この記事でわかること
- セキュリティ対策評価制度とは何か
- ★3・★4・★5の評価レベルの意味
- セキュリティ対策評価制度とISMSの違い
- 評価で重視される観点と考え方
- セキュリティ対策評価制度の導入ステップ
昨今、サイバー攻撃はもはや自社だけの問題ではありません。
取引先や委託先を起点としたサプライチェーン攻撃が増える中、企業はどこまでセキュリティ対策ができているかを外部に示すことが求められる時代になっています。
こうした課題に対応するために整備が進められているのが、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」です。
本記事では、この新しい制度の概要やメリット、導入の進め方について、基礎から解説します。
目次[非表示]
- 1.セキュリティ対策評価制度の概要
- 2.セキュリティ対策評価制度が設定された背景
- 3.セキュリティ対策評価制度とISMSは何が違う?
- 4.セキュリティ対策評価制度を導入するメリット
- 5.★1~★5の評価レベルはどう違う?
- 5.1.★1(一つ星)|SECURITY ACTION「自己宣言」
- 5.2.★2(二つ星)|SECURITY ACTION「自己宣言(基本方針公開)」
- 5.3.★3(三つ星)|セキュリティ対策評価制度「基礎レベル」
- 5.4.★4(四つ星)|セキュリティ対策評価制度「標準レベル」
- 5.5.★5(五つ星)|セキュリティ評価制度「到達点」
- 6.セキュリティ対策評価制度の評価で見られる主な視点
- 6.1.組織・ガバナンスに関するチェック例
- 6.2.セキュリティ方針・リスク認識のチェック例
- 6.3.IT基盤の把握・管理に関するチェック例
- 6.4.技術的セキュリティ対策のチェック例
- 6.5.運用管理(ログ・監視・変更管理)のチェック例
- 6.6.インシデント対応・事故対応のチェック例
- 6.7.取引先・外部委託管理のチェック例
- 6.8.教育・周知・改善活動のチェック例
- 7.担当者がこれからやるべき準備:セキュリティ対策評価制度導入ステップ
- 8.よくあるご質問
- 9.セキュリティ対策評価制度の導入準備を計画的に進めよう
セキュリティ対策評価制度の概要
セキュリティ対策評価制度(SCS評価制度)とは?
セキュリティ対策評価制度は、企業が実施しているセキュリティ対策実装レベルを星(★)で表現し、共通の基準で整理・評価し、その結果を第三者にもわかる形で示すための制度です。
「SCS(Supply Chain Security)評価制度」とも呼ばれています。
経済産業省と内閣官房国家サイバー統括室により発表され、2026年度中に本格運用予定です。
この制度の運用が始まることで、発注側は「当社は★4以上を条件にします」と示し、受注側は「当社は★3/★4を取得済み」と証明できるようになります。
結果として、サプライチェーン全体のセキュリティレベルの底上げと取引の迅速化が期待されます。
制度開始スケジュール:いつから制度が開始する?
- 2025年4月:中間取りまとめを公表し、制度の方向性が決定。
- 2025年12月:制度構築方針(案)を公表し、意見を募集。
→★3・★4の制度像が明確化、★5は検討継続。 - 2026年度中(〜2027年3月頃):★3・★4の本格運用開始を想定。
セキュリティ対策評価制度が設定された背景
近年のサイバー攻撃は、有名な大企業だけを狙うものではなくなっています。
攻撃者は目的の企業に直接侵入するのではなく、外部委託先・下請企業・業務の一部を担う協力会社などで比較的対策が弱い箇所を起点に侵入し、被害を連鎖的に広げる手口を用います。
セキュリティを自社だけでなく取引関係全体で捉え直さなければならなくなったのです。
また、取引時のセキュリティ確認作業の非効率も課題となっています。
多くの企業では取引開始や継続のたびに、独自のセキュリティ調査票や自社基準の質問項目などを取引先に求めてきました。
その結果、回答する側は「取引先によって微妙に違う質問」に追われ、確認する側も「回答してもらったものの、本当に比較できているのか分からない」という状態が続いています。
セキュリティ対策評価制度は、これらの問題を共通の基準で解消するための仕組みとして新たに設定されました。
セキュリティ対策評価制度とISMSは何が違う?
セキュリティ対策評価制度とISMS(ISO/IEC 27001、情報セキュリティマネジメントシステム)は、目的も設計思想も異なる別の制度であり、どちらか一方が上位・下位という関係ではありません。
制度の目的
- セキュリティ対策評価制度
セキュリティ対策評価制度は、サプライチェーンにおけるセキュリティ対策状況を星(★)で可視化する制度です。
- 取引先として安心できるかを判断しやすくする
- セキュリティ確認のばらつき・非効率を解消する
- 発注側・受注側で共通の基準を持つ
などの目的から、企業間取引を前提として取引条件・判断材料に使われることが想定されています。
- ISMS
ISMSは、組織全体で情報セキュリティを管理・改善し続けるためのマネジメントシステム規格です。
- 情報セキュリティリスクを継続的に管理する
- 組織の状況に応じて対策を選択・改善する
- 経営レベルでセキュリティを統制する
などの目的があり、仕組みづくりと継続的改善に重点を置いています。
ISMSは「★いくつ」という表示ではなく、国際規格に適合しているかどうかを第三者認証で示します。
評価の考え方
- セキュリティ対策評価制度
セキュリティ対策評価制度では、
- ★3:最低限やるべき基礎対策
- ★4:取引で標準的に求められる対策
のように、あらかじめ定められた要求事項にどこまで適合しているかが評価されます。
言い換えると、「この★レベルではこれができている必要がある」という到達点が明確な制度です。
そのため、何をやればよいか分かりやすく、初めて体系的に対策する企業でも取り組みやすいです。
- ISMS
ISMSは、「この対策を必ず行わなければならない」というよりも、自社の事業内容・情報資産・リスクに応じて適切な管理ができているかが問われます。
例えば、
- どのようなリスクを想定したのか
- なぜその対策を選んだのか
- 実施・見直しが継続されているか
といった考え方・プロセスが重視されます。
そのため、組織ごとの柔軟性は高いですが、理解・運用には一定の知識と体制が必要です。
スコープ(評価範囲)の考え方
- セキュリティ対策評価制度
原則、企業全体(IT基盤全体)が対象となります。
「取引に関わるIT基盤を合理的に含めているか」という観点が重視され、部分的な切り出しは基本的に想定されていません。
- ISMS
自社で認証範囲を決定します。
- 法人単位
- 事業部単位
- 特定業務・特定システム
など、登録範囲の内容に応じた設定が可能です。
ISMSの基本がわかる!無料セミナー開催中!
「ISMSって何?」「リスクアセスメントってどうやるの?」というお悩みを持った新任担当者や新入社員にぴったりの、ISO審査機関・ISMS審査員監修セミナーです。
ぜひお気軽にご参加ください!
セキュリティ対策評価制度を導入するメリット
セキュリティ対策評価制度を導入するメリット3点について、以下で詳しく見ていきます。
セキュリティ対策評価制度を導入するメリット
- 取引継続・新規受注のパスポートになる
- サプライチェーン攻撃の踏み台になるリスクを下げられる
- セキュリティ対策のやるべきことが明確になり、経営層への説明・意思決定がしやすくなる
取引継続・新規受注のパスポートになる
セキュリティ対策評価制度を導入することで、
- 自社の対策状況を ★3~★5 の共通指標で提示
- 「当社は★3水準です」と一言で説明可能
- チェックシート記入・確認からの解放
など、発注者・受注者双方の実務負担を大幅に軽減できます。
また、今後は多くの発注企業が「★3以上」「★4以上」を取引条件として提示することが想定されます。
取得していない場合、入札・見積段階で不利になったり、取引継続に追加説明を求められたりする可能性があります。
サプライチェーン攻撃の踏み台になるリスクを下げられる
近年のサイバー攻撃の多くは取引先・委託先を起点とするものです。
自社が侵害されると、取引停止・損害賠償・信用失墜といった二次被害に直結します。
セキュリティ対策評価制度は、自社だけでなく、取引関係を含めたリスク低減を制度の目的として明示しています。
セキュリティ対策のやるべきことが明確になり、経営層への説明・意思決定がしやすくなる
セキュリティ対策評価制度は★3~★5のレベルで段階的に整理されているため、限られたリソースでも、優先順位を付けて対策できるようになります。
また、「どのレベルを目指すのか」「なぜこの投資が必要か」を、セキュリティ対策評価制度の★レベルや要求事項という外部基準で説明できるようになります。
情報システム・セキュリティ担当の属人的な説得から脱却でき、経営判断につなげやすくなります。
★1~★5の評価レベルはどう違う?
★1・★2は既存制度(SECURITY ACTION)、★3~★5が新制度(セキュリティ対策評価制度)です。
特に★3~★5は、チェックリストを満たすだけでなく、運用の実効性も問われる点に注意が必要です。
レベル | 制度 | 概要 | 第三者確認 |
|---|---|---|---|
★1 | SECURITY ACTION | 自己宣言 | なし |
★2 | SECURITY ACTION | 自己診断+方針公開 | なし |
★3 | セキュリティ対策評価制度 | 最低限必須の基礎レベル | 外部専門家確認あり |
★4 | セキュリティ対策評価制度 | 取引で求められる標準レベル | 第三者機関による審査あり |
★5 | セキュリティ対策評価制度 | 到達点 | 第三者機関による審査あり |
★1(一つ星)|SECURITY ACTION「自己宣言」
中小企業向けセキュリティ対策の最初の一歩と言える制度で、「情報セキュリティ5か条」へ取り組むことを宣言します。
第三者からの確認や評価はなく、自己宣言のみで取得可能です。
取り組み例:
- OS・ソフトウェアを最新にする
- ウイルス対策ソフトを入れる
- 強いパスワードを使う
- 共有設定を見直す
- 攻撃の手口を知る
★2(二つ星)|SECURITY ACTION「自己宣言(基本方針公開)」
★1より一段階上のレベルで、IPAの「5分でできる!情報セキュリティ自社診断(25項目)」を実施し、情報セキュリティ基本方針を策定・公開する必要があります。
こちらも第三者からの確認や評価はなく、自己宣言のみで取得可能です。
取り組み例:
- OS・ソフトウェアを最新にする
- ウイルス対策ソフトを入れる
- 強いパスワードを使う
- 共有設定を見直す
- 攻撃の手口を知る
★3(三つ星)|セキュリティ対策評価制度「基礎レベル」
すべてのサプライチェーン企業が最低限満たすべき基準です。
基礎的な技術対策や体制整備、インシデント対応・復旧、経営層の適合宣言などの26項目が求められます。
外部の専門家(情報処理安全確保支援士など)が確認し、自己評価を行うことで取得できます。
取り組み例:
- IT資産の把握
- MFAの導入
- パッチ管理
- インシデント対応・復旧手順
- 委託先への最低限の管理
★4(四つ星)|セキュリティ対策評価制度「標準レベル」
取引先に対して標準的に求められる水準で、重要取引先では★4を要求されることが多くなると言えます。
★3の26項目に加え全43項目が求められ、検知・対応・復旧まで含む対策が必要となり、さらに取引先管理が本格化します。
★4はこれまでのレベルとは違い、自己評価ではなく第三者評価機関による審査に適合することで取得できます。
取り組み例:
- ログ監視
- 異常検知
- 定期的な訓練
- 委託先管理の仕組み化
- 被害拡大防止設計
★5(五つ星)|セキュリティ評価制度「到達点」
高度なリスクマネジメントを備え、国際水準相当の高度対策を念頭に検討が継続されており、開始時期は未定(2026年度以降に具体化予定)です。
セキュリティ対策評価制度の最上位で、ISMS等のマネジメントに加え高度な技術実装が期待されます。
また、★5はISMS適合性評価制度と「相互補完的な制度として両輪で発展」する関係として設計されています。
★5は★4と同様に、第三者評価機関による審査に適合することで取得できます。
取り組み例:
- リスクベースアプローチ
- 業界・企業特性に応じた高度対策
- ベストプラクティスの実装
セキュリティ対策評価制度の評価で見られる主な視点
組織・ガバナンスに関するチェック例
見られる観点
誰が責任を持ち、どのように管理しているか
チェック例:
- 自社の重要情報・重要業務が定義されているか
- サプライチェーン上で想定されるリスク(踏み台、情報漏えい等)を把握しているか
- リスク評価を踏まえた対策優先度の考え方があるか
→組織としての責任構造が問われます。
セキュリティ方針・リスク認識のチェック例
見られる観点
何を守るべきと認識しているか
チェック例:
- 自社の重要情報・重要業務が定義されているか
- サプライチェーン上で想定されるリスク(踏み台、情報漏えい等)を把握しているか
- リスク評価を踏まえた対策優先度の考え方があるか
→すべてのリスクを同じレベルで守るより、理由のある重点化が評価されます。
IT基盤の把握・管理に関するチェック例
見られる観点
管理対象をちゃんと把握できているか
チェック例:
- 評価対象のIT基盤(端末、サーバ、クラウド、ネットワーク)が整理されているか
- 業務で利用しているクラウドサービスが把握・管理されているか
- テレワーク用端末、スマートフォンも管理対象に含まれているか
- IT基盤の範囲がスコープ定義と整合しているか
→知らない機器・サービスがあること自体がリスクとして見られる場合があります。
技術的セキュリティ対策のチェック例
見られる観点
最低限の防御が実装されているか
チェック例:
- OS・ミドルウェアのアップデート運用がされているか
- マルウェア対策(EDR/ウイルス対策等)が導入されているか
- ID・パスワード管理が適切か(共有禁止、多要素認証等)
- 管理者権限の付与・回収ルールがあるか
- 外部接続点(VPN等)が安全に管理されているか
→★3では基本的防御の実装、★4以上では運用の妥当性まで見られます。
運用管理(ログ・監視・変更管理)のチェック例
見られる観点
導入して終わりになっていないか
チェック例:
- ログの取得・保存・確認ルールがあるか
- システム変更時の手続き(申請・承認)があるか
- アカウントの棚卸し(退職・異動時)が行われているか
- 異常検知時の対応フローが定義されているか
→ルールはあるが実施記録がない場合は減点される可能性があります。
インシデント対応・事故対応のチェック例
見られる観点
事故が起きた時に動けるか
チェック例:
- インシデント対応手順(初動、報告、封じ込め)が整備されているか
- 社内連絡・経営層報告のルートが明確か
- 実際の訓練・机上演習・教育を行った記録があるか
- 外部(委託先・関係会社)との連携方針があるか
→事故が発生してから対応を考える運用になっている場合は評価されません。
取引先・外部委託管理のチェック例
見られる観点
サプライチェーンリスクを意識できているか
チェック例:
- IT業務を委託している取引先を把握しているか
- 委託先に対するセキュリティ要件を定めているか
- 取引先にセキュリティ事故が起きた場合の対応ルールがあるか
- 再委託・クラウド事業者の扱い方針が整理されているか
→自社だけ守れていても不十分で、セキュリティ対策評価制度の核心とも言えます。
教育・周知・改善活動のチェック例
見られる観点
継続的に改善できる組織か
チェック例:
- 定期的なセキュリティ教育を実施しているか
- 新入社員・委託者向け教育があるか
- 評価結果や事故を踏まえた改善活動が行われているか
- 次回評価に向けた見直し計画があるか
→定期的な実施に加え、改善につながっているかも重視されます。
担当者がこれからやるべき準備:セキュリティ対策評価制度導入ステップ
制度対応は、大がかりな投資から始める必要はありません。
まずは次の順で整理することが現実的です。
STEP
01
制度理解・導入目的の整理
この制度が何を目的としているかを正しく理解しましょう。
セキュリティ対策評価制度は、企業の格付けではなく、サプライチェーンにおけるセキュリティ対策状況の可視化が目的です。
また、セキュリティ対策評価制度は、取引先に対し「どのレベルの対策を求めるか(発注者)」「自社がどのレベルに達しているか(受注者)」を共通基準で示す仕組みです。
「誰に」「何のために」★を取得するのかを明確にします。
STEP
02
目標★レベルの決定(★3・★4・★5)
自社が目指す評価段階を決めましょう。
レベル | 位置づけ |
|---|---|
★3 | 全サプライチェーン企業の最低限(基礎) |
★4 | 取引上、標準として期待される水準 |
★5 | 到達点(高度・リスクベース) |
★3 → ★4と段階的に導入することが想定されていますが、上位のレベルはそれ以下のレベルで求められることも含んでいるため、「★3を事前に取得していなければ★4を取得できない」ということはありません。
STEP
03
現状把握・ギャップ分析
選んだ★レベル・スコープに対して、自社の現状を確認しましょう。
制度で示される要求事項を確認し、自社の規程・運用・技術対策・体制などとの差分を洗い出します。
「対策はしているが、記録として残していなかった」などの課題が見えてきます。
STEP
04
改善計画策定
ギャップ分析の結果をもとに、改善計画を作成しましょう。
改善計画には以下の項目などを含めます。
- 何を対応するか
- 優先順位
- 担当部門
- 実施時期
- 外部支援の要否
★3・★4については、中小企業向け支援策「サイバーセキュリティお助け隊サービス」の活用も想定されています。
STEP
05
対策実施・証跡整備
計画に基づき、実際に以下の対策を実施しましょう。
- 規程整備
- 技術対策導入
- 運用手順確立
- 教育・訓練
同時に重要なのが、評価に耐える証跡(文書・記録)を残すことです。
実施している事実だけでなく説明できる・確認できる状態が求められます。
STEP
06
評価の実施
目標★レベルに応じて評価を受けましょう。
- ★3:自己評価+セキュリティ専門家による確認・助言
- ★4・★5:第三者評価機関による評価
★3を取得していなくても★4・★5を取得することも可能ですが、実務的には★3相当の準備は不可欠です。
STEP
07
評価結果の登録・活用
★3・★4を取得した企業は台帳として登録・公開されます。
セキュリティ対策評価制度へ登録されると、さまざまなシーンで活用できます。
- 取引先への説明
- 取引条件での提示
- 社内外への信頼性向上
また、セキュリティチェックシート対応の代替として使われることが想定されています。
STEP
08
更新・継続的改善(PDCA)、取得後のフォローアップ
セキュリティ対策評価制度は一度取得して終わりではありません。
有効期間後の更新、インシデント・環境変化に応じた見直し、★レベル引き上げの検討など、PDCAサイクルを回して継続的に改善することを前提としています。
また、導入後はフォローアップが不可欠です。
評価結果を定期的に見直し、進行状況を測定することで、セキュリティ強化を図りましょう。
特に以下の点に注意しましょう。
- 定期的に実施される評価を通じて、改善策の有効性を測定・レビューする
- スタッフに対するセキュリティ意識向上のための研修を定期的に実施する
- 新たな脅威やテクノロジーの進化に合わせて、評価基準や対策を更新し続ける
よくあるご質問
Q.
セキュリティ対策評価制度への対応は義務ですか?
A.
義務ではありません。
セキュリティ対策評価制度は、法律で義務付けられている制度ではなく任意の制度です。
Q.
ITに詳しくなくても対応できますか?
A.
対応できます。セキュリティ対策評価制度は、ITの専門知識が豊富でない企業でも取り組めるように設計されています。
また、国やIPAによるガイドライン・チェックシート・中小企業向け支援サービス(サイバーセキュリティお助け隊など)が用意されています。
専任のIT担当者がいない企業でも、外部の支援を活用しながら対応可能です。
Q.
取得費用はどれくらいかかりますか?
A.
★3・★4の「申請・登録」そのものに、国へ支払う利用料はありません。
ただし、以下のような点でコストが発生することがあります。
- セキュリティ専門家による確認・助言費用(★3)
- 第三者評価機関による評価費用(★4)
- 不足している対策を補うためのツール導入・運用コスト
- 社内体制整備・文書作成にかかる工数
Q.
取得までにどのくらい時間がかかりますか?
A.
企業の現状によりますが、目安は以下のとおりです。
- ★3:数か月程度(現状の整理、対策の補強、専門家確認を含めた期間)
- ★4:半年~1年程度(組織体制の整備、取引先管理の強化、第三者評価を含む期間)
すでにISMSなどに取り組んでいる企業は短縮できる可能性があります。
一方で、対策がほぼ未着手の場合は★3でもある程度の準備期間が必要です。
Q.
★3や★4は一度取得すればずっと有効ですか?
A.
いいえ。有効期間が定められています。
- ★3:原則1年
- ★4:原則3年
いずれの場合も、年次での見直しや対策状況の確認・更新が前提となります。
「一度取得して終わり」ではなく継続的に運用することが重要です。
Q.
★3と★4は連続して取得しなければなりませんか?
A.
いいえ。連続取得は必須ではありません。
制度上、★3を取得していなくても、★4を取得することは可能です。
ただし、実務上は、多くの企業がまず★3で土台を整え、その後必要に応じて★4を目指すという進め方を取ることが想定されます。
Q.
会社の一部部署・一部システムだけを対象に評価できますか?
A.
原則として、組織全体(IT基盤全体)を対象に評価します。
セキュリティ対策評価制度はISMSのように、特定部署・一部システムだけの限定的なスコープ設定は想定されていません。
実務では、取引に関わるIT基盤・業務で利用している主要なシステムを合理的に含めた範囲を対象とします。
Q.
業務をすべて外注しても問題ありませんか?
A.
手続きや支援を外注することは可能ですが、責任は自社にあります。
専門家やコンサルタントによる現状整理・文書作成支援・評価対応支援を受けることは認められています。
ただし、自社が内容を理解していない、実態と異なる申告をするといった「丸投げ」は想定されていません。
評価制度上の責任主体はあくまで取得する企業自身です。
Q.
セキュリティ対策評価制度を導入するとき、ISMSを取得していれば準備はいりませんか?
A.
いいえ。ISMSを取得していても、追加の確認・調整は必要です。
ISMS(ISO/IEC27001)とセキュリティ対策評価制度は、共通点は多いものの、完全に同一ではありません。
特にセキュリティ対策評価制度では、サプライチェーンリスク・取引先管理・IT基盤への具体的な対策実装状況などがより明確に求められます。
そのため、ISMS取得済み企業は有利なスタート地点にいると言えますが、セキュリティ対策評価制度向けのギャップ確認は必要です。
業界内でも低価格!安心のISMS審査
初めてISMSを取得する企業様も、ISMSをすでに取得されている企業様も、認証を維持しやすい料金で審査を実施。
ISMS取得・ISMS審査機関の切り替えをご検討の際はお気軽にお問い合わせください!
セキュリティ対策評価制度の導入準備を計画的に進めよう
本記事では、セキュリティ対策評価制度の重要性やその導入方法について解説しました。
セキュリティ対策評価制度は、企業が信頼できる存在かを示す新しい物差しです。
自社のセキュリティ対策を見直すことが、リスクを低減させ、企業や組織の信頼性を高めることに繋がります。
評価制度を導入し、定期的にフォローアップを行うことで、持続的なセキュリティの強化を実現できます。
実際の評価を通じて得られた知見を活かし、自社のセキュリティ戦略を見直してみてください。
