製品資料 お問い合わせ

【2026年3月版】セキュリティ対策評価制度
(SCS評価制度)とは―最新動向と今から備えるべきポイント

 株式会社ネットワークバリューコンポネンツ

昨今、サプライチェーン攻撃やランサム攻撃被害が増加しており、組織におけるセキュリティ対策は、自組織単体にとどまらず、取引先や委託先、グループ企業を含めたサプライチェーン全体で捉える必要性が高まっています。

こうした背景から、経済産業省主導のもと、サプライチェーン全体のセキュリティ対策の底上げを目的とした「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の検討が進められてきました。

what-is-the-security-measures-assessment-system-01

 引用:経済産業省ウェブサイト『「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました』(2026/4/17参照)
https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html 

SCS評価制度は2026年度末までに開始予定であり、具体的な制度の方針が2026年3月に公表されました。本格的な運用フェーズに向けた動きが具体化してきたと言えるでしょう。

本ブログでは、開始が差し迫るSCS評価制度の概要とともに、公表された制度方針をもとに、各組織が検討すべき対策ポイントを整理して解説します。

サプライチェーン強化に向けたセキュリティ対策評価制度(SCS)評価制度とは

サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」は、組織の情報セキュリティ対策状況を“見える化”することを目的とした新たな評価制度です。2024年7月からワーキンググループによる議論が開始され、サプライチェーン全体の安全性を高める枠組みとして注目を集めています。

このSCS評価制度では、業種や業務形態、取り巻く環境に応じて、複数の観点からセキュリティ対策の実施状況を自己評価および第三者評価により確認します。評価は星3〜星5の三段階で行われ、対策の成熟度に応じた段階的なステップアップが想定されています。自組織の現状把握に加え、取引先との信頼関係構築にも資する仕組みです。

what-is-the-security-measures-assessment-system-02

引用:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度※1)の概要」(2026/4/17参照)
https://www.meti.go.jp/press/2025/03/20260327001/20260327001-a.pdf

たとえば、自組織のセキュリティ対策が星3にとどまっている場合、必要な強化内容が明確となり、星4や星5に向けた取り組みの方向性が可視化されます。また、セキュリティの観点から信頼性の高い取引先を選定する判断材料としても活用でき、業界全体の水準向上を促す効果が期待されます。

2026年3月には制度の具体的な方針が公表され、現時点では星3および星4の評価基準が示されています。2026年度末までに制度が開始され、情報処理推進機構(IPA)による運営が予定されています。

what-is-the-security-measures-assessment-system-03

引用:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」p.16 (2026/4/17参照)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/pdf/20260327_2.pdf

評価基準と認定方法については、星3は基礎的な対策水準を満たすことが求められ、自己評価に加えて専門家による確認を通じて認定される想定です。一方、星4はより高度な対策水準が求められ、第三者機関による認証を前提とした評価となる予定です。

評価基準の中には、その準拠にあたって特定のソリューションの導入が必要となる項目も含まれます。一方で、多くは組織のセキュリティ運用体制やポリシー、運用フローの整備を求めるものであり、自組織の現状を踏まえた計画的な体制整備が重要となります。

AD認証にそのままMFAを追加
セキュリティ レーティングでサプライチェーン全体のセキュリティを評価

SCS評価制度 検討の背景

SCS評価制度が検討されるに至った背景として、サプライチェーンを標的としたサイバー攻撃、いわゆるサプライチェーン攻撃の増加が挙げられます。

独立行政法人情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威(組織)」において、サプライチェーン攻撃は4年連続で第2位に位置づけられており、我が国における深刻なセキュリティリスクとして認識されています。

  2022年  2023年   2024年   2025年   2026年 
第1位

ランサムウェア

ランサムウェア 

ランサムウェア

ランサム攻撃

ランサム攻撃
第2位

標的型攻撃

サプライチェーン攻撃

サプライチェーン攻撃 

サプライチェーン攻撃 

サプライチェーン攻撃 
第3位

サプライチェーン攻撃 

 標的型攻撃 

内部不正

 脆弱性

AIリスク 
第4位

テレワーク

 内部不正 

 標的型攻撃 

 内部不正 

脆弱性
第5位

内部不正

テレワーク

脆弱性

 標的型攻撃

 標的型攻撃

マルウェア系

 ハッキング系 その他

 

出典:情報処理推進機構(IPA)「情報セキュリティ10大脅威」2022年〜2026年)を基に、NVCにて一部表現を変更して作成(2026/4/17参照)https://www.ipa.go.jp/security/10threats/index.html

サプライチェーン攻撃は、ターゲットではない組織を経由し、最終的に本命のターゲットへ侵入する“迂回型”の特徴を持ちます。

影響の大きい組織ほどセキュリティ対策が高度であるため、直接侵入は容易ではありません。そのため、相対的に対策が手薄になりやすい取引先や委託先、海外拠点などを経由する攻撃が増加しています。

本制度が検討されている背景-02
参考:サプライチェーン攻撃のイメージ図

このような攻撃手法の変化により、セキュリティ対策は自組織単独では完結せず、サプライチェーン全体を見据えた対応が不可欠となっています。

こうした課題認識のもと、サプライチェーン全体の安全性向上を目的として、本制度の検討が進められてきました。

制度開始に向けて組織が対策すべきポイント

SCS評価制度への対応を見据え、自組織として今からどのような対策を進めるべきかは、多くの組織にとって重要な検討ポイントとなります。

SCS評価制度の開始に先立ち、2025年7月から11月にかけて、当時の基準案をもとにした実証試験が実施されています。この実証結果を踏まえて整理された評価基準が、2026年3月に公表された制度の最終方針に反映されています。

what-is-the-security-measures-assessment-system-05

引用:経済産業省ウェブサイト「第6回 産業サイバーセキュリティ研究会 ワーキンググループ1 サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ」(2026/4/17参照)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/006.html

この実証報告では、評価基準に対して順守率が十分ではない領域が複数存在することが示されています。特に以下の5つの観点については、多くの組織において対応が不十分である可能性が高く、優先的に見直すべきポイントとなります。

サプライチェーン管理

取引先や委託先に対するセキュリティ管理が求められます。具体的には、取引先との間で機密情報の取扱ルールを明確にするとともに、契約時におけるセキュリティ要件の取り決めを行う必要があります。加えて、重要な取引先については、セキュリティ対策状況を定期的に把握・評価する仕組みの整備が求められます。

ID管理 / アクセス制御

ユーザIDおよび管理者IDの発行・変更・削除に関する手続きの整備や、アクセス権限の適切な付与・棚卸が求められます。また、特権アカウントについては付与対象の限定や利用状況の把握など、適切な管理が必要です。加えて、重要なシステムへのアクセスに対しては多要素認証(MFA)の適用が求められており、認証・認可を含めた統制の強化が重要となります。

データセキュリティ

機密情報の特定や区分、取扱ルールの策定といった基本的な統制が求められます。加えて、暗号化やバックアップの実施、外部との情報共有に関するルール整備など、データの保管・利用・廃棄までを含めた一貫した管理が必要です。

プラットフォームセキュリティ

情報機器やソフトウェア、ネットワークの構成を把握し、管理ルールを定めた上で運用することが求められます。また、脆弱性情報の収集と対応、セキュリティパッチの適用、ログの取得・監視など、継続的な運用管理体制の整備が重要となります。

レジリエンス

インシデント発生時の対応手順や体制を事前に整備するとともに、復旧に向けた計画の策定が求められます。具体的には、インシデント対応プロセスの明確化や、バックアップおよび復旧手順の整備、定期的な点検・訓練の実施などが含まれます。

これらの領域は、制度への対応を進める上で優先的に見直すべきポイントです。自組織の現状を把握した上で、優先度を整理しながら対策を進めていくことが重要となります。

まとめ

制度開始まで1年を切り、SCS評価制度への対応に向けた準備は、いよいよ具体的な検討と対策導入を進めるフェーズに入っています。

制度開始後すぐに認定取得が求められるケースばかりではないものの、評価基準に沿った対策は短期間で整備できるものではありません。自組織の現状を把握し、計画的に対応を進めていくことが重要です。

弊社では、セキュリティ対策状況を可視化し、SCS評価制度への対応に向けたギャップを整理するアセスメントサービス「セキュリティ対策状況可視化サービス(Essential)」を提供しています。

セキュリティ対策状況可視化サービス Essential

評価基準と照らし合わせながら、認定取得に向けて必要な対策を具体的に把握し、段階的な対策導入をご支援します。

また、SCS評価制度対策の実行にあたっては、各領域に対応したソリューションも提供しています。

ID対策(MFA / 特権アカウント管理)― Silverfort

silverfort-logo-02

脆弱性管理 ― AeyeScan

aeyescan-logo-white

クラウド資産管理 ― Orca Security / Cloudbase

Orca-Security-Digital-1

cloudbase-logo-01

公開資産管理 ― SecurityScorecard

securityscorecard-logo-v2

制度対応に向けた整理や具体的な進め方について、ご関心がある方はお気軽にご相談ください。
セキュリティ対策状況可視化サービス(Essential)サービス紹介

RECENT POST「運用基盤/インテリジェンス」「セキュリティ対策/リスク管理」の最新記事

SCS評価制度の「多要素認証(MFA)」要件とは?対応のポイントを解説

2026.04.28

SCS評価制度の「多要素認証(MFA)」要件とは?対応のポイントを解説
クラウドセキュリティの運用設計とは?運用形態別の判断軸と進め方をわかりやすく解説

2026.04.14

クラウドセキュリティの運用設計とは?運用形態別の判断軸と進め方をわかりやすく解説
ZTNAはVPNの代替か?違いとリモートアクセス設計のポイントを解説

2026.04.03

ZTNAはVPNの代替か?違いとリモートアクセス設計のポイントを解説
【参加レポ】Security Days Spring 2026 Tokyoに参加しました!

2026.04.01

【参加レポ】Security Days Spring 2026 Tokyoに参加しました!
【動画】SecurityScorecardソリューション概要

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

TOPICトピック一覧

サプライチェーンのセキュリティを点数化!キャンペーン