【情報セキュリティ分科会開催レポート】「サイバーにおけるこれからの課題とその対応」~サプライチェーン強化に向けたセキュリティ対策評価制度に向けて~(2026年3月19日開催)

2026年4月17日 最終更新日時 : 2026年4月17日 rena.takebe@ciolounge.org

サプライチェーンを狙うサイバー攻撃が「当たり前」になったいま、発注側・受注側の双方が直面しているのは、「相手の対策状況が見えない」「取引先ごとに異なる要求への対応に疲弊する」といった切実な課題です。こうした課題に対し、経済産業省と内閣官房が検討を進めているのが「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」です。

本制度キーワードは、 “格付け”ではなく、実態の“可視化”にあります。これは、星の数で企業の優劣を誇示することを目指すものではありません。むしろ、発注者と受注者の間で「必要十分な対策とは何か、合理的に合意する」ための「共通言語」を提供することに真の狙いがあります。本制度の導入により、発注者・受注者双方にとって適切な対策の決定や説明が容易になり、発注企業のサプライチェーンリスク低減、ひいては社会全体のサイバーレジリエンス強化に繋がることが期待されています。

今回のセミナーでは、PwCコンサルティング合同会社の丸山満彦氏を講師に迎え、本制度の背景や方針、最新の動向について詳しく解説いただきました。

セミナーの様子

【対象はIT基盤、サプライチェーン企業に求められる★3と★4】

本制度の適用範囲は、サプライチェーンを構成する企業等のクラウド環境を含む「IT基盤」が対象となります。具体的には、インターネット公開サーバや外部ネットワークとの境界を定義する機器などが含まれます。一方で、製造環境などの制御(OT)システムや、発注元へ提供する製品等は対象外として整理されています。
また、クラウド利用については責任共有モデルを前提としており、自社での対策実装だけでなく、サービス提供者側の対策状況(例:ISMAP登録やSOC2レポート等)を確認することも求められます。

PwCコンサルティング合同会社 丸山満彦氏

制度は段階的な「星(★)」による評価で構成されており、サプライチェーン評価としては★3(Basic)と★4(Standard)が対象となります。

★3(Basic): 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策(26の要求事項・83の評価項目)

★4(Standard): サプライチェーン企業等が標準的に目指すべきセキュリティ対策(44の要求事項・157の評価項目)

評価の内容は、ガバナンス、取引先管理、資産・脆弱性管理、アクセス制御、ログ、監視、インシデント対応・復旧など、NIST CSF(サイバーセキュリティフレームワーク)の機能である「統治・識別・防御・検知・対応・復旧」に沿う形で整理されています。

【★3と★4――それぞれの評価スキーム】

★3と★4では、その「評価スキーム(評価の手順や仕組み)」において大きな違いがあります。

 ★3:専門家確認付き自己評価(有効期間1年)

取得希望組織が要求事項に基づいて「自己評価」を作成し、社内外のセキュリティ専門家による内容の確認・助言を経て、了承を得たのちに署名を受ける形式です。

その後、経営層による「自己適合宣誓」を含めて登録機関へ提出し、審査を経て台帳登録(必要に応じて公開)されます。

ここでのポイントは、単なる担当部門のチェックシートではなく、「経営層の宣誓を経た組織としての評価」である点が極めて重要視されていることです。

また、確認を行う専門家にも具体的な要件が定められており、情報処理安全確保支援士や公認情報セキュリティ監査人、CISSP/CISM/CISA、ISO27001主任審査員といった資格に加え、制度指定研修の受講が求められます。

★4:技術検証付き第三者評価(有効期間3年、年次提出あり)

★4は、より厳格な第三者による評価体制となります。指定委員会によって認定された評価機関および技術検証事業者が関与し、組織が実施した自己評価に対し、評価機関が検証・評価を行います。 評価プロセスには、文書確認だけでなく、実地審査や技術検証(脆弱性検査等)が含まれるのが特徴です。結果は制度事務局へ提出され、合格した組織は台帳に登録。必要に応じた情報公開や、証書の発行も想定されています。

「格付け」ではなく「可視化」 — 制度が目指すもの】

本制度の根幹にあるのは、判断基準(要求事項リスト)を発注企業と委託先企業の間の“コミュニケーションツール” として活用するという考え方です。発注側が一律に★3や★4の達成を要求するような運用は想定されていません。発注側は自社にとって不要な対策を押し付けず、必要な項目を精査し、必要に応じて追加確認を行う。

一方の受注側は、社会的に期待される対策水準を踏まえつつ、自ら必要な対策を整備し、その結果として★3や★4相当の評価を取得する——この循環が「社会的に期待される利用イメージ」となります。また、情報の信頼性については、あくまで自己評価ベースである以上、高い保証水準を期待しすぎるのではなく、必要なら自ら確かめる、というスタンスが示されています。

今後は、要求事項・評価基準案の確定、制度詳細化と運用開始準備、運営規程や評価機関等の公表、利用促進策の整備などを進め、令和8年度下期(2026年度下期)の運用開始を目指すとされています。

本制度は、サプライチェーン全体の底上げを狙う「セキュリティ対策の共通言語化」であり、制度の成否を左右するポイントは以下の4点に集約されます。

  1. 可視化: セキュリティ対策状況を可視化するための制度であり、対策の優劣を競わせる格付け制度ではない。
  2. コミュニケーション: 判断基準は、発注・受注企業間のコミュニケーションツールである。発注側は、不必要な対策を受託先に求めないという前提に立つ。
  3. 確認: 星を取得しているからといって盲信せず、重要な委託先とは継続的に対話し、状況を確認するという“自己責任”を忘れてはいけない。
  4. 賢く活用: 制度を効果的に使いこなせる「賢い企業」になることが重要である。

可視化を“形式”で終わらせず、取引の現場で「必要な対策を、必要な相手と、必要な深さで確認する」文化へと繋げられるか。制度の成否は、そこにかかっています。

【参加者の声、今後に向けて】

講演に続き、参加者によるグループディスカッションが行われました。参加者からは、制度の狙いや背景、検討の裏側まで共有されたことで「制度の現在地と今後の進むべき方向性が具体的に理解できた」という声が多く寄せられました。

グループディスカッションの様子

一方で、制度の成熟度に関して「未決定事項が多く、早急な対応は不要」といった慎重な意見や、強制力の弱さ、中小企業への配慮、そして「ユーザ企業はいつから何をすべきか」といった実務レベルでの具体的な着手時期に関する情報提供を求める声も多く見られました。また、星の獲得そのものを目的とせず、提示されたチェックシートを自社の基準や運用に照らして積極的に活用していきたいといった、前向きな意見も印象的でした。

好評であった本セミナーですが、次回は6月に大阪にて、同テーマでの開催を予定しております。本制度に関する最新アップデートも紹介予定ですので、多くのユーザ企業様、サポート企業様の参加をお待ちしております。(執筆:栗田)

集合写真

カテゴリー
情報セキュリティ分科会分科会活動
前の記事
2026.3.4 セミナーに理事長 矢島、正会員 板野が登壇
2026年2月20日