SCS評価制度の概要
制度創設の背景
SCS評価制度は、近年増加しているサプライチェーンを狙ったサイバー攻撃に対応するために創設されました。企業のセキュリティ対策状況を可視化し、取引先とのセキュリティレベルを確保することが求められています。2026年度末に開始が予定されており、企業間の安全性を向上させるための新たな基準が制定される予定です。
SCS評価制度の目的と必要性
この制度の主な目的は、サプライチェーン全体のサイバーセキュリティ基準を設定し、企業間で求められるセキュリティ対策を明確化することです。この共通基準により、取引先選定の透明性が高まり、企業がセキュリティ対策への投資を進める動機付けとなります。また、取引先との安全性を向上させることで、企業全体の安全性が強化されることが期待されています。
評価基準とレベル分け(★3、★4、★5)
SCS評価制度では、企業のセキュリティ対策の成熟度を評価するために、評価レベルを★3、★4、★5の3段階に分けています。★3は基本レベル、★4は標準レベル、そして★5は最も高度なセキュリティ対策が求められる上位レベルとされています。特に、★4のレベルでは全体で56の要求事項と157の評価基準が定められており、フィッシング耐性MFAの導入や特権アクセス管理の整備などが要求されています。また、★4は認定有効期限が3年であり、より長期的なセキュリティ対策の実施が求められています。
評価制度の詳細と要求事項
★3と★4の具体的な評価基準
SCS評価制度における★3と★4の評価基準は、多くの点で違いがあります。★3は基本的なセキュリティ対策を評価し、企業の基礎的なレベルのセキュリティを保証します。一方、★4はそれをさらに拡大し、より高度なセキュリティ対策を含むものとなっています。具体的には、★3が26の要求事項と83の評価基準を有するのに対し、★4では56の要求事項と157の評価基準が必要とされます。また、★3ではTOTPやSMS OTPなどで多要素認証(MFA)が許容されるのに対して、★4ではフィッシング耐性が強化されたMFAが推奨され、FIDO2やパスキーの使用が求められます。さらに、特権アクセス管理(PAM)の整備も★4では必須となります。これらの基準により、★4の認定は特に中堅から大規模企業、重要インフラ関連企業にとって重要な指標となります。
技術的評価項目の例(ID管理、多要素認証)
SCS評価制度において、技術的評価項目はセキュリティの要となる重要な要素として設定されています。例えば、ID管理に関しては、★4の基準では自動プロビジョニングやデプロビジョニングが推奨されるなど、より高度な管理手法が求められます。また、必須項目として特権アクセス管理(PAM)の整備が挙げられ、これにより重要なリソースの不正アクセスを防ぎます。多要素認証に関しては、★4ではフィッシング攻撃への耐性を持つ技術(FIDO2)が推奨されており、ユーザーの身元確認を強化するための具体的な対策が求められます。
サプライチェーン全体のセキュリティ向上
SCS評価制度のもう一つの重要な側面は、サプライチェーン全体のセキュリティ向上に寄与する点です。企業が個々のセキュリティ対策を強化するだけでなく、取引先や委託先に対しても年に一度以上の定期的なセキュリティ評価を行い、その結果を踏まえて必要な改善を行うことが求められます。これにより、サプライチェーン全体の脆弱性を低減し、サイバー攻撃に対する防御力を向上させることが可能になります。特に★4の評価基準では、こうした取り組みが厳しく評価され、企業間の取引での安全性を保証するための重要な基準となっています。
企業が取るべき具体的な対応
自己評価チェックリスト作成
企業がSCS評価制度に対応するために、まず始めに行うべきことは自己評価チェックリストの作成です。このチェックリストは、企業自身が自社のサイバーセキュリティ体制を客観的に評価するためのツールとして活用されます。特に、★4(標準)の評価を目指すには、56項目の要求事項と157基準を満たす必要があります。これを基に、どの項目が未達成であるかを明確にし、改善計画を立てることが重要です。
サイバーセキュリティ対策への投資
サイバーセキュリティ対策への投資は、SCS評価制度における重要な要素です。★4の評価を獲得するためには、高度な多要素認証(MFA)や特権アクセス管理(PAM)の整備が必須となります。これらの技術を導入することにより、フィッシング攻撃への耐性が高まり、情報漏洩のリスクを低減できます。また、自動プロビジョニング/デプロビジョニングを初めとしたIDライフサイクル管理の自動化も推奨されています。したがって、これらの基準をクリアするための投資は不可欠です。
パートナーシップの強化と管理
サプライチェーン全体のセキュリティ向上を目指すSCS評価制度では、取引先や委託先とのパートナーシップを強化し、管理することが重要です。★4の基準では、取引先との定期的なセキュリティ評価(毎年1回以上)が求められ、取引企業間での信頼性が問われます。これにより、企業間の透明性を高め、取引先と共にセキュリティ基準を高めることができます。企業は取引相手とのコミュニケーションを密にし、相互に安心してビジネスが行える環境を整える必要があります。
今後の展望と準備すべきポイント
2026年に向けた段階的な準備
SCS評価制度の導入が2026年に予定されています。この制度は、特に企業のサプライチェーンにおけるセキュリティ基準を向上させることを目的としています。企業は、この期限に向けて段階的な準備が求められます。特に、SCS評価制度の★4基準の要求事項数は56項目と多岐にわたり、全体的なセキュリティの向上が求められています。この評価基準は、フィッシング耐性MFAの導入や特権アクセス管理(PAM)の整備など、具体的な技術対策が含まれています。
SCS評価制度への対応計画の策定
企業は、SCS評価制度に対応するための計画を早急に策定する必要があります。特に★4認定を目指す企業は、第三者評価による書類および実地審査を受ける準備が必要です。このため、企業は内部のセキュリティ評価体制の強化のほか、評価基準に対するギャップ分析を行い、必要な措置を講じることが求められます。これは、取引先に対する信頼性を向上させ、市場での競争力を維持するために不可欠です。
新たなセキュリティ技術の採用
SCS評価制度に対応するためには、新たなセキュリティ技術の採用が欠かせません。特に★4基準を達成するためには、フィッシング耐性のある多要素認証(MFA)の導入が推奨されており、FIDO2/パスキーを活用することが検討されています。また、自動プロビジョニングやデプロビジョニングを導入することで、IDライフサイクル管理を効率化し、セキュリティを強化することも重要です。これらの新技術を取り入れることで、企業はより安全なシステム運用を実現し、長期的な競争優位を確立することができます。










