「SCS評価制度」がいよいよ始まります——サプライチェーン全体のセキュリティを「見える化」する新制度と、UPFにできること

サイバー攻撃の手口が年々巧妙になるなか、最近特に増えているのが「取引先を踏み台にして、本来の標的企業へ侵入する」という手口です。
セキュリティが手薄な中小企業を経由することで、大企業のシステムに入り込もうとするわけです。
IPA（情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威 2026」でも、「サプライチェーンや委託先を狙った攻撃」は組織編の2位にランクインしており、もはや自社だけのセキュリティ対策では不十分な時代になってきました。

こうした状況を受け、経済産業省および内閣官房国家サイバー統括室は、2026年3月27日に「サプライチェーン強化に向けたセキュリティ対策評価制度」（略称：SCS評価制度）の制度構築方針を正式に公表しました。
2026年度末頃の制度開始（申請受付の開始）を目指して、準備が進められています。

SCSとは「Supply Chain Security（サプライチェーン・セキュリティ）」の略です。
一言で言えば、「自社のセキュリティ対策がどのくらいできているかを、共通の基準で評価・可視化する仕組み」のことです。

これまでは、発注元企業が委託先（取引先）のセキュリティ対策をチェックしたいとき、それぞれが独自に作ったチェックシートやアンケートに答えてもらうしかありませんでした。
受ける側の中小企業にとっては、取引先の数だけ異なる様式に対応しなければならず、大きな負担になっていました。
発注する側も、チェックの基準がバラバラでは「本当に大丈夫なのか」が判断しにくいという問題がありました。
SCS評価制度は、こうした「発注側・受注側の双方が抱えていた課題」をまとめて解決しようとする制度です。

制度の仕組みを少し具体的に説明しましょう。
SCS評価制度では、セキュリティ対策のレベルを「★（星）」の数で表します。
すでにIPAが運用している「SECURITY ACTION 自己宣言制度」が★1・★2にあたり、今回新たに★3・★4（★5は今後検討）が加わる形になっています。

★1は、「情報セキュリティ5か条」に取り組むことを自ら宣言する制度です。
★2は、自社診断を実施した上で情報セキュリティ基本方針（セキュリティポリシー）を策定・外部公開し、宣言する制度です。
★1・★2はいずれも自社が自ら宣言するもので、第三者による審査はありません。

★3は「すべてのサプライチェーン企業が最低限実装すべき対策が取れている状態」を指します。
具体的には、社内のパソコンやサーバーの管理状況、ウイルス対策、不正アクセスへの備え、万が一のときの対応手順など、基本的なセキュリティ対策が整っているかどうかを確認されます。
評価の方法は「専門家確認付きの自己評価」です。自社で自己評価を行い、セキュリティ専門家（登録セキスペ等）に適合可否を確認してもらう形で取得できます。

★4は、サプライチェーンの中で特に重要な役割を担う企業（供給が止まるとサプライチェーンに大きな影響をもたらす企業や、機密情報を扱う企業など）を主な対象としています。
★3よりも広い範囲の対策が求められ、認定された第三者評価機関による客観的な審査を受ける必要があります。

なお、★3を事前に取得していなければ★4を取得できない、という関係ではありません。
★4の要求事項は★3の内容を包含するよう設計されているため、いきなり★4を目指すことも可能です。

★5については「到達点として目指すべき最高レベルの対策」と位置付けられています。
国際規格に基づくリスクベースのアプローチで、未知の攻撃も含めた高度なサイバー攻撃への対応が求められる水準ですが、具体的な要求事項・評価基準は2026年度以降に検討が進められる予定で、現時点では詳細は未定です。

ここで「うちは中小企業だけど、費用や手間はどうなるの？」と気になる方も多いでしょう。
経済産業省とIPAでは、中小企業が★3・★4をできるだけ安く、手軽に取得できるよう、「サイバーセキュリティお助け隊サービス（新類型）」の創設を進めており、その制度設計に向けた実証事業を2026年春頃から開始する予定です。
また、「中小企業の情報セキュリティ対策ガイドライン」も★3・★4の要求事項に対応した内容に改訂・公開されており、何をどう対策すればいいかの指針が整いつつあります。
さらにIPAでは、「情報処理安全確保支援士（登録セキスペ）」と呼ばれるセキュリティ専門家が★3取得時の確認・助言を支援できる体制も整備しています。

「PマークやISMSをすでに取得している企業は、あらためて対応が必要なの？」という疑問も多いかと思います。
SCS評価制度はISMSなどの既存の認証制度と競合するものではなく、経済産業省も「ISMS適合性評価制度等と相互補完的な制度として発展させていく」としています。
簡単に言うと、Pマークは「個人情報の適切な管理」、ISMSは「情報セキュリティ全般のマネジメント体制」をそれぞれ評価する仕組みです。
SCS評価制度はそこに「サプライチェーン全体での共通セキュリティラインの確保」という視点が加わったものと考えると分かりやすいでしょう。
すでにPマークやISMSに取り組んでいる企業は、対策の土台が整っている部分が多いため、SCS評価制度への対応がよりスムーズに進めやすいと言えます。

UPFとしては、このSCS評価制度は今後の企業間取引において重要な信頼指標になっていくと見ています。
なぜなら、発注元企業が取引先に対して「★3以上の取得」を求めるようになっていくことが予想されるからです。
取得していない企業は、新規取引の獲得が難しくなったり、既存の取引先から対応を求められたりする可能性があります。

「制度が始まってから動けばいい」と思っている企業様も多いかもしれませんが、社内ルールの整備・ログ管理の仕組みづくり・従業員教育など、対策には一定の準備時間が必要です。
2026年度末の制度開始を見据えると、今から動き出すことが大きなアドバンテージになります。

UPFでは、SCS評価制度への対応に向けたご相談を随時お受けしています。
「何から手をつければいいかわからない」「自社がどのレベルにあるか確認したい」「PマークやISMSと合わせて効率よく進めたい」といったお悩みがあれば、ぜひお気軽にご連絡ください。
累計5,000社超の支援実績をもとに、貴社の状況に合わせてサポートいたします。

【出典】
・経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（2026年3月27日公表）
https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html

・SKYSEA Client View「SCS評価制度とは？ 制度の概要や創設の背景、今からできる準備を解説」
https://www.skyseaclientview.net/media/article/4823/

・エクスジェン・ネットワークス「SCS評価制度とは？ 業種別ガイドラインやISMS、NISTとの関係性を整理する」
https://www.exgen.co.jp/column/ent-019.html