取引先のセキュリティ対策をどう確認するかについては、これまで企業ごとに作られたアンケート用紙のやり取りで処理されてきました。設問の粒度も評価軸も発注元によってまちまちで、回答する側は同じような内容を何度も書き直し、受け取る側もその結果を何に使うかを毎回考え直してきました。
経済産業省と内閣官房国家サイバー統括室が2026年3月27日に方針を確定した「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」は、その場当たり的な確認作業に共通の物差しを持ち込もうとする試みです。セキュリティ確保のための取り組み状況を★3・★4・★5という評価段階で可視化する仕組みが、制度として整いつつあります。
ただし、共通言語が整備されることと、その言語が正しく使われることは別の問題です。今この制度にどう向き合うかは、セキュリティ部門に閉じた話ではなく、企業規模ごとに性格の異なる経営判断として立ち上がってきます。同時に、★という記号を使う側にも使われる側にも、制度が保証することと保証しないことの両方を理解しておく必要があります。
- 評価への対応を「コスト」と見るか、自社の立ち位置を映す「鏡」と見るか
- 自社の規模と取引構造から見て、最初に踏み出すべき一手はどこにあるか
- 形式的な認定取得を超えた、実質的な強さをどう設計するか
- 評価を取引条件にする側は、何を引き受けることになるか
1. 制度が生まれた背景
サプライチェーンを通じたサイバー攻撃は、すでに実害を伴う問題として現れています。2022年2月、国内自動車部品メーカーへのサイバー攻撃により、トヨタ自動車の国内全14工場が操業停止に追い込まれました。停止は1日にとどまりましたが、1日で約1万3,000台の生産に影響が出たとされています(出典①、②)。この事案は、攻撃が直接の被害企業にとどまらず、サプライチェーンの上流・下流全体に波及することを広く示しました。
IPA(情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威 2026」でも、「サプライチェーンや委託先を狙った攻撃」は組織向け脅威の2位に位置づけられています(出典③)。個別企業のセキュリティ対策の水準にとどまらず、サプライチェーン全体の強靱性をいかに確保するかが問われているという認識が、行政・産業界の共通理解になりつつあります。
制度の検討経緯を簡単に整理すると、経済産業省と内閣官房国家サイバー統括室は有識者・産業界との議論を経て、2025年4月に中間取りまとめを公表し、同年12月に制度構築方針案を公表しました。その後、パブリックコメントを経て、2026年3月27日に制度構築方針として確定しています(出典④)。制度のスキームオーナーであるIPAが詳細を構築し、経済産業省・内閣官房国家サイバー統括室が運用状況を監督する体制です(出典⑤)。より具体的な実施内容については2026年度に検討・詳細化が行われる予定です(出典⑥)。
制度が目指していることの一つは、取引先ごとに異なる形式のアンケートへの対応という重複作業を減らし、共通基準による評価結果をサプライチェーン上で使い回せるようにすることです。同時に、★を取得していることは、取引先に対して自社の対応状況を説明する材料にもなりえます。
なお、制度構築方針は「本制度は、サプライチェーンにおける企業の位置づけや想定リスク等を踏まえて求められるセキュリティ対策の水準を定め、企業の対応状況を可視化するものであり、事業者のセキュリティ対策レベルを競わせることを目的としたもの(格付け制度等)ではない」と明示しています (出典④p.4※1)。「2社間の取引契約等において、委託元が、委託先に適切な段階(★)を提示し、示された対策を促すとともに実施状況を確認すること」が想定されており、取得すること自体が目的ではなく、自社のサプライチェーン上の役割に照らして適切な水準を選ぶことが前提となっています。
- 出典①: 日経クロステック「トヨタ、3月1日に国内全工場停止 小島プレスにサイバー攻撃か」(2022年2月28日)
- 出典②: トヨタイムズ「小島プレス、サイバー被害から1年 苦難乗り越え深めた絆」(2023年2月27日)
- 出典③: IPA「情報セキュリティ10大脅威 2026」
- 出典④: 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」
- 出典⑤: 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)に係る不適切な勧誘に御注意ください」
- 出典⑥: IPA「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」
2. SCS評価制度の全体像
SCS評価制度では、想定される脅威と達成すべき水準に応じて★3から★5の段階が設けられています。★1・★2は既存の「SECURITY ACTION」(中小企業が情報セキュリティ対策への取り組みを自己宣言する制度)と連携・相互補完する形で設計されており、SCS評価制度の主な対象は★3以上です。
2-1. ★3:一般的なサイバー脅威への対処水準
★3は、一般的なサイバー脅威に対処しうることを水準として規定されており、要求事項は26件です(出典⑦)。評価方式は「専門家確認付き自己評価」で、取得希望組織が自己評価を記入し、セキュリティ専門家がその内容を確認・助言した上で署名するという流れです。最終的に経営層による自己適合宣誓を含む評価結果を事務局に提出します。有効期間は1年です。
専門家の資格要件として、情報処理安全確保支援士・公認情報セキュリティ監査人・CISSP・CISA・CISM・ISO27001主任審査員のいずれかを保持していることと、別途の研修受講要件を満たすことが示されています(出典④p.20)。
2-2. ★4:被害拡大防止とサプライチェーン強靱化の水準
★4は、供給停止や情報漏えいによってサプライチェーンに大きな影響をもたらす可能性がある企業を主な対象とし、被害拡大防止とサプライチェーンの強靱化を水準として規定されています。要求事項は43件で、評価機関による書類審査に加えて実地審査と技術検証(脆弱性検査等)が実施されます。有効期間は3年です(出典⑦)。
2-3. ★5:高度攻撃を想定した水準(今後具体化)
未知の攻撃を含む高度なサイバー攻撃を想定した高度対策の段階として位置づけられていますが、要求事項・評価基準や評価スキームの具体化は2026年度以降に検討が進められる予定で、執筆時点(2026年5月)では詳細が確定していません(出典⑥)。
| 段階 | 主な位置づけ | 評価方式 | 主な対象イメージ |
|---|---|---|---|
| ★3 | 一般的なサイバー脅威への対処 | 専門家確認付き自己評価 | 多くのサプライチェーン参加企業 |
| ★4 | 被害拡大防止・サプライチェーン強靱化 | 第三者評価(実地審査・技術検証含む) | 重要情報・重要業務に関わる企業 |
| ★5 | 高度なサイバー攻撃への対応 | 今後具体化 | 高度なリスク管理が求められる企業 |
2-4. スケジュール感
★3・★4の申請受付は、評価ガイド等の公表(2026年下期予定)を経て2026年度末頃の制度開始が目指されています(出典④p.39)。申請・登録費用、申請の具体的な手続き方法は今後公開予定とされており、現時点では要求事項・評価基準とのギャップ確認を先行させる段階にあります。
出典④p39より引用
- 出典⑦: IPA「SCS評価制度の詳細情報」
3. 評価を取引条件にする側が引き受けること
制度への注目は、取得する側(サプライヤー)に集まりがちですが、評価を取引条件に組み込む側(発注側)にも相応の設計責任が生じます。
ただし、1章で述べたとおり、本制度は法令上の取得義務を課すものではなく、個社間の商取引を直接規制する制度でもありません。あくまで、取引契約等の中で発注側と受注側が適切な対策水準を確認するための任意制度として設計されています。
まず、インシデント発生時の連絡・対応フローは、発注側が整備する必要があります。評価はある時点での対策水準を可視化するものですが、攻撃を受けた際の実際の動きは制度が保証するものではありません。取引先で事案が起きたとき、誰がどう連絡を受け、どう対処するかは、発注側が事前に設計しておく問題です。
次に、対応コストの転嫁問題があります。★3取得に向けた準備には、専門家費用・文書整備・体制の見直しなどのコストが伴います。取引先がそのコストを価格に転嫁してくることは、経済合理性からすれば自然な流れです。一方的に要求するだけで支援設計がなければ、取引単価の上昇か、形式的な取得かのいずれかに向かう可能性があります。経済産業省・公正取引委員会は、取引先へのセキュリティ対策要請に関して、独占禁止法や中小受託取引適正化法(取適法、旧下請法)との関係を整理した文書を2025年12月に公表しています(出典⑧)。発注側が評価を取引条件に使う場合も、一方的な要請ではなく、取引関係上の適正性を意識した運用が求められます。
さらに、例外設計の問題があります。発注側が評価を取引条件とする場合、「満たしているか否か」という二値判断だけでは現場が硬直します。移行期間の設定、段階的な改善計画の受け付け、重要度に応じた例外承認の仕組みをあらかじめ設計しておく必要があります。評価を未取得の取引先であっても、重要度の低い取引関係では一定期間の猶予を設け、重要情報を預ける取引先には取得完了まで情報の範囲を制限する、といった運用設計がなければ、評価は現場で扱いにくいチェックリストになるだけです。評価を取引条件にするとは、自社の審査・運用体制も同時に整えるということを意味します。
- 出典⑧: 公正取引委員会「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けた想定事例及び解説」
4. 中小企業の判断軸 ~★3を「通行手形」で終わらせないために~
サプライチェーンに参加する多くの中小企業にとって、現実的な目標は★3の取得です。ただし、★3を「取得すれば終わり」という通行手形として扱うと、制度の本来の意味が失われます。
★3の評価は「専門家確認付き自己評価」です。専門家が確認・署名するとはいえ、評価の起点はあくまで自己評価であり、実態をどこまで正確に記述できるかが問われます。対策の実施そのものと同じくらい重要なのは、「対策していることを第三者が確認できる状態」にすることです。
具体的には、以下のような記録・証跡の整備が必要になります。
- 資産台帳(管理対象となるハードウェア・ソフトウェアの一覧)
- アカウント棚卸し記録(権限付与・変更・削除の履歴)
- バックアップ実施記録(定期実施とその確認の痕跡)
- インシデント対応計画と連絡体制の文書化
- 従業員向けセキュリティ教育の実施記録
これらがなければ、実際に運用していても評価の場面では説明しにくくなります。★3対応は「対策を入れること」と「記録として残すこと」の両方を含む作業です。記録・文書化の部分は多くの中小企業にとって初めての経験になりやすく、ここが最初の壁になります。
また、★3の有効期間は1年です。一度取得して終わりではなく、毎年の更新が前提になります。初回の取得よりも、継続的な運用体制の設計を先に考えることが、中長期的な費用対効果の面からも合理的です。
5. 中堅企業の判断軸 ~★4対応を「組織横断課題」として立ち上げる~
従業員規模が数百人を超え、重要な業務システムを持ち、複数の大手取引先と関係を持つ中堅企業にとっては、★4を視野に入れた検討が必要になる可能性があります。
★4の第三者評価は、書類審査だけでなく実地審査と技術検証(VPNやルーター等の侵入リスクの高い機器に対する脆弱性検査等)を含みます。要求事項は43件で、組織的な対策とサプライチェーン上の役割に応じた強靱化策が求められます。
この評価を「IT部門が対応するセキュリティ案件」として位置づけると、おそらく行き詰まります。人事(教育体制)・法務(契約・規程整備)・購買(取引先評価)・経営企画(適用範囲の設定)が関係するため、部門横断で責任範囲を定める必要があります。
実務的な最初の一手は、評価の適用範囲をどう設定するかの検討です。★4の評価は、全社一律ではなくサプライチェーン上の役割を踏まえた適用範囲の中で実施されます。重要情報・重要業務が集まる範囲を先に特定し、そこから逆算して対策の優先順位を立てることが、過剰な対応コストを避ける上でも有効です。
ISMSをすでに取得している企業は、SCS評価制度への対応を単純な横展開と見るのは早計です。ISMSはマネジメントシステムとしての枠組みを重視する一方、SCS評価制度はサプライチェーン上の役割や取引先との関係を前提とした要求を含みます。既存のISMS文書を活用できる部分はあるとしても、SCS評価基準とのギャップ確認は別途必要です。
6. 大企業の判断軸 ~「一律要求」ではなく「層別設計」へ~
取引先に評価の取得を求める立場になる大企業にとって、制度の使い方は「要求するかどうか」よりも「どう設計するか」の問題です。
取引先の規模・業態・保有情報の重要度はさまざまです。それにもかかわらず「全取引先に★3を求める」という一律の方針を立てると、現場の運用が複雑になります。重要情報を扱う取引先、軽微な作業のみを委託する取引先、規模が小さく対応コストが重くなる取引先——これらを同列に扱うことで、形式的な取得だけが進むリスクが生じます。
現実的な設計は、取引先を重要度・情報の機密性・代替可能性等の観点で分類し、それぞれに要求する水準と支援の程度を変える「層別設計」です。たとえば、重要情報を直接扱う取引先には★4取得を視野に入れた対話を始め、間接的な関わりにとどまる取引先には★3での対応を求めつつ移行期間を設ける、という形です。
取引先支援についても触れておく必要があります。★3の取得には費用と人的コストが伴います。対応できる取引先だけが残り、対応できない重要な取引先が離脱する、あるいは費用が価格に転嫁されるという問題は、放置すれば調達・供給の安定性に直結します。中小取引先向けの「サイバーセキュリティお助け隊サービス(新類型)」が制度創設に合わせて検討されているように、官民での支援策も整備される方向にあります(出典⑨)。そのうえで、発注側企業として取引先の対応状況を把握し、必要に応じて情報提供や準備支援を行うことは、サプライチェーンの安定を自社の課題として引き受けることと同義です。
- 出典⑨: IPA「関連制度・施策」
7. 制度が設計できないこと
制度の整備は、サプライチェーン全体のセキュリティ水準を底上げする上で意味があります。ただし、★という記号が何を保証し、何を保証しないかを正確に理解しておく必要があります。
自己評価の信頼性は証跡の質に依存する
★3は専門家確認付き自己評価ですが、専門家が確認できるのは提出された書類の内容です(出典④p.18)。実態との乖離が生じた場合や、記録が実際の運用を反映していない場合に対してどこまで制度上の抑止が機能するかは、専門家確認の質と今後の運用設計に依存します。評価を取得していることと、実際のセキュリティ対策が機能していることは、必ずしも一致しない場面があります。
既存認証制度との棲み分け
ISMSや他のセキュリティ認証との関係については、現時点では整理が続いている状況です。SCS評価制度は取引先との関係を前提とした要求を含む点で、汎用的なマネジメントシステム認証とは設計思想が異なります。どの認証を何のために取得するかは、制度ができたからといって自動的に整理されるわけではなく、引き続き企業ごとの判断が求められます。
アンケートがすべて消えるとは限らない
★はサプライチェーン上の取引先確認の共通基準として機能することが期待されていますが、発注側企業が評価に加えて自社独自のセキュリティアンケートを続ける可能性は排除されていません。制度が普及し、評価を参照することで個別アンケートが不要になるという流れは、使う側の運用設計にかかっています。制度が存在することと、現場での重複作業が解消されることは、別のことです。
結び
SCS評価制度は、サプライチェーン全体のセキュリティ対策を共通の言語で議論する土台を整えようとする試みです。★3・★4という評価の枠組みが存在することで、「どの水準を目指すか」「何から着手するか」という問いに、ある程度の方向性を持たせることができます。
ただし、制度が整うことで経営判断が楽になるわけではありません。評価を取得するかどうか、どの評価レベルを目指すか、取引先に何を求めるか——これらはいずれも、自社がサプライチェーン上でどのような役割を担っているかという認識から出発する判断です。
申請方法や費用の詳細公表を待つ間にも、自社の取引構造と情報資産の重要度を棚卸しし、要求事項とのギャップを先に把握しておくことはできます。評価がどう機能するかは、制度を使う側の設計次第でもあります。
粕谷英雄
サマーオーシャンコンサルティング
ソフトウェア開発、情報システム刷新、DX推進などの実務知見をもとに、デジタル化に関する意思決定を支援。デジタルを経営に活かすための視点や推進の考え方を整理して発信しています。
