2026年度運用開始「SCS評価制度」が取引条件になる？
サプライチェーン企業が今すぐ知っておくべき影響と対策

近年、サプライチェーンを狙ったサイバー攻撃が急増しており、取引先全体が攻撃の標的となるケースが後を絶ちません。こうした状況を受け、経済産業省は2026年度の運用開始を目指し、企業のセキュリティ対策水準を客観的に評価する「SCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）」の整備を進めています。本記事では、2026年3月に制度構築方針が公表されたSCS評価制度の概要から評価ランクの内容、企業が今から取り組むべき準備まで詳しく解説します。

1. SCS評価制度とは何か？制度創設の背景を理解する
2. SCS評価制度の評価ランクと仕組み
3. 既存制度との関係
4. SCS評価制度が企業にもたらすメリット
5. SCS評価制度への具体的な準備と対応方法
6. SCS評価制度への対応は経営と現場の両輪で進めよう

SCS評価制度とは何か？制度創設の背景を理解する

はじめに、SCS評価制度の基本的な知識から見ていきましょう。制度が生まれた背景と、企業にとっての意義についても解説します。

SCS評価制度の定義と目的

SCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）とは、経済産業省主導で整備が進められている、企業のセキュリティ対策の実施状況を段階的に可視化する仕組みです。企業のセキュリティ対策水準を「★3（三つ星）」〜「★5（五つ星）」の3段階で評価し、取引先間で互いにセキュリティ対策状況を客観的に確認できる環境の整備を目指します。

制度の主な目的は、サプライチェーン全体のセキュリティ水準の底上げにあります。評価を通じて企業全体に適切なセキュリティ対策の実施を促し、サービス停止や情報漏えい、不正侵入などのサイバーインシデントリスクを低減することが期待されています。

制度が創設された背景

近年、サプライチェーンを経由したサイバーインシデントが急増しています。IPA（独立行政法人情報処理推進機構）が毎年発表する「情報セキュリティ10大脅威」では、「サプライチェーンや委託先を狙った攻撃」が2026年度において組織編の2位にランクインしており、8年連続でランクインしています。

IPAの調査によると、2023年度にサイバーインシデントの被害を受けた企業のうち、約7割が「取引先に影響があった」と回答しており、セキュリティ対策はもはや各企業個別の課題ではなく、サプライチェーン全体の課題となっています。

こうした状況を受け、委託事業者の多くが取引先にセキュリティ基準の遵守を求めるようになりましたが、基準が事業者ごとに異なるため、複数メーカーから業務を受託する中堅・中小企業にとって大きな負担となっていました。SCS評価制度は、こうした課題を解消するために創設されました。

SCS評価制度の評価ランクと仕組み

SCS評価制度では、企業のセキュリティ対策水準を3段階で評価します。各レベルの内容と評価方式について解説します。

★3（三つ星）：最低限のセキュリティ対策

「★3（三つ星）」は、「全てのサプライチェーン企業が最低限実装すべきセキュリティ対策」と位置付けられています。基礎的なセキュリティ対策およびシステム防御策を中心に、要求事項26件・評価基準81項目について自社で評価したうえで、一定のセキュリティ関連資格を有し制度指定の研修を受講したセキュリティ専門家が内容を確認します。評価の有効期間は1年間です。

★4（四つ星）：標準的なセキュリティ対策

さらに、「★4（四つ星）」は、「サプライチェーン企業等が標準的に目指すべきセキュリティ対策」と位置付けられています。三つ星に加えて、取引先企業の管理・システムへの侵入検知・インシデント対応など包括的な対策が求められ、要求事項43件・評価基準153項目について指定委員会から指定を受けた評価機関による第三者評価が実施されます。有効期間は3年間です。

★5（五つ星）：到達点としてめざすべき対策

「★5（五つ星）」は、「サプライチェーン企業等が到達点として目指すべき高度な対策」と位置付けられており、未知の攻撃を含む高度なサイバー攻撃にも対応するため、国際規格などのリスクベースの考え方を踏まえたベストプラクティスに基づく対策の実施が求められます。2026年3月現在、評価基準や評価スキームの検討が進められている段階です。

既存制度との関係

SCS評価制度は、すでに運用されているIPA「SECURITY ACTION」制度（★1・★2）を発展・拡張させた制度として位置付けられています。SECURITY ACTIONが自己宣言型であるのに対し、SCS評価制度（★3以上）では評価に第三者が関わる点が大きな違いです。また、★3・★4は自動車業界の「自工会・部工会ガイドライン」のレベル1・レベル2や、ISMS（ISO27001認証）など既存の認証規格との整合性が図られています。

SCS評価制度が企業にもたらすメリット

SCS評価制度への対応は、単なる義務対応にとどまらず、受託企業・委託企業の双方にとって多くのメリットをもたらします。

受託企業（受託事業者）のメリット

受託企業にとっての主なメリットは次の3点です。

• 必要なセキュリティ対策が明確になり、過不足のない対策を講じられる
• 評価結果を取引先に提示することで、自社のセキュリティ対策状況を客観的に示せ、信頼性の向上や新たな取引機会の創出が期待できる
• 評価基準が国際規格や既存のガイドラインと整合しているため、委託企業ごとに異なる要求事項への対応コストを削減できる

委託企業（委託事業者）のメリット

委託企業にとっての主なメリットは次の2点です。

• 取引先に求めるセキュリティ水準を明確に提示でき、取引先選定の透明性が高まる
• 取引先ごとの対策状況が可視化され、サプライチェーン全体のリスクを低減できる

SCS評価制度への具体的な準備と対応方法

2026年度中の制度開始に向け、企業が今から取り組むべき準備について解説します。

めざすランクの決定と現状把握

まずは、自社の事業内容やサプライチェーンにおける役割を踏まえ、めざすべき評価ランク（★3、★4）を明確にすることが重要です。「取引先の事業中断により自社の事業継続上重要な業務に許容できない遅延などが生じ得る」場合や、「取引先のサイバー攻撃により自社の機密などに係る情報管理に重大な影響が生じ得る」場合は、★4の適用を検討しましょう。

めざすランクが決まったら、現在のセキュリティ対策や運用体制における改善課題を整理します。評価の適用範囲には、ガバナンスの整備、従業員教育、取引先管理、システム防御・インシデント対応などの包括的な対策が含まれます。これらについて、必要なセキュリティ対策が施されているかを事前に確認しておきましょう。

社内体制の整備と教育の実施

制度に対応するためには、情報を扱う部門やサービスの受託先に関わる従業員が制度を正しく理解していることが欠かせません。制度の概要や自社がめざす評価ランク、必要な対応内容を社内研修や資料共有を通じて周知し、従業員の理解を深めましょう。

また、評価基準はNIST CSF（米国立標準技術研究所のサイバーセキュリティフレームワーク）の6つのコア機能（統治・識別・防御・検知・対応・復旧）に基づいており、「ガバナンスの整備」「取引先管理」「リスクの特定」「攻撃等の防御」「攻撃等の検知」「インシデントへの対応」「インシデントからの復旧」の7つの大分類で評価が行われます。これらの観点から自社の現状を棚卸しすることが有効です。

不足対策の実施と外部委託先の評価

現在のセキュリティ対策に不足がある場合は、必要な対策を早急に実施することが重要です。外部専門家によるアセスメントやコンサルティングなどを活用し、自社だけでは気づきにくいリスクや改善点を把握しましょう。製品・サービスを導入するだけでなく、従業員への教育、担当者や責任範囲の明確化、運用ルールの策定、定期的な点検・見直しといった運用体制の整備も欠かせません。

外部に業務を委託している場合は、委託先の情報セキュリティ対策状況を定期的に確認・評価しましょう。委託先との契約に情報セキュリティに関する項目を明確に盛り込み、遵守すべき義務や責任範囲を整理しておくことが重要です。

SCS評価制度への対応は経営と現場の両輪で進めよう

SCS評価制度は2026年度中に運用開始を目指しており、現時点では取得は義務ではありません。しかし今後は、委託企業（委託事業者）から取引条件として評価ランクの取得を求められる可能性があり、情報システムやITサービスに関わる企業や、政府調達においては取引要件や入札条件に組み込まれる可能性も十分にあります。制度開始を待たず、早い段階から内容を理解し、必要な対策の検討を始めることが重要です。

SCS評価制度への対応は、IT部門だけでなく経営層も関与すべき重要な課題です。評価ランクの取得には、技術的な対策と組織的な対策を包括的に進める必要があり、経営層と現場の両輪で取り組むことで、円滑な取得につながります。制度開始後に「必要なセキュリティ水準に達しておらず、取引機会を逃す」といった事態を避けるためにも、今から計画的に準備を進めていきましょう。

ISO27001の実績を生かした「SCS評価制度対応コンサルティングサービス」

日立ソリューションズ・クリエイトは、ISO27001認証取得支援をはじめ多数のコンサルティング実績を有しており、「SCS評価制度対応コンサルティングサービス」を提供しています。

本サービスでは、セキュリティ専門家チームがお客さまの現場の実態に即したコンサルティングと幅広いセキュリティソリューションを提供できるため、評価ランク取得まで一貫したワンストップでの支援が可能です。

自社のサプライチェーンにおける競争力維持に向けて、着実な一歩を踏み出しませんか？制度への対応方針や自社に最適なソリューションの選定など、まずはお気軽にご相談ください。

参考：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」
   IPA 独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2026」