近年、ランサムウェア等のサイバー攻撃の手口は複雑化しており、その被害が長期化するケースが増えています。一度被害が発生すると、当該企業だけでなく、仕入先や販売先など取引先の事業にも影響が及ぶ可能性があります。そのためセキュリティ体制の強化は、個社の問題ではなく、サプライチェーン全体で取り組むべき課題となっています。
本稿では 、2026年度から本格運用が予定されている「サプライチェーン強化に向けたセキュリティ対策評価制度(通称:SCS評価制度)」について解説します。
近年、セキュリティ対策が強固な大企業を直接狙うのではなく、その取引先である中小企業や委託先に侵入する手口が増えています。これまで企業間の取引では、各社が独自の基準でセキュリティチェックを行ってきました。しかし、これには以下の課題がありました:
・発注側: 取引先の対策状況を客観的に判断することが難しい。
・受注側: 複数の取引先からバラバラな基準で対策を要求され、対応負荷が過大になっている。
また、クラウドサービスの普及により、自社データがクラウド上に分散する環境が一般的になり、自社のITシステムのみを守る従来型の対策では不十分となっています。こうした背景から、経済産業省と内閣官房は、共通の指標でセキュリティレベルを可視化し、サプライチェーン全体のセキュリティ水準の底上げを図ることを目的として、SCS評価制度の構築を進めています。
SCS評価制度では、企業のセキュリティレベルを「★3」から「★5」の3段階で評価します。この制度は単なる格付けではなく、企業の規模や立ち位置に応じた適切なセキュリティ対策の実施を促すことを目的としています。
中小企業の視点で考えると、大企業から業務を受注する際に、
・「★3」を満たしていなければ取引できない
・「★3」を取得後は「★4」の取得を求められる
といった形で、取引条件として活用される可能性があります。
■レベルの定義と評価方法
(出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」を基にCDL作成)
■対象となる事業者
本制度は、業種・規模を問わずBtoB取引に関わる全ての組織が対象です。特に以下の組織での活用が期待されています。
・発注者側: 政府機関、重要インフラ事業者、主要製造業など。
・受注者側: BPO事業者、部品製造業、中小企業全般。
■実務上のポイント
本制度において評価対象となる「IT基盤」とは、サーバ群だけでなくパソコンやスマートフォンなどのエンドポイント機器も含まれます。そのため、正確なIT資産管理体制を構築していることが、★取得の絶対条件です。また、取引先からの要求や自社の役割に基づき、目指すべき★のレベルを定めることが必要となります。
なお、中小企業向けに対策状況の診断と★取得の支援を行う「サイバーセキュリティお助け隊サービス(新類型)」の創設が予定されています。早急に★取得を目指す事業者は、本サービスの活用も検討するとよいでしょう。
本制度は2026年度下期から運用開始が予定されており、今後は「★」を取得していることが取引開始・継続の前提条件となることが予見されます。特に「★4」を取得するためにはCISOの任命や脆弱性診断等の技術検証、第三者機関からの評価など多大な労力が必要であるため、今のうちから体制整備を進めておくことが重要です。
■今後のスケジュール(予定)