TOPICS トピックス
経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」とは?サプライチェーン強化に向けた制度が始まります
2026年度末から、経済産業省および内閣官房国家サイバー統括室が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の運用開始が予定されています。IPAが制度運営主体となり、企業のセキュリティ対策状況を共通基準で可視化する仕組みとして整備が進められています。
本制度は発注企業が取引先へ求めるセキュリティ要件を標準化し、日本全体のサプライチェーンのサイバーセキュリティレベルを底上げすることを目的としています。
① サプライチェーンが取り巻く環境
近年、サイバー攻撃の対象は大企業単体からサプライチェーン全体へと拡大しています。
攻撃者は、防御が強固な大企業を直接狙うのではなく、比較的対策が手薄な委託先企業や関連会社を侵入口として利用する傾向を強めています。
こうした状況の中で、多くの発注企業は以下のような課題を抱えています。
- 取引先のセキュリティレベルを客観的に把握できない
- 取引先ごとに異なる評価基準を運用している
- セキュリティリスク評価に多大な工数が発生している
一方、受注企業側も、
- 顧客ごとに異なるセキュリティ要求への対応負荷
- セキュリティ対策の妥当性を証明する手段の不足
- セキュリティ投資の優先順位付けの難しさ
といった課題を抱えています。
SCS評価制度は、こうした発注者・受注者双方の課題を解決するために構築された共通の評価基準です。
② SCS評価制度の概要
SCS評価制度は、企業のサイバーセキュリティ対策状況を「★」で評価する制度です。
発注企業は取引先に対して、「当社との取引には★4以上を求める」といった形でセキュリティ要件を明確化できるようになります。
制度の特徴は以下の3点です。
-
01
共通基準による可視化
企業のセキュリティ対策状況を統一的な基準で評価し、取引先間で比較可能にします。
-
02
段階的な成熟度モデル
企業規模や事業特性に応じて段階的なレベルアップを促します。
-
03
サプライチェーン全体の底上げ
個社の認証取得ではなく、日本全体のサプライチェーン強靭化を目的としています。
制度運営はIPAが担い、評価結果は企業の対外的な信頼性向上にも活用されることが期待されています。
③ 各★の評価基準
制度では段階的な評価レベルが設定されています。
- ★4から取得することも可能
- ISMS適合性評価制度、★3・4との整合性も踏まえ、対策事項を今後検討
- IPA「SECURITY ACTION セキュリティ対策自己宣言」(https://www.ipa.go.jp/security/security-action/)参照
-
評価取得を希望する組織が、要求される対策事項の実施状況を自己評価し、評価結果を社内外の専門家が評価するという運用が検討されている
社内外の専門家としては、情報処理安全確保支援士に加え、セキュリティプレゼンターやITコーディネータ等の必要な知見·知識を持つ者の活用が検討されている - 経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)(https://www.meti.go.jp/policy/netsecurity/scs.html)公開情報を基に当社作成
④ 制度開始に伴うサプライチェーン企業への影響
SCS評価制度の導入により、セキュリティ対策は「推奨事項」から「取引条件」へ変化する可能性があります。
-
発注企業への影響
発注企業は取引先選定時に、★3以上必須、重要委託先は★4以上といった要件設定を行うことが可能になります。これにより、取引先評価の効率化と説明責任の強化が期待されます。
-
受注企業への影響
受注企業にとっては、新たな競争要件になる価格・品質・納期に加え、「どのレベルのセキュリティ評価を取得しているか」が取引判断材料となる可能性があります。
-
セキュリティ投資の優先順位が明確化
「何をどこまで実施すればよいか」が制度によって整理されるため、計画的な対策投資が可能になります。
-
顧客監査負荷の軽減
顧客ごとの個別チェックシート対応が減少し、共通基準による説明が可能になることが期待されています。
⑤ 制度の今後の予定について
2026年3月に制度構築方針が正式公表されました。現在、IPAを中心に詳細な運用ルールや評価基準の整備が進められています。
引き続き、経産省を始めとした本制度の推進機関の発表を注視するとともに、発注企業による要求水準の明確化が進むにつれ、サプライチェーン企業には早期の準備が求められます。特に、資産管理・脆弱性管理・アクセス管理・インシデント対応体制など、制度の基盤となる対策については今のうちから整備を進めることが重要です。
まとめ
SCS評価制度は、企業単体ではなくサプライチェーン全体のセキュリティレベル向上を目的とした新たな国家的枠組みです。今後は「セキュリティ対策を実施しているか」ではなく、「その対策を第三者が確認できる形で証明できるか」が重要になります。
制度開始後に慌てて対応するのではなく、自社の現状を把握し、目標となる★レベルとのギャップを可視化することが、これからのサプライチェーン企業に求められる第一歩となるでしょう。
中電シーティーアイでは中部電力を始めとした重要インフラのセキュリティを担っている実績を活かし、本制度への対策支援をご提供しております。本制度に関するご質問等、お気軽にお問い合わせください。