SCS評価制度の概要
SCS評価制度は正式名称を「サプライチェーン強化に向けたセキュリティ対策評価制度」と言い、経済産業省と内閣官房国家サイバー統括室が主導して設立されました。この制度は、企業のサイバーセキュリティ対策を共通の基準で評価し、可視化することでサプライチェーン全体のセキュリティを向上させることを目的としています。
SCS評価制度とは?
SCS評価制度とは、企業のサイバーセキュリティの取り組みを評価し、サプライチェーン全体のセキュリティ強化を図るための制度です。2026年度下期の運用開始をめざしており、第三者評価機関による審査や技術検証を通じて評価が実施されます。評価は★1から★5までの5段階に分かれており、企業のセキュリティレベルを明確にすることで、受注側や発注側における業務効率を向上させる狙いがあります。
制度創設の背景
近年、サプライチェーンを対象としたサイバー攻撃が増加していることを背景に、SCS評価制度が創設されました。企業が取引先のセキュリティレベルを把握しにくいという課題を解決し、安全な取引関係を築くためのもので、各企業が独自の基準を用いることによる業務負担の軽減も目的としています。また、IPAが公表した「情報セキュリティ10大脅威 2026」でサプライチェーン攻撃が上位に挙げられていることも、制度創設の重要な要因となっています。
今からできる準備
企業は今からSCS評価制度に備えるために、現行のセキュリティ対策を見直すことが重要です。特に★3以上の評価を目指す企業は、専門家確認付きの自己評価体制を整え、想定される脅威に対応するための具体策を講じる必要があります。また、中小企業は自社の実情に応じたセキュリティ対策を段階的に進め、その結果を基に自己評価を実施するというステップが推奨されます。
評価制度の適用範囲と対象外
評価の適用範囲
SCS評価制度の適用範囲は、サプライチェーン全体のセキュリティを向上させるために、企業のサイバーセキュリティ対策状況を評価することを目的としています。具体的には、情報システムや制御システムに対するセキュリティ対策が評価の対象となります。この制度は、取引先を含む企業間のセキュリティレベルを可視化し、取引リスクの軽減を目指しています。特に、重要なインフラに関与する企業や、クラウドサービスを利用する企業がこの制度の適用対象となる可能性があります。
適用対象外の領域
一方で、SCS評価制度には適用対象外となる領域も存在します。例えば、個人情報の管理に限られるシステムや、セキュリティリスクが低いと判断される業務プロセスは評価の対象外とされることがあります。また、非常に小規模な企業や、特定の条件下でのセキュリティ要件が既に他の評価制度でカバーされている場合も、重複を避けるために適用外となることがあります。企業は、自社がこの制度の対象となるかどうかを事前に確認し、必要に応じて専門家の意見を求めることが重要です。
評価プロセスと要件
評価プロセスの概要
サプライチェーン全体のセキュリティ水準を向上させるために設計されたSCS評価制度では、評価プロセスが細かく規定されています。企業はまず、自己評価を実施し、その後、必要に応じて第三者評価機関による審査を受けます。このプロセスでは、サイバー攻撃によるリスクをどの程度低減できるかが評価のポイントとなります。特に評価対象となる制御システムのセキュリティ対策が適切に機能しているかが重視されます。
★1〜★5の評価基準
SCS評価制度では、企業のセキュリティ対策が5段階に評価されます。★1は最低限の基準を満たす状態で、主に簡易なサイバー攻撃に耐えうる水準です。★3は、専門家確認付きの自己評価が必須であり、一般的な脆弱性に対応する能力が求められます。★4は重要なサプライヤーが目指すべき高水準であり、第三者評価機関による技術検証が必要です。★5に達するためには、さらに高度なサイバー攻撃に対抗するための対策が必要です。
技術検証と専門家の役割
評価プロセスにおいて、技術検証と専門家の役割は非常に重要です。技術検証は、脆弱性検査などを通じて対象のシステムがサイバー攻撃にどれだけ耐えられるかを具体的に評価します。専門家は、このプロセスを監督し、企業が評価基準を満たすための助言を行います。特に特殊な制御システムが絡む場合には、より専門的な知識が求められます。これにより、評価の客観性と信頼性を高め、制度の適用範囲を明確にしていきます。
今後の展開と企業の取り組み
2026年までのスケジュール
サプライチェーンの安全性向上を目的とするSCS評価制度は、2026年度下期に正式に運用を開始する予定です。これに先立ち、企業は2024年度から試験運用に参加することが推奨されています。この期間中に評価基準やプロセスを把握し、実施に向けた準備を進めることが求められます。また、2025年度には評価機関や技術検証事業者の認定が始まり、体制が整備されていきます。
企業が取るべき具体策
企業は、自社のセキュリティ対策を見直し、必要な対策を講じることが重要です。特に、サプライチェーン全体でのセキュリティ水準向上を目指し、★3以上の評価を目指すことが推奨されます。自己評価に基づく対策強化や、専門家の意見を取り入れることも一つの手段です。SCS評価制度では、セキュリティ対策の透明化が重要視されるため、適切な対策が取られていることを示せる資料や文書の整備も欠かせません。
中堅・中小企業への影響と対応
中堅・中小企業にとって、SCS評価制度の準備は大きな負担となる可能性があります。しかし、サプライチェーン全体のセキュリティを向上させることは、中堅・中小企業の信頼性向上にもつながります。必要最低限のサイバーセキュリティ対策を確保しつつ、補助金やサポート制度を活用することで、適用基準をクリアする道を模索することが重要です。特に、他社との連携や協力、地域の産業団体のサポートを受けることで、共有資源を活用しながら効率的に対応することが可能です。










