2026年3月に当ブログでご紹介した「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」について、その後、経済産業省およびIPA(情報処理推進機構)から制度の詳細が順次公表されました。
当初は「2026年度中に開始予定」という大枠しか見えていませんでしたが、現在は制度運営主体や評価レベルごとの考え方など、実務上重要なポイントがかなり明確になっています。今回は、2026年3月時点で公表されていた情報と比較しながら、「何が変わったのか」「何が新たに明らかになったのか」を整理します。
|
# |
項目 |
2026年3月時点 |
2026年6月時点 |
|
1 |
制度運営主体 |
いずれも未確定もしくは検討中 |
IPA |
|
2 |
評価レベルごとの要求事項 |
★3:26項目、★4:43項目 |
|
|
3 |
関連する制度・施策 |
ISMS、SECURITY ACTION 、中小企業向けガイドライン等との関連性を明示 |
2026年4月21日、IPAがSCS評価制度の公式サイトを公開し、以下の3つを担当することが正式に示されました。
・運営審議委員会:運営方針に関する事項や制度に関する文書類の策定等の審議
・事務局:運営管理や★3・★4の登録、普及促進等
・指定委員会:評価機関、技術検証事業者および研修事業者の指定・監督等
今後、この公式サイト上で評価取得の手続きや評価機関リストなどの情報公開が行われます。★の取得を検討する場合、必ず参照しておくことが推奨されます。
|
評価レベル |
要求事項数(大項目) |
評価基準数(小項目) |
|
★3 |
26 |
81 |
|
★4 |
43 |
153 |
出所:情報セキュリティ>サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)>要求事項・評価基準(IPA)
経済産業省「経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(2026年3月27日)」に基づくと「★3・4ともに、原則として、全ての評価基準への適合を求める」という記載があります。一方で、仮に不適合が発見された場合でも「適切に是正対処し、セキュリティ専門家や評価機関からの了承があれば★を取得可能」とあることから、当該不適合の内容・度合いに応じて対応への猶予が認められていると考えられます。
SCS評価制度に関連する各種制度・施策との関係性が明確化されました。
・SECURITY ACTION制度:中小企業自らが、情報セキュリティ対策に取組み、その水準を★1もしくは★2として自己宣言する制度です。SCS評価制度で★3、4を取得する前に、最低限の準備としてまずは本制度から取り組んでみることも一案です。
サイバーセキュリティお助け隊サービス制度:以前より中小企業向けに社内ITの保守・駆けつけ・保険等のサービスを提供していましたが、今回のSCS評価制度の開始に伴い、★取得の支援サービスの創設が検討されています。
中小企業の情報セキュリティ対策ガイドライン:中小企業の経営者が認識すべき情報セキュリティ対策に関する指針や手順をまとめられています。SCS評価制度を受けて、第2部「実践編」が全面的に改訂されました。★3取得への準備として、自社のセキュリティ態勢と課題を網羅的に整理する際に役に立つでしょう。中小企業向けサイバーセキュリティ対策支援者リスト:国家資格「情報処理安全確保支援士」の資格者のうち、中小企業向けのサイバーセキュリティ対策支援が実施できる専門家の得意分野を可視化したリストです。今後、SCS評価制度★3を取得する際の確認・助言を行う専門家を掲載予定です。
現時点でも、例えば以下のように準備できることはあります。
・情報セキュリティ関連規程の整備
・アクセス権限管理の見直し
・脆弱性管理やパッチ適用手順の整備
・インシデント対応手順の文書化
・委託先管理ルールの整備
これらは、SCS評価制度に限らず、今後のセキュリティ対策全般において重要な取組みです。また、中小企業の情報セキュリティ対策ガイドライン第4.0版を活用し、自社の現状把握を行うことも有効でしょう。
2026年6月時点で、まだ確定していない事項も残っていますが、2027年3月頃の★3,4運用開始に向けて順次公開されていくと思われます。
・評価申請フロー
・評価機関、技術検証事業者の要件
・評価費用
・★5の詳細基準
SCS評価制度は、2026年春以降の各種公表を通じて、制度の全体像が徐々に明らかになってきました。一方で、評価機関や評価費用、申請手続きなど、実務上重要な論点については引き続き検討が進められています。もっとも、既に評価レベルごとの要求事項や関連制度との関係性は公開されており、企業として準備を始めるための材料は十分に揃いつつあります。
特に、金融機関やその委託先企業においては、サイバーセキュリティ対策を「実施していること」だけでなく、「第三者に説明・証明できること」の重要性が今後さらに高まることが予想されます。