【情報セキュリティ分科会開催レポート】「サイバーにおけるこれからの課題とその対応」~サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の最新動向~

2026年6月26日(金)、PwCコンサルティング合同会社パートナーの丸山満彦様を講師に迎え、「サプライチェーン強化に向けたセキュリティ対策評価制度」をテーマとしたセミナーが開催されました。

近年のサイバー攻撃は、自社を直接狙うものだけでなく、委託先や取引先を経由して侵入するサプライチェーン攻撃へと拡大しています。米国ではSolarWinds社への攻撃やLog4j脆弱性問題が大きな被害をもたらし、日本国内でも大阪急性期・総合医療センターや小島プレス工業など、取引先や委託先が攻撃の起点となった事例が発生しています。

丸山満彦 様

こうした状況を受け、経済産業省とIPAでは、企業間でセキュリティ対策状況を共通の基準で確認できる「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築を進めています。本制度は企業を格付けすることを目的とした制度ではなく、発注企業と受託企業がセキュリティ対策の実施状況について共通認識を持つためのコミュニケーション基盤として設計されています。現在は取引先ごとに異なるセキュリティチェックシートへの回答が求められるケースが多く、受託企業側にとって大きな負担となっています。SCS評価制度はこうした重複確認を削減し、企業間の効率的な対話を実現することを目指しています。

本テーマは3月の東京開催セミナーでも取り上げられましたが、今回のセミナーでは制度設計がさらに具体化され、企業の実務により近い視点へと議論が広がりました。制度の背景や考え方を理解する段階から一歩進み、「自社としてどのように向き合い、活用していくのか」を考えるフェーズへ移行しつつあることを印象づける内容でした。

セキュリティ対策を“見える化”する新たな枠組み

SCS評価制度は、企業のセキュリティ対策を格付けするものではなく、対策状況を「見える化」することを目的とした制度です。取引先との関係において、セキュリティレベルが分かりにくいという課題を解消し、企業同士が共通の基準で対話できる環境を整えることを目指しています。

従来は、取引先ごとに異なるセキュリティ要件への対応を求められるケースが多く、企業側にとって大きな負担となっていました。セミナーでは、この「N×M」の構造を、制度導入により「N+M」へ整理できる可能性が示されました。これは確認作業の効率化だけでなく、サプライチェーン全体のセキュリティ水準向上にもつながる考え方として紹介されました。

★3・★4による段階的な評価

制度は「★3(Basic)」と「★4(Standard)」の二段階で開始される予定であり、★3は26の要求事項、81の評価項目、★4は43の要求事項、153の評価項目で構成される予定です。NIST Cybersecurity Frameworkをベースとして整理され、ガバナンス、資産管理、脆弱性管理、アクセス管理、ログ管理、監視、インシデント対応など、多くの企業に共通する基本的なセキュリティ対策となっています。

制度の対象については、クラウドサービスやインターネット公開サーバー、VPN機器、ファイアウォールなどの境界機器は対象となる一方で、工場設備などのOT(Operational Technology)領域については対象外とされています。OTは業種や設備による違いが大きく、現時点では統一的な評価基準を設けることが難しいためです。

ISMSとは異なる「絶対評価型」の制度設計

ISMSは企業ごとにリスク基準を設定し、PDCAサイクルが適切に運用されているかを評価する仕組みです。一方で、SCS評価制度は一定のセキュリティ対策が実施されているかどうかを確認する「絶対評価型」の制度として設計されています。

そのため、ISMS認証を取得している企業であっても、SCS評価制度の要求事項を自動的に満たすわけではありません。逆に、大規模な認証体制を持たない中小企業であっても、必要な対策を実施していれば評価取得を目指すことが可能です。制度は中小企業にも活用してもらうことを重視しており、将来的には3万社から5万社程度の取得を想定しているとの説明もありました。

また、英国のCyber Essentialsや、自動車業界で運用されている自工会(日本自動車工業会)・部工会(日本自動車部品工業会)の制度にも触れられ、海外や他業界の制度を参考にしながらも、日本国内のサプライチェーン環境に合わせた仕組みとして設計が進められていることが紹介されました。

具体的な評価方法

★3は「専門家確認付き自己評価」と位置付けられています。企業が自己評価を実施した後、情報処理安全確保支援士などの有資格者がその内容を確認し、最終的に代表者が提出する仕組みです。有効期間は1年間で、毎年更新される予定です。

特徴的なのは、外部専門家だけでなく、自社内の有資格者による確認も認める方向で検討されている点です。一方で、その場合に社内の評価担当者が経営層に対して客観的な意見を述べられるのかという課題もあり、制度側では評価の独立性をどのように担保するかについて検討が続けられています。

★4は「技術検証付き第三者評価」とされており、第三者機関による審査に加えて技術的な検証も実施されます。文書確認だけではなく、実際の設定状況や運用状況も評価対象となるため、より高いレベルの認証として位置付けられています。審査の有効期間は3年間で、その間も自己評価は毎年実施する必要があります。

なお、★4の審査費用については、企業側の負担と審査機関側のインセンティブのバランスを考慮し、現在検討中とのことでした。

制度づくりの今と残された論点

制度は現在も設計段階にあり、具体的な運用ルールについては今後のガイドライン整備に委ねられている部分も多くあります。

  • 一部要件が未達となった場合の評価方法  (例:端末1台のみ設定漏れがあるケースや、教育・運用の徹底度にばらつきがあるケースなど)
  • どのレベルまで対応すれば「要件を満たした」と判断するのかという基準
  • 現場の実運用と評価基準とのギャップ

これらはいずれも現場で直面する可能性が高く、制度の実効性を左右する重要な論点です。現時点では最終的な判断基準は示されていませんが、「部分的な未達や例外をどのように評価するか」が制度設計上の大きな課題であることが共有されました。

2027年の制度開始に向けて

制度は、2026年度に詳細設計を行い、2027年の運用開始が予定されています。また、取得企業については順次公表される見込みであり、企業の信頼性を示す新たな指標となる可能性があります。

これにより、企業は単に対策を実施するだけでなく、「対策をどのように外部へ説明するか」という視点も求められるようになります。セキュリティは企業価値の一部として捉えられ、取引先からの評価にも影響を与える要素となっていくと考えられます。

「共通言語」としての活用が鍵

本制度の本質は、認証取得そのものではなく、企業間の対話を円滑にする「共通言語」として機能する点にあります。★を取得していることが安心の証明となるわけではなく、重要な取引先については引き続き個別の確認が必要です。

セミナー後半のグループワークでも、

  • サプライヤーにどのように取得を促すか
  • 社内の購買部門・法務部門とどのように連携すべきか

など、実務に直結するテーマが議論されました。制度の導入には、社内外の関係者を巻き込んだ取り組みが不可欠であることが改めて共有されました。

まとめ

6月セミナーでは、3月時点で示された制度の方向性に加え、評価方法や実務課題がより具体的に見えてきました。SCS評価制度は、企業単体ではなく、サプライチェーン全体でセキュリティ水準を引き上げていくための重要な取り組みといえます。

一方で、制度はまだ発展途上にあり、今後のガイドライン整備によって運用の具体像が明らかになっていきます。各企業においては、制度の動向を注視しながら、自社の対策をどのように見える化し、どのように活用していくのかを主体的に検討していくことが求められています。

最後に

当分科会にとって、本セミナーは、過去最高人数の申し込みを記録しました。新設されるSCS評価制度への関心の高さに加え、経済産業省のサブワーキンググループで委員を務める丸山満彦様による講演ということも相まって、当日は非常に多くの方にご出席いただきました。

後半のグループディスカッションにおいても、今後の取り組みに向けた活発な情報交換が行われ、制度導入の必要性についてさらに理解を深めるなど、参加者の皆様にとって大変有意義な時間となりました。(執筆者:森本)

当日の出席者