。
最新の公式情報は経済産業省のページをご確認ください。
「取引先から急に『セキュリティ対策状況を教えてほしい』とアンケートが送られてきた」「SCS評価制度という言葉を聞いたが、何をすればいいのか分からない」――こうした声が、中小企業の情シス担当者から増えています。
2026年度末頃(2027年1〜3月頃)に運用開始予定のSCS評価制度は、取引先から「★3取得」を求められる可能性がある新制度です。取引先からセキュリティ対策の要請が来る前に、早めの準備が重要です。
本記事(前編)では、SCS評価制度の全体像・★3と★4の違い・26要求事項の詳細を、実務目線で分かりやすく解説します。具体的な対応手順は[中編]で、5ステップのロードマップや失敗パターンと回避策は[後編]で解説します。
目次
SCS評価制度とは?サプライチェーン全体のセキュリティを可視化する新制度
なぜ今、SCS評価制度が必要なのか?
近年、サプライチェーン攻撃が急増しています。これは、セキュリティ対策が手薄な中小企業を足がかりに、取引先の大企業を狙う攻撃手法です。
IPA(情報処理推進機構)の「情報セキュリティ10大脅威2025」でも、サプライチェーン攻撃が第2位にランクインし、7年連続で上位の脅威として警告されています。
実際、以下のような被害が発生しています:
- トヨタ自動車(小島プレス事件):取引先の中小企業がランサムウェア攻撃を受け、トヨタの全工場が1日停止
- 委託先から大企業への侵入:中小企業のVPN機器の脆弱性を突いて大企業のネットワークに侵入
- 機密情報の窃取:中小企業が保有する大企業の設計図や顧客情報が流出
こうした背景から、「取引先ごとに異なるセキュリティチェックシート」への対応で疲弊している中小企業と、委託先のセキュリティレベルを統一基準で確認したい大企業の両方のニーズに応える仕組みとして、SCS評価制度が構築されました。
SCS評価制度の概要
SCS評価制度は、経済産業省と内閣官房国家サイバー統括室が推進する、企業のサイバーセキュリティ対策を★1〜★5の5段階で評価する制度です。 [meti.go.jp]
2026年3月27日に正式な制度構築方針が公表され、2026年度末頃(2027年1〜3月頃)に運用開始予定です。
評価レベルの全体像:
| レベル | 評価方法 | 要求事項数 | 概要 |
|---|---|---|---|
| ★1・★2 | SECURITY ACTION(自己宣言) | — | 情報セキュリティ5か条等の基本対策 |
| ★3 | 専門家確認付き自己評価 | 26項目 | 全企業が最低限達成すべき基礎水準 |
| ★4 | 第三者評価 | 43項目 | 標準的〜高度なセキュリティ水準 |
| ★5 | 第三者評価(高度) | 検討中 | 最高水準(2027年度以降検討) |
重要なポイント:
- ★3は自己評価による準拠だが、情報処理安全確保支援士・公認情報セキュリティ監査人・CISSP・CISM・CISA・ISO27001主任審査員等の資格を持ち、制度が定める研修を受講した専門家による確認(署名)が必要 [meti-faq]
- 金融・自動車・半導体業界を中心に、取引条件として★3以上の取得を求める動きが加速
- ★3の有効期間は1年間で、毎年の更新が必要
★3・★4の違いと、中小企業が目指すべきレベル
★3は「全ての企業が最低限達成すべき基礎水準」
★3は、広く認知された脆弱性等を悪用する一般的なサイバー攻撃を想定し、全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として位置づけられています。
具体的には、以下のような対策が求められます:
- 基礎的な組織的対策(セキュリティ方針、責任者の指定、情報資産管理)
- システム防御策(MFA、パッチ管理、ウイルス対策、アクセス制御)
- インシデント対応計画の策定
★3は「専門家確認付き自己評価」だが、自力対応は困難
★3は第三者監査が不要な「自己評価」ですが、情報処理安全確保支援士・公認情報セキュリティ監査人・CISSP・CISM・CISA・ISO27001主任審査員等の資格を有し、制度が定める研修を受講したセキュリティ専門家による確認が必要です。
つまり、「自己評価だから簡単」というわけではなく、専門家の署名が取れなければ★3を申請できないため、実質的に専門家の関与が必須です。
★4との違い
★4は、供給停止等によりサプライチェーンに大きな影響をもたらす企業を想定し、組織ガバナンス・取引先管理・システム防御・検知・インシデント対応等を包括的に実施する水準です。
第三者評価(監査機関による審査)が必要で、有効期間は3年間(ただし毎年自己評価を実施し、結果を評価機関へ提出)。
中小企業はまず★3取得を目指し、取引先要請や事業規模に応じて★4を検討する、という段階的な対応が現実的です。
SCS評価制度★3の26要求事項を徹底解説【7分類別チェックリスト】
★3の26要求事項は、NIST CSF 2.0をベースに、以下の7分類で構成されています。 [meti-pdf]
①ガバナンス整備(組織体制)[meti.go.jp]
- セキュリティ方針(基本方針)の文書化
- セキュリティ責任者の指定
- 経営層への報告体制の整備
中小企業のつまずきポイント:
形式的な方針書だけでは不十分。実際に運用される体制(誰が・いつ・何をする)まで整備する必要があります。
②取引先管理 [meti.go.jp]
- 委託先へのセキュリティ要件の提示
- 契約時のセキュリティ条項の明記
中小企業のつまずきポイント:
自社が「委託元」である場合、委託先(外注先・協力会社)のセキュリティ状況も確認・管理する必要があります。
③リスクの特定 [meti.go.jp]
- 重要な情報資産の台帳管理
- ネットワーク機器・サーバーの一覧把握
- リスクアセスメントの実施
中小企業のつまずきポイント:
Excel等での台帳管理は更新漏れが発生しやすい。SecureNavi等の管理ツールで自動化することが推奨されます。
④システムの防御(技術対策)【最重要】 [meti.go.jp]
- 全ユーザーにMFA(多要素認証)を適用
- ソフトウェアのパッチ・更新を定期的に適用
- ウイルス対策ソフト(EDR)の導入・更新
- アクセス制御(不要なアカウントの定期的な棚卸・削除)
- ネットワーク分離
- データの暗号化
中小企業のつまずきポイント:
技術要件が多く、ひとり情シスでは対応が困難。特にMFA・EDR・ログ管理は、Microsoft 365 Business Premiumの標準機能で対応可能ですが、設定が必要です。
⑤攻撃等の検知 [meti.go.jp]
- ログの取得・保管
- 異常検知の仕組み
中小企業のつまずきポイント:
ログを取得しても、誰も確認していなければ意味がありません。異常検知アラートの設定と、対応手順の整備が必要です。
⑥インシデントへの対応 [meti.go.jp]
- インシデント対応計画の策定
- 連絡体制の整備
中小企業のつまずきポイント:
インシデント対応計画は「作っただけ」では機能しません。誰が・何をするかの役割分担と、取引先や監督官庁への報告手順まで具体的に定めておく必要があります。
⑦インシデントからの復旧 [meti.go.jp]
- バックアップの定期的な取得と復旧テスト
中小企業のつまずきポイント:
バックアップは「取るだけ」では不十分。実際に復旧できるかテストすることが重要です。
まとめ|SCS★3対応は「まず制度を正しく理解すること」から始まる
SCS評価制度★3は、2026年度末頃(2027年1〜3月頃)運用開始予定で、取引先から要請される前の準備が必須です。 [meti.go.jp]
前編のポイントを整理します:
- SCS★3は全ての企業が最低限達成すべき基礎水準(26項目の要求事項)
- 専門家確認付き自己評価で、情報処理安全確保支援士・公認情報セキュリティ監査人・CISSP・CISM・CISA・ISO27001主任審査員等の専門家に確認依頼
- ★4は第三者評価が必要で、中小企業はまず★3取得を目指すのが現実的
- 26要求事項は7分類(ガバナンス・取引先管理・リスク特定・技術対策・検知・インシデントへの対応・インシデントからの復旧)で構成される
「取引先から要請が来てから慌てる」のではなく、今から準備を始めましょう。
中編では、Microsoft 365とISMSを活用した効率的な対応方法を解説します。後編では5ステップのロードマップと、よくある失敗パターンと回避策をお伝えします。
