【2026年度開始】サプライチェーンセキュリティ評価制度をわかりやすく解説
FAQサプライチェーンセキュリティ評価制度に関するよくある質問
サプライチェーンセキュリティ評価制度って何ですか?
サプライチェーンセキュリティ評価制度は、サプライチェーンを構成する各企業のセキュリティ対策状況を、統一された基準で評価・可視化する仕組みです。
サプライチェーンセキュリティ評価制度はいつから始まるの?
2026年度末頃の制度開始を目指して、経済産業省および内閣官房国家サイバー統括室が主導して策定を進めています。
取引先からのサイバー攻撃リスクに不安を感じている企業の担当者の方や「取引先のセキュリティ水準をどう確認すればよいか」「自社は何の対策をすれば取引継続できるのか」と悩んでいる情報システム部門・経営層の方は多いのではないでしょうか。
2026年度末、経済産業省と内閣官房が主導するまったく新しい公的制度「サプライチェーンセキュリティ評価制度(SCS評価制度)」がいよいよ運用を開始します。
制度が始まれば、発注企業が取引条件として特定の「★」取得を求めるケースが現実になる可能性があるため、事前の準備が非常に重要になります。
そこで、この記事ではサプライチェーンセキュリティ評価制度の全体像はもちろん、★3・★4・★5それぞれの違いと自社が目指すべき水準、開始スケジュール、費用感までを詳しく解説します。
目次
サプライチェーンセキュリティ評価制度(SCS評価制度)とは?
サプライチェーンセキュリティ評価制度(SCS評価制度)とは、サプライチェーンを構成する各企業のセキュリティ対策状況を、統一された基準で評価・可視化する仕組みです。経済産業省および内閣官房国家サイバー統括室が主導して策定を進めており、2026年度末頃の制度開始を目指しています。
ここではまず、サプライチェーンセキュリティ評価制度の目的や位置づけといった基本的な知識について解説します。
制度の目的:セキュリティ対策の「可視化」
これまで、企業のセキュリティ対策状況は各社の自己申告や個別のチェックシートに頼る部分が多く、「本当に十分な対策がなされているか」を外部から客観的に確認することが難しい状態でした。
そこでSCS評価制度では、この課題を解決するために、セキュリティ対策の実施状況を★3・★4・★5の3段階で可視化します。
発注企業は取引先の対策水準を星の数という共通の指標で把握でき、受注企業は自社のセキュリティ水準を客観的に証明できるようになります。
つまり、本制度を一言で表すと、「セキュリティ対策を見える化するために共通言語をつくる」ことです。業種・規模を問わず、サプライチェーンに関わるすべての企業が共通の基準で評価される点が、これまでにない画期的な取り組みです。
公的制度としての位置づけ
サプライチェーンセキュリティ評価制度は、民間が自主的に運営する認証制度とは異なり、国が主導する公的制度です。
そのため、将来的に取引条件として求められる可能性が高く、法令・ガイドラインとの整合も図られています。具体的には、以下の既存制度と相互補完的に位置づけられています。
| 関連制度 | 位置づけ |
|---|---|
| SECURITY ACTION(★1・★2) | SCS評価制度の前段にあたる自己宣言型の入門制度 |
| 自工会・部工会ガイドライン | ★3・★4と整合性を確保。自動車業界の評価結果を本制度で活用できるよう連携を検討 |
| ISMS適合性評価制度(ISO/IEC 27001) | ★5との整合に配慮しながら、相互補完的な制度として発展を目指す |
| 英国Cyber Essentials(CE) | 将来的な相互認証を視野に、継続的な調査・意見交換を進める |
なお、本制度はセキュリティ対策の優劣を競わせる「格付け制度」ではありません。
あくまで各企業がサプライチェーンにおける自社の立ち位置に応じて適切な対策水準を選択し、それを可視化するための指針として活用されることが想定されています。
サプライチェーンセキュリティ評価制度が策定された背景
サプライチェーンセキュリティ評価制度が策定された背景には、サプライチェーンを狙ったサイバー攻撃の増加や発注側・受注側それぞれが抱えていた構造的な課題があります。
ここでは、サプライチェーンセキュリティ評価制度が策定された背景について解説します。
サプライチェーン攻撃の増加
近年、大企業を直接狙うのではなく、その企業の取引先・関連会社・委託先など、比較的セキュリティ対策が手薄な企業を「踏み台」として侵入し、最終的に大企業や重要インフラへのアクセスを狙うサプライチェーン攻撃が急増しています。
IPAが発表した「情報セキュリティ10大脅威2026」でも、サプライチェーンや委託先を狙った攻撃は社会的影響の大きかった脅威の第2位にランクインしています。
サプライチェーン攻撃の恐ろしい点は、被害が攻撃を受けた1社に止まらず、取引先・グループ企業・顧客へと連鎖的に拡大する点です。この連鎖的被害は「サイバードミノ」とも呼ばれ、直接攻撃を受けていない企業の業務が停止・遅延する深刻な事態を招きます。
こうした被害の連鎖を防ぐためには、自社のセキュリティ強化だけでは不十分であり、サプライチェーン全体で一定水準以上の対策を揃えることが不可欠です。
統一的な基準をつくることが求められたことが、サプライチェーンセキュリティ評価制度策定のきっかけの一つとなりました。
サプライチェーンにおける発注側・受注側の問題解決のため
SCS評価制度の策定背景として、もう一つ重要な側面があります。それは、発注側と受注側の双方が課題を抱えていたことです。
【発注側(大企業・元請企業)の課題】取引先の対策状況が外からわからない
発注企業は取引先のセキュリティ水準を把握したくても共通の評価基準がないことで、個別にチェックシートを作成・送付して回答を求めるしかありませんでした。
しかし、この方法は客観性に乏しく、回答の正確性を担保することも困難であり、取引先が多数になると管理コストも増大していました。
【受注側(中小企業・委託先)の課題】複数の取引先から異なる基準を要求される
受注企業側は、取引先ごとに異なるセキュリティ要件・チェックシートへの対応を求められるため、対応工数が膨大になり、どの水準を満たせばよいかが不明確なままコストが増大し続けていました。
特に、専門人材が限られる中小企業にとって、この個別対応の負担は経営上の大きな悩みでした。
サプライチェーンセキュリティ評価制度は、こうした双方の課題を一つの共通基準で解決することを目指して策定されました。
サプライチェーンセキュリティ評価制度の対象「★3~★5」とは?
SCS評価制度では、企業のセキュリティ対策水準を★3・★4・★5の3段階で評価します。
★1・★2はSCS評価制度の前段に位置づけられる既存制度「SECURITY ACTION」の区分を指しており、SCS評価制度そのものは★3からスタートします。
| 段階 | 位置づけ | 評価方式 | 有効期間 |
|---|---|---|---|
| ★1・★2 | SECURITY ACTIONによる自己宣言(既存制度) | 自己宣言 | 更新なし(宣言型) |
| ★3 | 最低限レベルの情報セキュリティ体制 | 専門家確認付き自己評価 | 1年 |
| ★4 | 標準レベルの情報セキュリティ体制 | 第三者評価 | 3年 |
| ★5 | 企業が目指すべき到達点としての情報セキュリティ体制 | 第三者評価(詳細は検討中) | 未定 |
※上位の段階はそれ以下の段階で求められる事項を包括しますが、「★3を取得していなければ★4を取得できない」という前提条件の関係にはなりません。
ここでは、サプライチェーンセキュリティ評価制度の各段階について解説します。
★1・★2:既存制度における自己宣言
★1と★2は、IPAが運営する「SECURITY ACTION(セキュリティアクション)」という自己宣言型の制度です。
費用をかけずに実施できる点が特徴で、中小企業のセキュリティ対策の入口として位置づけられています。
★1(一つ星):「情報セキュリティ5か条」(5項目)に取り組むことを自己宣言
★2(二つ星):「5分でできる!情報セキュリティ自社診断」(25項目)を実施し、情報セキュリティポリシーを定めて実践することを自己宣言
サプライチェーンセキュリティ評価制度は、SECURITY ACTIONを土台として、より重要度の高いサプライチェーン企業に★3以上の水準を求める構成となっています。
★3:最低限レベルの情報セキュリティ体制
★3は、サプライチェーンを構成するすべての企業が最低限実装すべきセキュリティ水準として位置づけられています。
想定される脅威は、「広く認知された脆弱性を悪用する一般的なサイバー攻撃(ランサムウェアなど)」です。
対策の内容は、基礎的なシステム防御策と体制整備を中心としており、具体的には以下のような要求事項が含まれます。
- 自社IT基盤・資産の現状把握と台帳整備
- 不正アクセスに対する基礎的な防御(ファイアウォールの設定など)
- 端末・サーバーの基礎的な保護(パッチ適用、マルウェア対策等)
- インシデント発生に備えた対応手順の整備
- セキュリティに関する社内ルールの策定・周知
- 従業員への年1回以上のセキュリティ教育の実施
評価は「専門家確認付き自己評価」で行います。
企業が自ら評価を行い、セキュリティ専門家による確認・助言を経て評価結果を確定させる方式です。有効期間は1年で、年次での自己評価による更新が必要です。
なお、★3の要求事項は計25項目に及び、すべてのユーザーIDに関する要求やすべてのファイアウォールに関する要求など、対応範囲が広いものも含まれています。
「自己評価だから簡単」とは言い切れず、早期から準備を進めることが重要です。
★4:標準レベルの情報セキュリティ体制
★4は、サプライチェーン企業が標準的に目指すべきセキュリティ水準です。
★3よりも高度な脅威として、「サプライチェーン全体に大きな影響をもたらす攻撃」や「機密情報の漏洩など資産に大きな影響をもたらす攻撃」を想定しています。
★3の要求事項に加えて、以下のような包括的な対策が求められます。
- 継続的改善に資するリスク管理体制の構築
- 取引先のセキュリティ対策状況の把握と管理
- 多層防御による侵入リスクの低減
- 迅速な異常検知のための監視体制
- インシデントからの復旧手順の整備
- 脆弱性の最新状況の把握と対策への反映
評価方式は「第三者評価」であり、書面確認に加え、実地審査と技術検証(脆弱性検査等)が実施されます。特に、インターネットに公開しているVPN装置やルーターなどリスクの高い機器への脆弱性検査が求められます。
要求事項は計44項目(★3の25項目+★4固有の19項目相当)で、有効期間は3年です。有効期間内は年次で自己評価を実施し、更新時に再度第三者評価を受ける必要があります。
★5:企業が目指すべき到達点としての情報セキュリティ体制
★5は、未知の攻撃を含む高度なサイバー攻撃にも対応できる、企業が到達点として目指すべき最高水準です。
国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備したうえで、現時点でのベストプラクティスを実施することが求められます。
ただし、★5の評価方式・対策基準・評価スキームの詳細については、2026年度以降に具体化を検討する予定であり、2026年度末の制度開始時点では★3・★4のみが対象となります。
サプライチェーンセキュリティ評価制度では「★3・★4」のどちらを取得すべき?
サプライチェーンセキュリティ評価制度は義務ではありませんが、発注企業が取引条件として特定の星の取得を求めることが想定されています。そのため、自社がどちらの取得を目指すべきかを事前に判断しておくことが重要です。
ここでは、企業が取り組む際にサプライチェーンセキュリティ評価制度のうち、「★3・★4」のどちらを取得すべきかについて解説します。
★3・★4の違い【比較表】
まずは★3・★4の違いについて、以下の表で整理しましょう。
| 比較項目 | ★3 | ★4 |
|---|---|---|
| 位置づけ | 最低限満たすべき水準 | 標準的に目指すべき水準 |
| 想定脅威 | 一般的なサイバー攻撃 | 高度なサプライチェーン攻撃 |
| 要求事項数 | 25項目 | 44項目(★3を包含) |
| 評価方式 | 専門家確認付き自己評価 | 第三者評価(実地審査+技術検証) |
| 有効期間 | 1年 | 3年 |
| 費用イメージ | 低コスト | 評価機関への審査費用が発生 |
★3と★4の最大の違いは評価方式の厳格さです。★4は実地審査・脆弱性検査を含む第三者評価が必須で、準備に数ヶ月〜1年程度かかります。
どちらを取得すべきか迷ったときの判断基準
発注企業が取引先に★3・★4のどちらを求めるかは、主に「事業継続リスク」と「情報管理リスク」の2つの観点から判断されます。
以下のフローで自社が求められる水準を確認してみましょう。
★4を求められる可能性が高いケース
- 発注元企業の内部システムへのリモートアクセス権限がある
- 発注元企業の機密情報(設計データ、個人情報等)を取り扱っている
- 取引が停止すると、発注元企業の業務に許容できない遅延・停止が発生する
★3の取得で良い可能性があるケース
- 上記の条件に該当せず、発注元への影響が限定的
- 単発・一過性の調達や、市場で代替可能な製品・サービスの提供が中心
ただし、今は★3でも、取引内容の変化によって将来的に★4を求められる可能性がある企業は、早期から★4を見据えた体制整備に着手することがおすすめです。
というのも、第三者評価・技術検証を要する★4の準備には、一般的に数ヶ月〜1年程度の期間が必要になるためです。
なお、「★3を取得してからでないと★4を申請できない」という前提条件はありません。★4の要求事項は★3を包含しているため、★4を目指す場合は最初から★4の要件に向けて取り組むことが効率的です。
サプライチェーンセキュリティ評価制度の対象範囲
サプライチェーンセキュリティ評価制度の対象範囲は、「IT基盤」や「外部ネットワーク境界」を中心としています。どの範囲が対象となり、どの範囲が対象外となるかを正確に理解することが、制度対応の第一歩となります。
ここでは、サプライチェーンセキュリティ評価制度の対象範囲について解説します。
対象となるセキュリティ範囲
本制度が評価対象とするのは、サプライチェーンを構成する企業のIT基盤全体です。オンプレミス環境だけでなく、クラウド環境も含まれます。
具体的には以下のシステム・機器が対象となります。
| カテゴリ | 対象となるシステム・機器の例 |
|---|---|
| 公開サーバー | メールサーバー、Webサーバー、認証基盤 |
| エンドポイント機器 | パソコン、スマートフォン、タブレット |
| ネットワーク機器 | ファイアウォール、VPN装置、ルーター |
| クラウド環境 | IaaS・SaaS・PaaS上で運用するシステム |
| 外部ネットワーク境界 | 発注元の内部システムに接続するリモートアクセス部分 |
また、★取得の適用範囲は「企業グループ全体」「自社単体」「特定の事業部門のみ」など、実態に応じて柔軟に設定することが可能です。
例えば、海外拠点の対策水準が異なる場合は、国内拠点のみを対象に★取得を進めるといった対応も選択肢となります。
対象外となるセキュリティ範囲
一方、以下のカテゴリは原則として本制度の対象外とされています。
| 対象外のカテゴリ | 理由・補足 |
|---|---|
| 製造環境等の制御(OT)システム | IT基盤と性質が異なるため、他の制度・ガイドラインによる対策を想定 |
| 発注元に提供する製品など(自社IT基盤のネットワークに未接続のもの) | IT基盤に接続していないため対象外 |
| 対策要件を満たすことが困難なIT機器・ソフトウェア(例:サポート切れソフト) | 例外的に除外が認められる場合あり(要理由明記+専門家による妥当性確認) |
対象外のシステムが評価対象のシステムと接続している場合は、VLANやファイアウォールなどのネットワーク機器を使って技術的に境界を分離する必要があります。
また、サポート切れのソフトウェアなど、要件への対応が困難なシステムを対象外とする場合も、除外理由を明記したうえで専門家(★3)または評価機関(★4)による妥当性の確認を受ける必要がある点に注意が必要です。
サプライチェーン強化に向けたセキュリティ対策評価制度の開始スケジュールと必要費用
ここでは、サプライチェーン強化に向けたセキュリティ対策評価制度の開始スケジュールと必要費用について解説します。
開始スケジュール
2026年3月現時点で公表されているスケジュールは以下のとおりです。
| 時期 | 主な動き |
|---|---|
| 2025年4月 | 「中間取りまとめ」公表。★3・★4の要求事項案・評価基準案を提示 |
| 2025年12月 | 「制度構築方針(案)」公表、パブリックコメント開始(2026年1月まで) |
| 2026年度上期(4〜9月) | 制度運営の準備期間。制度運営基盤の整備、評価機関の認定準備等 |
| 2026年度下期(10月〜2027年3月頃) | ★3・★4の制度正式運用開始(予定) |
| 2026年度以降 | ★5の対策基準・評価スキームの具体化検討 |
注目すべき点は、正式な制度開始まで残り約半年程度という状況です(2026年3月時点)。
★4取得には第三者評価・技術検証を含む審査が必要なため、今から準備を始めても決して早すぎることはありません。
なお、中小企業向けの支援策として「サイバーセキュリティお助け隊サービス(新類型)」の創設も予定されています。★3・★4の取得支援や未達項目の改善支援をワンパッケージで提供するサービスで、2026年度内に実証事業が開始される見込みです。
必要費用
制度の評価・認証にかかる費用は現時点で確定していませんが、段階ごとの費用の目安は以下にまとめました。
| 段階 | 評価費用にかかる費用目安 | 補足 |
|---|---|---|
| ★1・★2 | 無料 | 自己宣言のみ |
| ★3 | 数十万~百万単位 | 自己評価中心のため比較的低コスト。専門家への依頼費用が別途発生する見込み |
| ★4 | 数十万~百万単位 | 第三者評価が必要になるため、企業規模や評価機関によって変動する見込み |
| ★5 | 未定 | 第三者評価を想定しているが、詳細は今後検討予定 |
ただし、評価費用(審査費用)とは別に、以下のコストが発生する可能性があります。
- セキュリティ対策ツールの導入・更新費用(EDR、ファイアウォール、多要素認証等)
- セキュリティ専門人材の確保・育成費用
- コンサルティング費用(ギャップ分析・対策計画策定支援等)
- 脆弱性診断の実施費用(特に★4では技術検証として必須)
- 社内体制整備・教育費用
早めに予算計画を立て、優先順位を付けた段階的な対応を進めることが重要です。
まとめ
この記事では、「サプライチェーンセキュリティ評価制度(SCS評価制度)」について、概要や策定の背景、★ごとの違い、対象範囲、スケジュール・費用目安について解説しました。
制度への対応は、単なる「義務への対応」ではなく、自社のセキュリティ体制を底上げし、取引先からの信頼を獲得するビジネス機会でもあります。
まずは経済産業省が公表しているガイドラインや要求事項案を参照しながら、自社の現状把握(ギャップ分析)から着手することがおすすめです。自社だけでの対応が難しい場合は、専門のコンサルティングサービスの活用も検討してみてください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい