近年、企業の規模を問わず、サプライチェーンを構成する取引先を経由したサイバー攻撃が深刻な問題となっています。一つの企業のセキュリティ脆弱性が、連鎖的に多大な被害を引き起こすリスクは、もはや無視できない経営課題です。
このような背景から、経済産業省と内閣官房は、サプライチェーン全体のセキュリティ水準を向上させることを目的とした新たな仕組み、「セキュリティ対策評価制度(SCS: Supply Chain Security 評価制度)」の導入を決定しました。
2026年度末の本格運用開始を前に、多くの企業、特に中小企業にとっては、自社の対策を見直す重要な機会となります。本記事では、この新しい制度の全体像を分かりやすく解説し、企業が今から何を準備すべきかについて具体的に掘り下げていきます。
本制度は、サプライチェーンにおけるセキュリティリスクの増大に対応するため、経済産業省と内閣官房国家サイバー統括室が主導して構築されました [1]。その中心的な目的は、各企業のセキュリティ対策状況を客観的な基準で「可視化」し、企業間取引における信頼性の判断材料を提供することにあります。重要なのは、この制度が単なる「格付け」や「ランキング」を意図したものではないという点です。むしろ、各企業が自社のリスクや事業内容に応じて、どのレベルの対策を目指すべきかの指針を示し、サプライチェーン全体の底上げを図ることを目指しています。
本制度は、企業のセキュリティ対策への対応状況を可視化するものであり、事業者のセキュリティ対策レベルを競わせることを目的としたもの(格付け制度等)ではありません。[1]
この仕組みにより、発注側企業は取引先のセキュリティ体制をより正確に把握できるようになり、受注側の中小企業にとっては、自社の対策レベルを客観的に示し、信頼性をアピールする好機となり得ます。
本制度では、企業のセキュリティ対策の実施状況が、★3から★5までの段階で示されます。この星の数は、対策の網羅性や深度を表しており、国際的な情報セキュリティマネジメントの標準規格であるISO/IEC 27001(ISMS)を主な参照基準としています [2]。
| 評価レベル | 想定される企業増と要求事項の概要 |
|---|---|
| ★3 | 基本的なセキュリティ対策を実践しているレベル。中小企業がまず目指すべき現実的な目標。ウイルス対策、パスワード管理、バックアップなど、不可欠な対策項目が中心となります。 |
| ★4 | ★3の対策に加え、より体系的で広範なセキュリティ管理が実施されているレベル。リスクアセスメントに基づいた計画的な対策や、従業員への継続的な教育などが含まれます。 |
| ★5 | 国際標準(ISO/IEC 27001等)に準拠した、高度で包括的なセキュリティマネジメントシステムが確立・運用されているレベル。グローバルな取引や重要インフラに関わる企業に期待される水準です。 |
このように段階的な目標が設定されることで、企業は自社の事業規模や取引上の重要性に応じて、無理なくステップアップしていくことが可能になります。
この制度が導入される背景には、サプライチェーン攻撃の巧妙化・深刻化があります。発注元の企業から見れば、委託先のセキュリティ対策状況が不透明なままでは、自社が攻撃の標的となるリスクを管理できません。一方で、委託される中小企業にとっては、複数の取引先からそれぞれ異なる基準で対策を要求される「重複要求」が大きな負担となっていました。
本制度は、これらの課題を解決するための共通言語として機能します。
発注側のメリット: 共通の評価基準を用いることで、取引先選定やリスク評価の客観性と効率性が向上します。
受注側のメリット: 自社の対策状況を客観的に証明できるため、新たな取引機会の創出につながります。また、目指すべき対策が明確になることで、投資の優先順位を付けやすくなります。
セキュリティに関する評価制度として、ISMAPやISMS認証が既に存在しますが、SCS評価制度は対象と目的が異なります。
| 制度名 | 対象 | 主な目的 |
|---|---|---|
| SCS評価制度 | 一般的なサプライチェーンを構成する全ての企業 | 企業間の取引におけるセキュリティの信頼性を可視化し、サプライチェーン全体を強化する。 |
| ISMAP | クラウドサービス事業者 | 政府機関が利用するクラウドサービスの安全性を評価・登録する。 |
| ISMS認証 | 認証取得を希望する全ての組織 | 組織の情報セキュリティマネジメントシステムが国際規格に適合していることを第三者が認証する。 |
SCS評価制度は、ISMAPのように特定の業種に限定されず、またISMS認証のように第三者認証の取得を必須とするものではない(自己宣言の選択肢も想定)、より広範な企業を対象とした柔軟な枠組みであることが特徴です。
2026年度末の制度開始は、決して遠い未来ではありません。特に中小企業にとっては、計画的な準備が不可欠です。まずは、経済産業省が公開している「★3」の要求事項案などを参考に、自社の現状を把握することから始めましょう。具体的には、以下のステップが考えられます。
現状の把握:
自社の情報資産(PC、サーバー、データ等)は何か、誰がどのように管理しているかを洗い出す。
基本的な対策の徹底:
ウイルス対策ソフトの導入、OSやソフトウェアの定期的なアップデート、推測されにくいパスワードの設定と定期的な変更、重要データのバックアップなど、基本的な対策が全社で徹底されているか確認する。
支援策の活用:
独立行政法人情報処理推進機構(IPA)が提供する「SECURITY ACTION」の自己宣言や、「サイバーセキュリティお助け隊サービス」や地域のITベンダー企業など、中小企業向けの支援策を積極的に活用する。
「セキュリティ対策評価制度(SCS)」は、単なる規制強化ではなく、企業が自社のセキュリティ対策を客観的に見つめ直し、その価値を取引先に示すための新たな「ものさし」です。この制度を、受動的な「コスト」として捉えるのではなく、事業の継続性を高め、顧客からの信頼を獲得するための「競争力」向上の機会として前向きに活用することが、これからの企業経営には不可欠となるでしょう。
[1] [2] 経済産業省. (2025年12月26日). 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」を公表しました.
https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html
https://www.meti.go.jp/press/2025/04/20250414002/20250414002-2.pdf