近年、大企業のみならず中小企業をも巻き込んだサプライチェーン攻撃が急増しており、企業間の取引においてもセキュリティ対策の確認が不可欠となっています。

こうした背景から、経済産業省は2025年12月に「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の構築方針案を公表しました。

本記事では、この新制度の全体像から、★3～★5の評価段階の詳細、中小企業向けの支援策、さらには発注者・受注者間の法令関係までを網羅的に解説します。
この記事を読めば、今後日本企業に求められるセキュリティの標準基準と、自社がとるべき具体的なアクションが明確になります。

SCS評価制度の概要と背景

現代のビジネス環境において、一社単独でのセキュリティ対策には限界があり、サプライチェーン全体での防御態勢構築が急務となっています。

ここでは、なぜ今「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」が必要とされているのか、その背景にある深刻な課題と、本制度が目指すゴールについて詳細に解説します。

また、制度が本格的に運用開始されるまでのスケジュールについても触れ、企業がいつまでに何を準備すべきかを明らかにします。

制度検討の背景と課題

SCS評価制度の創設が検討された直接的なきっかけは、近年頻発している「サプライチェーン攻撃」の脅威です。

サイバー攻撃者は、セキュリティ対策が強固な大企業を直接攻撃するのではなく、比較的対策が手薄な取引先企業や関連会社を最初の標的とし、そこを踏み台にして本丸である大企業への侵入を試みるケースが増えています。

このような状況下では、自社の対策を完璧にするだけでは不十分であり、取引先を含めたサプライチェーン全体での対策レベルの底上げが不可欠となります。

しかし、現状のサプライチェーン管理には、発注側と受注側の双方に大きな課題が存在しています。発注元企業にとっては、数多く存在する取引先のセキュリティ対策状況を外部から正確に把握・判断することは極めて困難です。チェックシートなどを送付しても、回答内容の妥当性を検証する術が限られているのが実情です。

一方で、受注側となる中小企業等にとっては、複数の取引先からそれぞれ異なるフォーマットのチェックシートや独自基準への対応を求められることが多く、その回答作業や個別対策にかかる事務負担・コストが過大なものとなっています。

こうした「情報の非対称性」と「多重負担」という構造的な課題を解決するために、経済産業省及び内閣官房国家サイバー統括室は、共通の指標となるSCS評価制度の構築に乗り出しました。

産業界や有識者との議論、そして実証事業の結果を踏まえて策定されたこの制度は、日本産業界全体のセキュリティレベルを効率的に向上させるための切り札として期待されています。

制度の目的と目指す姿

SCS評価制度の最大の目的は、サプライチェーン全体におけるサイバーセキュリティリスクを低減させることにあります。具体的には、取引先へのサイバー攻撃に起因する不正侵入や情報漏洩、あるいはシステム停止による製品・サービスの供給途絶といったリスクを最小化することを目指しています。これにより、日本の産業基盤全体の強靭性（レジリエンス）を高めることが、国家的な課題として位置づけられています。

SCS評価制度の重要な特徴は、企業の対策状況を「可視化」することに重点を置いている点です。

本制度は、単に企業のセキュリティ対策レベルを競わせたり、優劣を付けて格付けを行ったりすることを目的としたものではありません。そうではなく、各企業が自社のリソースやリスク状況に応じて、どのような対策を実施しているかを客観的な基準（★の数）で示せるようにすることで、企業間取引における「共通言語」を作ることが狙いです。

また、SCS評価制度は、中小企業が無理なくセキュリティ対策に取り組めるような「道しるべ」としての役割も担います。

セキュリティ対策に知見が乏しい企業であっても、提示された基準に沿って対策を進めることで、自然と必要な防御レベルに到達できるように設計されています。これにより、サプライチェーンに属するすべての企業が、容易かつ適切に対策を決定・実行できる環境を整備することが、本制度の核心部分と言えます。

開始時期と今後の予定

SCS評価制度は、2025年12月26日に制度構築方針（案）が公表され、パブリックコメント（意見公募）のプロセスに入りました。

政府は、この意見公募で寄せられた国民や事業者からの意見を踏まえ、2025年度中（2026年3月まで）を目途として制度構築方針を成案化する予定です。これにより、制度の基本骨格が確定することになります。

実際に企業がSCS評価制度を利用できるようになるのは、令和8年度（2026年度）末頃を目指しているとされています。具体的には、後述する3段階の評価のうち、基礎的な「★3」および標準的な「★4」について、令和8年度末からの制度開始に向けた準備が進められます。これには、評価機関の認定や審査基準の詳細化、制度運営基盤の整備などが含まれます。

さらに高度な対策を求める「★5」については、令和8年度以降に、その対策基準や評価スキームの具体化に向けた検討が別途行われる予定です。

つまり、SCS評価制度は一斉にすべての基準が適用されるのではなく、まずは裾野を広げるための「★3」「★4」からスタートし、段階的に高度化していくロードマップが描かれています。企業担当者としては、2026年度末の本格稼働を見据え、今から自社の現状把握と対策強化を進めておく猶予期間があると言えます。

3つの評価段階の詳細

SCS評価制度の骨子となるのが、企業の対策状況に応じた3つの段階（★3、★4、★5）の設定です。これにより、企業は自社の規模や取り扱う情報の重要度に合わせて、段階的な目標設定が可能になります。ここでは、各段階の定義と求められる具体的な対策内容、そして評価方法の違いについて詳しく解説します。

★3：基礎対策と自己評価

SCS評価制度における「★3」は、サプライチェーンに属する全ての企業が最低限実装すべきセキュリティ対策の基準です。これは、企業の規模や業種に関わらず、現代のデジタル社会でビジネスを行う上で必須となる「サイバー衛生（Cyber Hygiene）」のレベルを指します。もしこのレベルを満たしていない場合、取引先として選定される際に不利になる、あるいは取引継続が難しくなるといったリスクが生じる可能性があるラインと言えるでしょう。

具体的に「★3」で求められるのは、基礎的なシステム防御策と体制整備を中心とした対策です。技術的な側面では、OSやソフトウェアの脆弱性を解消するためのアップデート運用、ウイルス対策ソフトの導入と定義ファイルの更新、複雑なパスワードの設定と管理などが該当します。体制面では、セキュリティ担当者の設置や、基本的なセキュリティポリシーの策定などが想定されます。これらは高度な投資を必要とするものではありませんが、サイバー攻撃の多くが基本的な対策の欠如を突いてくることを踏まえると、極めて重要かつ効果的な対策です。

評価方法として、「★3」では「専門家確認付き自己評価」という独自の方式が採用される予定です。これは、企業が自ら実施した自己評価の結果について、情報処理安全確保支援士などの社内外のセキュリティ専門家による確認や助言を受けることで、その結果を確定させる仕組みです。完全な第三者認証（監査）ほどのコストや手間をかけずに、単なる自己宣言（オレオレ基準）よりも高い信頼性を担保できるバランスの取れた手法であり、多くの中小企業にとって現実的な選択肢となるでしょう。

★4：標準対策と第三者評価

SCS評価制度における「★4」は、サプライチェーン企業等が標準的に目指すべきセキュリティ対策の段階と定義されています。これは「★3」の基礎対策に加えて、より組織的かつ包括的な対策が実施できている状態を指します。重要な顧客情報や技術情報を扱う企業、あるいは社会インフラに関連する業務を受託する企業などは、このレベルの達成が強く推奨されることになります。

「★4」で求められる対策は、組織ガバナンス、取引先管理、システムの防御・検知、そしてインシデント対応など多岐にわたります。具体的には、経営層が主体的に関与するセキュリティ管理体制の構築や、自社の委託先（再委託先）に対するセキュリティ管理の実施が含まれます。また、システム面では、単に侵入を防ぐだけでなく、侵入されたことを早期に検知するためのログ監視やIDS/IPS（侵入検知・防御システム）の導入、そして万が一被害が発生した場合の対応手順（BCP等）の整備と訓練の実施などが求められます。

評価方法については、「★4」からは「第三者評価」となります。これは、国によって認定された評価機関等の外部組織が、客観的な基準に基づいて審査を行い、基準への適合性を判定するものです。第三者による厳格な審査を経ることで、評価結果に対する信頼性は飛躍的に高まります。発注元企業に対しても、自社のセキュリティレベルが高い水準にあることを強力に証明できるため、ビジネス上の競争力強化にもつながるでしょう。なお、上位の段階は下位の段階を包括するため、要件さえ満たせば「★3」を経ずに直接「★4」を取得することも可能です。

★5：高度対策と継続改善

SCS評価制度における「★5」は、サプライチェーン企業等が到達点として目指すべき最高レベルの対策段階です。これは、グローバル企業や国家機密に近い重要情報を扱う企業などが対象となる、極めて高度なセキュリティ水準を示すものです。

「★5」では、NIST（米国国立標準技術研究所）などの国際規格等におけるリスクベースの考え方に基づき、自組織のリスクを動的に評価し、必要な改善プロセスを継続的に回し続ける体制が求められます。また、システム対策においても、その時点での「ベストプラクティス（最良の慣行）」に基づく最先端の防御策を実施している必要があります。これは、定型的なチェックリストを満たすだけでなく、日々進化するサイバー攻撃の手口に合わせて、自律的に対策を進化させられる組織能力が問われることを意味します。

「★5」についても「第三者評価」による認定が行われる予定ですが、その具体的な対策基準や評価スキームについては、令和8年度以降に詳細な検討が進められることになっています。

現時点では将来的な目標像としての位置づけですが、トップレベルのセキュリティを目指す企業にとっては、今後の制度設計の動向を注視し、組織としての成熟度を高めておくことが重要です。

中小企業への支援策

新たな評価制度の導入にあたり、多くの企業、特に中小企業が懸念するのは「コスト」と「手間」です。経済産業省とIPA（独立行政法人情報処理推進機構）は、こうした懸念を払拭し、中小企業が制度に参加しやすくするための強力な支援パッケージを用意しています。ここでは、「サイバーセキュリティお助け隊サービス」の拡充を中心とした、具体的な支援策について解説します。

お助け隊サービス新類型

経済産業省及びIPAは、SCS評価制度の開始に合わせて、既存の「サイバーセキュリティお助け隊サービス」に新たな類型を創設する方針を明らかにしました。従来の「お助け隊サービス」は、セキュリティ対策に悩む中小企業に対し、監視や駆け付け支援、保険などをワンパッケージで安価に提供するものでしたが、今回の新類型では、これに「SCS評価制度への対応支援」機能が追加されます。

具体的には、この新サービスを利用することで、中小企業はSCS評価制度の「★3」または「★4」の取得や更新時に必要なセキュリティ対策状況の評価を受けることができるようになります（STEP1）。通常、評価を受けるためには別途手続きや費用が発生しますが、このサービスを利用すれば、日々のセキュリティ運用サービスの中に評価プロセスが組み込まれる形となります。これにより、中小企業は複雑な事務手続きに煩わされることなく、専門家の支援を受けながらスムーズに制度の認定を目指すことが可能になります。

この新類型サービスの提供に向け、経済産業省及びIPAでは、令和8年春頃から実証事業を開始する予定です。実証事業を通じて、サービス提供事業者と連携し、実際に中小企業に対して試行的なサービス提供を行います。その結果を踏まえて、中小企業にとって導入しやすい価格設定や品質要件が決定されるため、コストパフォーマンスの高いサービスが登場することが期待されます。

評価と対策の一貫支援

新しく創設される「サイバーセキュリティお助け隊サービス」（新類型）の画期的な点は、単に現状を評価するだけでなく、不足している対策の実行支援までをカバーしていることです（STEP2）。

中小企業がSCS評価制度の基準を満たそうとした際、自社の人材や知識だけでは対応できない項目が出てくることは避けられません。そうした場合、この新サービスでは、未達成の項目についてITツールの導入支援や人的なサポートを提供します。例えば、必要なセキュリティソフトの選定・導入代行や、設定作業の支援、あるいはセキュリティ規定策定のためのアドバイスなどが想定されます。

このように、「評価（現状把握）」と「対策（実行支援）」をセットで提供することで、中小企業は「何から手を付ければよいか分からない」「誰に頼めばよいか分からない」という悩みから解放されます。国が認定した信頼できる事業者が伴走することで、実効性のあるセキュリティ強化を実現しつつ、SCS評価制度の認定取得という成果も得られる、一石二鳥の支援スキームと言えるでしょう。

取引適正化と法令遵守

SCS評価制度が導入されると、発注元企業が取引先に対して、制度に基づく認定取得や対策の実施を要請するケースが増加すると予想されます。しかし、優越的な地位を利用した一方的な押し付けは、独占禁止法や下請法に抵触するリスクがあります。ここでは、制度運用における法令遵守のポイントと、望ましいパートナーシップのあり方について解説します。

要請と独禁法・下請法

大企業などの発注者が、取引先である中小企業に対してセキュリティ対策を要請すること自体は、サプライチェーン全体の安全確保のために正当な行為です。しかし、その要請方法や条件によっては、独占禁止法上の「優越的地位の濫用」や下請法違反となる可能性があります。この点について、経済産業省と公正取引委員会は連携して、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」という解説文書を作成・公表しています。

今回、SCS評価制度の構築に合わせて、この文書が補足され、具体的な「問題とならないケース」の事例が示されました。例えば、発注者が取引先に対し、SCS評価制度の「★3」相当の対策を要請する場合において、その対策にかかる費用について協議を行い、価格転嫁を認めたり、支援を行ったりするプロセスを経ているかどうかが重要になります。

逆に言えば、対策にかかるコスト増を一切考慮せず、一方的に「★4を取得しなければ取引を停止する」と通告したり、対策費用を取引代金から不当に減額したりすることは、法令違反となるリスクが高いということです。発注元企業の担当者は、SCS評価制度を活用する際、こうした法令リスクを十分に認識し、適正な手続きを踏む必要があります。

パートナーシップの構築

SCS評価制度を成功させるための鍵は、発注者と受注者が対等なパートナーとして協力し合う関係を築くことにあります。経済産業省らが作成した解説文書では、発注者側と相手方がパートナーシップを構築してセキュリティ対策と価格交渉を実施し、円満に合意に至るための想定事例が紹介されています。

具体的には、発注者がセキュリティ対策を要請する際には、単に要求を突きつけるだけでなく、前述の「サイバーセキュリティお助け隊サービス」の活用を提案したり、ノウハウを提供したりといった支援策を提示することが推奨されます。また、受注側の中小企業も、対策にかかるコストを具体的に算出し、堂々と価格交渉を行う姿勢が求められます。

SCS評価制度は、セキュリティ対策を単なる「コスト」として押し付け合うのではなく、サプライチェーン全体の信頼性を高めるための「投資」として捉え直す機会を提供します。企業間でセキュリティに関する対話が進み、互いに支え合う関係が構築されれば、結果として強固で持続可能なサプライチェーンが実現するでしょう。今後、経済団体や支援機関を通じた普及啓発により、こうした健全なパートナーシップ構築が促進されることが期待されます。

まとめ

本記事では、2025年12月に公表された「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」について、その概要から具体的な評価基準、中小企業への支援策、そして法的な留意点に至るまで詳細に解説しました。SCS評価制度は、取引先のセキュリティ対策状況を「可視化」することで、特定の企業だけでなくサプライチェーン全体のリスク低減を目指す重要な取り組みです。評価段階は、全企業が必須となる基礎レベルの「★3」、標準的な「★4」、そして国際水準の「★5」という3段階で構成され、企業の状況に合わせて段階的にステップアップできる仕組みとなっています。

制度の本格的な運用開始は2026年度末（令和8年度末）頃が予定されていますが、それに向けて国は「サイバーセキュリティお助け隊サービス」の新類型を創設するなど、中小企業が安価かつスムーズに評価や対策を行える環境整備を進めています。また、制度の普及にあたっては、発注者が優越的な地位を利用して一方的に対策を強要することがないよう、独占禁止法等の法令遵守と、企業間での健全なパートナーシップ構築が強く求められています。

SCS評価制度は、将来的に日本企業が安心して取引を行うための「パスポート」のような役割を果たすことになるでしょう。制度開始まではまだ猶予がありますが、セキュリティ対策の強化は一朝一夕には成し得ません。今のうちから自社の現状を把握し、まずは足元の対策から着実に進めていくことをお勧めします。