SCS評価制度とは?2027年から始まる新制度の全体像と対象企業|ハチマルヤ合同会社(808)
「SCS評価制度への対応、担当者になったはいいものの……何から始めたらいいんだろう」
そんな状況の方が、いま多くの情シス・セキュリティ担当者の中に増えています。
「SCS評価制度」とは、2026年度末から申請受付が始まる経済産業省の新しいセキュリティ認証制度です。サプライチェーン全体のセキュリティ対策を「見える化」することが目的で、対象は業種・規模を問わず、サプライチェーンを構成するすべての企業とされています。
「うちの会社は政府と取引がないから関係ない」と思っている方も少なくないかもしれません。しかし、この制度は取引先・委託先・下請け企業まで広くカバーする設計になっています。気づいたときには「対応が遅すぎた」という状況になりかねません。
この記事では、SCS評価制度の概要から★3・★4の違い、対応に必要なスケジュール感まで、担当者がまず知っておくべきことを、ハチマルヤ(808)のコンサルタントが整理してお伝えします。
SCS評価制度とは?制度の目的と生まれた背景
SCS評価制度の正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」です。経済産業省(METI)と内閣官房国家サイバー統括室が連携して創設を進めています。企業のセキュリティ対策状況を★マークで客観的に評価・認定する仕組みです。
制度の実施機関はIPA(独立行政法人情報処理推進機構)が担い、2026年3月に「制度構築方針」が正式に公表されました。[※1]
なぜ今この制度が必要なのか
背景にあるのは、近年急増している「サプライチェーン攻撃」です。
大企業がいくらセキュリティ対策を強化しても、取引先の中小企業が踏み台にされてしまえば意味がありません。セキュリティ対策が手薄な受注企業・委託先を経由して、機密情報が盗まれる事例が国内外で相次いでいます。
サプライチェーン攻撃の特徴は、標的となる企業が「攻撃を受けたこと」に気づきにくい点です。気づいたときには取引先全体に被害が拡大していることも少なくありません。
制度の仕組みを一言で言うと
「自社のセキュリティ対策レベルを、統一基準で★の数として証明できる制度」です。
これまで、取引先のセキュリティ水準は発注元が個別に確認するしかなく、コストや手間が大きな課題でした。本制度によって「★4取得済み」という共通言語が生まれることで、サプライチェーン全体の信頼関係が可視化されます。
SCS評価制度の対象企業・対象外はどこ?
対象は「サプライチェーンを構成するすべての企業」とされています。発注元・受注先・再委託先など、立場を問いません。業種・企業規模による除外もなく、中小企業も例外なく対象です。
「政府調達に関係ないから無関係」というのは誤解です。制度は政府調達から民間サプライチェーンへ段階的に広がる設計になっており、取引先から「SCS取得済みであること」を求められるケースが今後増えると見込まれています。
こんな企業は特に要注意
以下の企業は、早めに対応を始めることが重要です。
- 製造業・IT業界のサプライチェーンに入っている企業
- 大手企業・官公庁と取引のある中堅・中小企業
- 機密情報・個人情報を扱う事業を行っている企業
- 委託先・下請けを複数抱えている企業
特に「取引先から対応を求められてから動く」では間に合わないケースが出てきます。2026年度末の制度開始を見据えて、今から準備を進めることが求められています。
★3・★4の違いを整理|自社はどのレベルが必要?
SCS評価制度では、企業のセキュリティ対策レベルを★1〜★5の5段階で評価します。現時点で企業が対応を求められるのは主に★3・★4です。それぞれの位置づけは以下のとおりです。[※1]
| レベル | 位置づけ | 評価方式 |
|---|---|---|
| ★1・★2 | 既存のSECURITY ACTION宣言を取り込んだ入口レベル | 自己宣言 |
| ★3 | 全サプライチェーン企業が最低限対応すべき基礎レベル | 専門家確認付き自己評価 |
| ★4 | サプライチェーンへの影響が大きい企業・重要情報を扱う企業向け標準レベル | 第三者評価機関による審査+技術検証 |
| ★5 | ベストプラクティスレベル(補足)。ISMS適合性評価制度との整合を図りながら2026年度以降に要件を具体化予定。現時点では開始時期未定のため、まず★3・★4への対応を優先する。 | 検討中 |

まず多くの企業が目指すべきは★3です。★1・★2はすでに「IPA SECURITY ACTION」として運用されている自己宣言制度をSCS評価制度に取り込んだものであり、SECURITY ACTIONを宣言済みの企業はスタート地点に立っているといえます。
★3と★4の評価プロセスの違い
★3の取得プロセスは、「自社でチェックリストに回答→セキュリティ専門家が内容を確認・助言→IPAへ登録申請」という流れです。専門家は内容の確認と助言を行うものであり、外部機関が一方的に判断するわけではありません。
★4はより厳格で、「第三者評価機関による審査」と「技術検証」の両方が求められます。準備・審査にかかる時間・コストも★3より大きくなります。
自社は★3か★4か——3つの問いで判断する
★4が必要かどうかは、以下の3つの問いで大まかに判断できます。
問い1: 自社がシステム障害・供給停止になった場合、取引先のサプライチェーン全体に大きな影響が出るか?
問い2: 自社は機密性の高い情報(設計データ・個人情報・政府関連情報など)を扱っているか?
問い3: 主要取引先・発注元から「★4以上を要件にする」という話が出ているか?
1つでも「はい」があれば★4対応を検討する必要があります。すべて「いいえ」であれば、まず★3を目指すことが現実的なステップです。
ただし、「★3で今は大丈夫」だとしても、取引関係の変化によって★4対応が必要になるケースがあります。★3取得後も継続的に自社の立ち位置を確認することが重要です。
★3と★4の違いについてより詳しく知りたい方は、以下の記事も参考にしてください。
→ [SCS第3階層と第4階層の違い|自社が該当する階層の見極め方](L1-05へのリンク予定)
SCS評価制度の評価項目(26項目)の概要
SCS評価制度の★3では、26の要求事項への対応が求められます。[※1] NIST CSF(サイバーセキュリティフレームワーク)をベースに、日本独自の「委託先管理」を加えた7つのカテゴリで構成されています。[※2]
- ガバナンス:経営層のコミットメント・セキュリティ管理体制の整備
- 委託先管理:SCS制度独自のカテゴリ。取引先・外部委託先のセキュリティ管理
- 識別:自社の情報資産・リスクの把握と管理
- 防御:不正アクセス防止・情報漏えい対策などの予防的措置
- 検知:異常・インシデントの早期発見の仕組み
- 対応:インシデント発生時の対応計画と実行体制
- 復旧:被害からの回復と再発防止の仕組み
「全項目を一気に対応しなければならない」と思うと圧倒されてしまいますが、実際には自社の現状に応じてギャップを確認しながら段階的に進めることができます。
各項目の詳細な内容と対応優先度については、以下の記事で詳しく解説しています。
→ [SCS評価制度の全評価項目を徹底解説|何を、どこまでやればよいか](L1-03へのリンク予定)
特に準備に時間がかかる項目はどれか
実務的に対応工数が大きいとされているのが、以下のような項目です。
- SBOM(ソフトウェア部品表)の整備:使用しているソフトウェアコンポーネントの一覧管理。特にシステム開発を行っている企業は早めに着手が必要
- 委託先管理:外部委託先のセキュリティ対策状況を把握・管理する仕組みの構築
- インシデント対応計画の策定と訓練:計画書の整備だけでなく、実際の訓練実施まで求められる
これらは「ドキュメント1枚作れば終わり」ではなく、社内プロセスとして定着させるまでに時間がかかります。早めに着手することが重要です。
2026年度末に向けた対応スケジュール
★3・★4の申請受付開始は2026年度末(2027年Q1)が予定されています。[※1] 2026年7月時点で、制度開始まで残り約8ヶ月です。
「8ヶ月あれば大丈夫」と感じるかもしれませんが、ゼロから対応を始める場合、以下のようなフェーズを経る必要があります。
| フェーズ | 内容 | 目安期間 |
|---|---|---|
| 現状把握・棚卸し | 自社の資産・対策状況の整理 | 1〜2ヶ月 |
| ギャップ分析 | 評価項目との乖離を洗い出し | 1〜2ヶ月 |
| 対策実施 | 不足対策の導入・整備 | 3〜6ヶ月 |
| 専門家確認・申請 | 専門家へのレビュー依頼と申請準備 | 1〜2ヶ月 |
| 合計 | 6〜12ヶ月(標準的には6〜9ヶ月) |
今から動き始めても、申請までにぎりぎりのスケジュールです。
今すぐやるべき3つのこと
難しく考えず、まず以下の3点から始めましょう。
① 自社がどのレベル(★3か★4か)を目指すかを決める
前述の3つの問いを参考に、目指すべきレベルを経営層と合意しておく。
② IPAの公式ページで評価項目を確認する
IPA SCS評価制度ページ で最新の評価基準を確認し、自社の現状と対照させてみる。[※3]
③ 社内の推進体制を決める
SCS対応は情シスだけでは完結しません。事業部・法務・経営層を含めた推進体制を早めに組んでおく。
ISO27001・Pマーク取得済みの企業はどうなる?
「うちはすでにISO27001を取得しているから、SCS対応は不要では?」というご質問をよくいただきます。残念ながら、ISO27001の取得はSCS評価制度への対応を完全にカバーするものではありません。
ISO27001とSCSの違い
ISO27001は情報セキュリティ管理システム(ISMS)の国際規格であり、組織全体のセキュリティマネジメント体制を評価するものです。一方SCSは、サプライチェーン特有のリスク(委託先管理・SBOM・サプライチェーン攻撃への対応など)に特化した評価項目を含んでいます。
ISO27001取得済みの企業であれば、ガバナンス・リスク管理の分野では既存の取り組みが評価に活かせる可能性があります。しかし、SBOM整備や委託先管理の具体的な要件など、SCS固有の項目については別途対応が必要です。
PマークとSCSの違い
Pマーク(プライバシーマーク)は個人情報の適切な取り扱いに関する認証制度であり、サイバーセキュリティの評価制度であるSCSとは目的が異なります。Pマーク取得企業でも、SCS対応は別途必要です。
既存の認証を活かしながら、SCS固有の要件を効率的に補完していくアプローチが、準備期間を短縮するうえで有効です。
SCS評価制度対応の第一歩|担当者が今日からできること
この記事を最後まで読んでいただいたことで、SCS評価制度の全体像はつかめたかと思います。最後に、今日からすぐに動き出せる3つのステップをお伝えします。
ステップ1:自社のサプライチェーン上の位置を確認する
自社が発注元なのか受注側なのか、どのような取引関係があるかを整理します。これが、目指すべき★レベルを判断する出発点です。
ステップ2:★3か★4かを判断する
前述の「3つの問い」を社内でチェックして、目指すレベルを決めます。判断に迷う場合は、外部のセキュリティ専門家に相談することも有効です。
ステップ3:評価項目の全体像をつかむ
IPAの公式ページやチェックリストを確認して、現在の自社対応状況とのギャップを大まかに把握します。全項目を精査する前に「どのカテゴリが弱いか」をざっくり把握するだけでも、優先順位が見えてきます。
SCS評価制度への対応は、一朝一夕では終わりません。しかし、正しい順序で進めれば、着実にゴールに近づけます。一人で抱え込まず、早めに専門家のサポートも活用することをおすすめします。
まとめ
この記事では、SCS評価制度について以下の内容を解説しました。
- SCS評価制度とは:経産省が主導するサプライチェーン全体のセキュリティ「見える化」制度。2026年度末に★3・★4の申請受付開始予定
- 対象企業:業種・規模を問わず、サプライチェーンを構成するすべての企業
- ★レベルの選び方:まず★3を目指しつつ、取引関係・情報の重要度に応じて★4対応を検討する
制度開始まで残り約8ヶ月。対応準備には6〜9ヶ月かかることを踏まえると、今が動き出すギリギリのタイミングです。「とりあえず現状確認から始める」という小さな一歩でも、早ければ早いほど余裕を持って対応できます。
よくある質問(FAQ)
Q1:SCS評価制度は義務ですか?対応しないとどうなりますか?
現時点では法的な義務ではありませんが、政府調達や大手企業との取引で「SCS取得済みであること」を要件にされるケースが今後増えると予想されます。対応しないことで商機を失うリスクがあるため、義務化の前から準備しておくことが得策です。
Q2:★3と★4、どちらから始めればよいですか?
ほとんどの企業にとってはまず★3の取得を目指すことが現実的な出発点です。★4が必要かどうかは、「サプライチェーンへの影響度」と「取り扱う情報の重要度」で判断します。判断に迷う場合はセキュリティ専門家に相談するのが確実です。
Q3:SCS評価制度の対応にはどのくらいの期間がかかりますか?
現状把握からギャップ分析・対策実施・審査申請まで、最短でも6〜9ヶ月かかります。既存の認証(ISO27001等)がある場合は一部対応を省略できる可能性がありますが、SCS固有の項目は別途対応が必要です。制度開始の2026年度末を見据えて、今すぐ動き出すことを強くおすすめします。
ハチマルヤ合同会社(808)では、SCS評価制度への対応を専門チームがサポートしています。「何から始めればいいかわからない」という段階からご相談を受け付けています。まずはお気軽ご相談ください。
参考資料・出典
※1 経済産業省・IPA「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)制度構築方針」(2026年3月公表)
https://www.ipa.go.jp/security/scs/index.html
※2 NIST「Cybersecurity Framework(CSF)2.0」(米国立標準技術研究所)
https://www.nist.gov/cyberframework
REQUEST
資料請求はこちら
資料請求
CONTACT
お問い合わせはこちら
お問い合わせ
簡単 1STEP
こちらから
無料で資料請求
資料請求