近年、取引先に影響を与えるようなサイバー攻撃事案が頻発しており、サプライチェーン全体でのサイバーセキュリティ対策の強化が求められています。
こうした背景から、経済産業省と内閣官房国家サイバー統括室は「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」を2026年3月に公表しました。本方針に基づき、2026年度末頃の制度開始を目指した取組を進めています。
この制度が中小企業にとって他人事でないのは、影響を受けるのが「セキュリティに詳しい企業」ではなく「サプライチェーンに組み込まれているすべての企業」だからです。製造業・流通業を中心に、取引条件として★取得を求められる場面が2027年以降に現実として広がる可能性があります。
IPA情報セキュリティ白書2025によると、中小企業が情報セキュリティへの投資を行わなかった最大の理由は「必要性を感じていない」が44.3%、投資していない中小企業の割合は62.6%に上ります。しかしSCS評価制度の運用が始まると、「必要性を感じていない」という判断が取引機会の喪失に直結する可能性があります。
本記事では、SCS評価制度の概要と★の意味を整理した上で、中小企業が直面するリスクと制度開始前に経営として判断すべきことを解説します。
この記事でわかること
- SCS評価制度(セキュリティ対策評価制度)とは何か・なぜ生まれたか
- ★3・★4の違いと中小企業が目指すべきレベル
- 影響を受けやすい業界(製造・流通・金融・IT)
- ★未取得企業が直面する取引機会喪失・孫請け化リスク
- ISMSとの違い(別制度であることの意味)
- 制度開始前に経営として今やるべきこと
セキュリティ対策評価制度とは何か|中小企業が知るべき背景
なぜこの制度が生まれたのか
取引先のセキュリティ対策状況を外部から判断することが難しいという発注元企業側の課題と、複数の取引先から様々な対策を要求されるという委託先企業側の課題が生じています。
大手企業は取引先のセキュリティレベルを確認したいが、各社バラバラのチェックシートで対応するしかない。一方、中小企業は取引先ごとに異なるチェックシートへの回答を求められ、対応工数が増大する。この双方の課題を解決するために作られた制度です。
★という共通の物差しができることで、中小企業は一度対応すれば複数の取引先に証明できる。大手企業は★の数を見るだけで取引先のセキュリティレベルが分かる。双方の負担が下がるという設計です。
制度の正式名称と運用開始時期
正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」、略称はSCS(Supply Chain Security)評価制度です。
★3及び★4:2026年度末頃の制度開始(申請受付の開始)を目指します。★5:2026年度以降、要求事項・評価基準や評価スキームの具体化の検討を進めます。2026年度末とは2027年3月頃を指します。現時点ではまだ制度は始まっていませんが、評価ガイドは2026年秋頃を目途に公表する予定であり、準備の時間は限られています。
★3・★4・★5の違い|中小企業はどれを目指すべきか
セキュリティ対策の段階を★3・★4(★5については今後検討)に区分します。
| 段階 | 対象 | 要求事項数 | 取得方法 | 有効期間 |
|---|---|---|---|---|
| ★3 | すべての企業の最低限レベル | 26項目 | 専門家確認付き自己評価 | 1年 |
| ★4 | 重要企業・高度な対策が必要な企業 | 43項目 | 第三者評価機関による審査 | 3年 |
| ★5 | 現時点でのベストプラクティス水準 | 今後検討 | 今後検討 | 今後検討 |
★3の取得方法
★3は、セキュリティ専門家による確認を経た取得希望組織による自己評価(専門家確認付き自己評価)を求めます。取得希望組織は★3要求事項・評価基準に基づき自己評価を記入し、社内外のセキュリティ専門家が内容を確認した上で署名します。
★3取得における専門家として、IPAは「中小企業向けサイバーセキュリティ対策支援者リスト」を整備しています。IPA情報セキュリティ白書2025でも、このリストが登録セキスペの得意分野・専門領域等を可視化するものとして紹介されており、中小企業が同リストを活用することで、登録セキスペによるニーズに合ったセキュリティ対策の実装支援・適切なセキュリティ商材の導入支援が可能になることが期待されています。
自動車業界との関係
SCS評価制度は、自動車業界で先行して運用されている自工会・部工会ガイドラインをベースに設計されています。★3は自工会・部工会ガイドラインのLv1、★4はLv2に相当します。自動車業界の中小サプライヤーはすでに同ガイドラインへの対応を求められており、SCS評価制度はその全産業版として機能します。
中小企業はどのレベルを目指すべきか
大半の中小企業にとってまず目指すべきは★3です。★3は、一般的なサイバー攻撃への対処を念頭に置き、すべての企業が満たすべき最低限のレベルとして設定されています。取引先から「★3以上」を求められる可能性が最も高く、まずここを確保することが現実的な経営判断です。
セキュリティ対策評価制度が中小企業に与える影響|業界別に整理する
サプライチェーン間の結び付きが強固・複雑な主要製造業(自動車、半導体等)、流通、金融業等において、優先的に本制度の利用を促進します。
製造業(自動車・半導体):最も早く・最も深刻
自動車業界ではすでに自工会・部工会ガイドラインという先行制度が存在しており、★3がLv1・★4がLv2に相当します。自動車以外の製造業にもSCS評価制度による要件が波及する流れになります。半導体業界でも外資系大手の進出に伴い、サプライヤーへのセキュリティ要件が急速に厳しくなっています。
IPA情報セキュリティ白書2025において、サプライチェーンや委託先を狙った攻撃は7年連続で「情報セキュリティ10大脅威」の2位にランクされており、製造業の中小サプライヤーが直面するリスクは制度整備の背景と一致しています。
流通業:物流・倉庫・配送まで波及
ECの拡大と物流の複雑化により、大手流通企業が取引先の中小物流会社・倉庫業者に★取得を求めるケースが出てくる可能性があります。取り扱う情報(注文情報・顧客情報・在庫情報)が取引先のシステムと連動している場合は対象になり得ます。
IT・SIer・受託開発:間接的に影響が来る
IT企業自体がSCS評価制度の直接の主要ターゲットというよりも、製造・流通・金融から受託しているSIer・システム会社・受託開発会社が「取引先として★を求められる」という形で影響を受けます。大手メーカーや流通から業務委託を受けている会社は対象になり得ます。
★未取得企業が直面するリスク|孫請け化という現実
この制度で最も注意すべきは、対応できる企業とできない企業で新たな格差が生まれるという点です。
取引機会の喪失: 大手発注企業が「★3以上の企業とのみ取引する」という方針を取り始めると、★3未取得の中小企業は直接受注ができなくなります。
孫請け化: より深刻なのはその先の構造です。★3未取得企業は直接受注できなくなる代わりに、★3取得済み企業を経由した孫請けという立場に押し込まれる可能性があります。★取得企業がマージンを抜いて中小企業に再委託するという構造が生まれると、対応が遅れた企業ほど収益性が悪化します。
ただし国(経済産業省・公正取引委員会)は、この制度に基づくセキュリティ対策費用について、発注元企業との価格交渉(価格転嫁)の正当な材料として認める指針を示しています。★取得にかかったコストを取引先への価格転嫁の根拠にできるという点は、中小企業にとっての一定の救済になり得ます。
ISMSとの違い|ISMS取得済みでも対応が必要な理由
「ISMSを取得しているからSCS評価制度は不要」という誤解があります。これは正しくありません。
ISMSは「仕組み(マネジメント)」を審査しますが、SCS評価制度は「具体的な対策(パッチ適用など)の実装」を重視するベースラインアプローチです。相互補完的な関係を目指しています。
ISMSが「セキュリティ管理体制が整っているか」を問うのに対し、SCS評価制度は「具体的なセキュリティ対策が実装されているか」を問います。体制があっても実装が伴っていなければ★は取れません。ISMSが意味ないと言われる理由でも整理していますが、ISMSは対外的な信頼証明として機能する一方で、具体的な対策の実装状況まではカバーしていない部分があります。
ISMS取得済みの企業にとっては有利な出発点になりますが、★3の26項目すべてをカバーしているかどうかは別途確認が必要です。
中小企業が今やるべきこと|制度開始前の経営判断
制度開始は2026年度末(2027年3月頃)を目標としています。制度が始まってから動き始めても間に合わない場面が出てくる可能性があります。
①自社の取引先が★を求めてくる可能性を確認する
まず自社の主要取引先が製造・流通・金融のどれかに該当するかを確認します。該当する場合、取引先が★取得を取引条件にしてくる可能性を経営として認識しておく必要があります。
②★1・★2(SECURITY ACTION)から始める
★1と★2は、IPAが運営する「SECURITY ACTION(セキュリティアクション)」という自己宣言型の制度です。費用をかけずに実施できる点が特徴で、中小企業のセキュリティ対策の入口として位置づけられています。★3取得の前段として位置づけられているSECURITY ACTIONへの取り組みは、費用なしで今すぐ始められます。
③登録セキスペの確保を検討する
★3取得には専門家の署名が必要です。IPAが整備している「中小企業向けサイバーセキュリティ対策支援者リスト」を活用することで、自社のニーズに合った登録セキスペを探すことができます。制度開始後に需要が一気に高まると、確保が困難になる可能性があります。情報処理安全確保支援士の役割と組織設計でも整理していますが、登録セキスペは★制度においても重要な位置づけになっています。
④評価ガイドの公表を待って動き始める
2026年秋頃を目途に公表予定の評価ガイドで、★3の具体的な対応方法が明確になります。それまでの間はSECURITY ACTIONへの取り組みと、現状のセキュリティ体制の棚卸しを進めておくことが現実的な準備です。
まとめ|制度を知っている企業と知らない企業で差がつき始めている
SCS評価制度はまだ始まっていません。しかし制度の存在を知っている企業と知らない企業の間では、すでに準備の差が生まれています。
中小企業の62.6%がセキュリティ投資を行っておらず、最大理由が「必要性を感じていない」という現状で、SCS評価制度が始まると「必要性を感じていない」という判断は取引機会の喪失に直結するリスクがあります。対応できる余力がある今動き始めることが、余力がなくなってから動き始めることより、コストも経営へのダメージも小さくなります。
確認してみる価値があることがあります。「自社の主要取引先は、いつ頃、★いくつを、取引条件として求めてくる可能性がありますか」という問いです。この問いに答えられる状態にあるかどうかが、制度開始前の経営として問うべきことかもしれません。
コメント