SCS評価制度とは?中小企業が今から知っておきたい新しいセキュリティ評価の仕組み

SCS評価制度とは?中小企業が今から知っておきたい新しいセキュリティ評価の仕組み

更新日:2026年7月3日現在

「取引先から『御社のセキュリティレベルは星いくつですか?』と聞かれる時代が、もうすぐやってきます。」

2026年度末ごろの運用開始が予定されている「SCS評価制度」は、企業のセキュリティ対策状況を★の数で見える化する、国主導の新しい仕組みです。

本記事では、SCS評価制度の基本的な内容と、中小企業が今のうちに準備しておきたいポイントをわかりやすく解説します。

SCS評価制度とは

SCS評価制度の正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」で、SCSは「Supply Chain Security」の略です。

経済産業省と内閣官房国家サイバー統括室が主導し、企業のセキュリティ対策の実施状況を共通の基準で評価・認定する制度として設計されています。

これまでは、取引先のセキュリティレベルを確認する際、発注企業ごとに独自のアンケートやチェックシートを使うのが一般的でした。

しかしこの方法では、回答する側も評価する側も負担が大きく、評価の客観性を保つことも難しいという課題がありました。

SCS評価制度は、こうした状況を統一基準で整理し直すことを目的としています。

なぜ今、この制度が必要とされているのか

サプライチェーン攻撃の流れを示した図

近年、セキュリティ対策が手薄になりがちな中小企業や取引先を踏み台にして、本来の標的である大企業へ侵入する「サプライチェーン攻撃」が増えています。

IPAが発表する「情報セキュリティ10大脅威」でも、サプライチェーンや委託先を狙った攻撃は組織編で上位に位置づけられており、継続的に注意すべき脅威となっています。

一箇所でも対策が不十分な企業があると、そこが侵入の入り口となり、取引先やグループ企業全体に被害が広がるおそれがあります。

SCS評価制度は、サプライチェーン全体でセキュリティ水準を底上げすることを目指す制度です。

★1〜★5の評価レベル

SCS評価制度の星1から星5までの評価レベル

SCS評価制度では、企業のセキュリティ対策レベルを★1〜★5の5段階で表します。

★1・★2

IPAが運営する自己宣言制度「SECURITY ACTION」と接続される形で位置づけられています。企業自らが対策への取り組みを宣言する段階です。

★3・★4

SCS評価制度で新たに設けられた段階です。

自己宣言ではなく、専門家の確認や第三者評価機関による審査が入る点が最大の特徴で、客観的な信頼性が担保されます。

★3の有効期間は1年、★4は3年とされ、★4では年次の自己評価提出が必要とされています。

★5

現時点でのベストプラクティスに基づく、より高度な対策水準として位置づけられており、詳細は今後検討される予定です。

多くの中堅・中小企業にとっては、まず★3の取得が現実的な目標水準になると見られています。

どんな企業が対象になるのか

対象は業種や企業規模を問わず、サプライチェーンを構成する企業全般です。

2社間の取引における受注者側が主な対象として想定されていますが、発注者側にも協力すべき場面があるとされています。

「うちは中小企業だから関係ない」とは言い切れない制度設計になっている点は、押さえておきたいポイントです。

★3・★4取得に向けて求められる対策の方向性

企業に必要なセキュリティ対策の全体像

★3・★4の取得に向けては、次のような領域が重視されます。

  • IT基盤やクラウド環境における基本的な対策
  • 外部ネットワーク境界での不正アクセス・侵入防御
  • 通信の監視やログの取得・保管
  • インシデント発生時の対応体制
  • 従業員へのセキュリティ教育

このうち特に見落とされやすいのが、「境界防御」と「ログ管理」です。

UTMとログ管理が重要になる理由

UTMによる境界防御とログ管理の仕組み

ファイアウォールやアンチウイルスといった個別の対策は導入していても、外部との通信を一元的に監視・制御する仕組みが十分でないケースがあります。

また、アクセスログや通信ログを適切に取得・保管できていない場合、異常が起きても事後に追跡することが難しくなります。

UTMによる境界防御と、ログの取得・保管体制は、★3以降の評価において土台となる部分だと考えておくとよいでしょう。

今から始められる準備

SCS評価取得に向けた4つの準備ステップ
  1. 自社の情報資産を洗い出す
  2. 外部との通信経路を整理し、境界防御が機能しているか確認する
  3. ログの取得範囲・保管期間・確認体制を見直す
  4. ギャップが見つかった箇所から優先的に対策を進める

特にログの取得・保管体制は、実際に評価を受ける段階になって初めて不備に気づくケースが多い部分です。

「取得はしているが保管期間が短い」「取得しているログの種類がバラバラで、いざという時に必要な情報が揃わない」といった状態には注意が必要です。

まとめ

SCS評価制度は、サプライチェーン全体のセキュリティ水準を底上げするために国が主導する新しい仕組みです。

★3・★4では専門家や第三者機関による客観的な評価が入るため、自己流の対策では対応が難しい場面も出てくると考えられます。

なかでもUTMによる境界防御と、ログの取得・保管体制は、評価の土台となる基本的な要素です。

「自社の対策がどこまで制度の要求に近いのか把握できていない」「ログを取ってはいるが、活用できる状態になっていない」という方は、まずは現状の可視化から始めてみることをおすすめします。

SCS評価対策のご相談・お問い合わせはこちら

UTM導入やログ管理の仕組みづくりについて、現状の課題を整理したい方はお気軽にお問い合わせください。

※本記事の内容は2026年7月時点の公開情報に基づいています。SCS評価制度は現在も詳細設計が進められている段階のため、最新情報は経済産業省IPAの公式発表をご確認ください。