制度の目的と背景:なぜ今、この制度が必要なのか
2026年3月27日、経済産業省及び内閣官房国家サイバー統括室は「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築方針を正式に公表しました。
参考
経済産業書「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました
https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
近年、サイバー攻撃の手法は巧妙化しており、セキュリティの強固な大企業を直接狙うのではなく、その取引先である中小企業を「踏み台」にして侵入するサプライチェーン攻撃が急増しています。現在、多くの現場では「取引先のセキュリティが大丈夫か」を確認するために各社が独自の質問票を送付していますが、これが双方にとって大きな負担となっています。委託元は「回答の信憑性が判断しにくい」と悩み、委託先は「取引先ごとに異なる膨大な書類対応に追われる」という、非効率な負の連鎖が生じているのが現状です。
この課題を解決するため、国は「共通の物差し」として本制度を導入し、セキュリティ対策を可視化(見える化)することで、サプライチェーン全体の防御力を底上げしようとしています。
制度の仕組みと対象:★3・★4・★5で分かれる評価基準
本制度の最大の特徴は、企業の役割や扱う情報の重要度に応じて、対策レベルを★(スター)の数で段階的に設定している点です。
まず、サプライチェーンを構成する多くの企業が目指すべき標準として「★3」が設定されます。さらに、より高度な機密情報を扱う企業向けには「★4」、そして最上位の信頼性が求められる特定分野向けに「★5」(今後詳細検討)という区分が設けられます。
評価の厳格さも段階に連動しており、★3は「専門家による適合性確認」を条件とした自己評価が中心ですが、★4以上になると「第三者評価機関による厳格な審査」が必要となります。対象となるのは、業務で利用するPC、サーバ、クラウドサービスといったIT基盤であり、まずはビジネスの土台となる部分の守りを固めることが求められています。
中小企業への支援策:具体的に何をチェックし、どう助けるのか
具体的な評価項目は、単に「ウイルス対策ソフトを入れているか」だけでなく、「多要素認証(パスワード以外の認証)の導入」や「インシデント発生時の報告体制」など、実戦的な運用体制が重視されます。
これらの中小企業の負担を軽減するため、政府は二つの大きな支援策を用意しています。一つは、★3・★4の取得に必要なツールと監視をセットにした低コストなパッケージ「サイバーセキュリティお助け隊サービス(新類型)」の提供です。これにより、ITの専門家がいない企業でも制度に対応しやすくなります。
もう一つは費用の問題です。セキュリティ対策費用を適切に価格転嫁できるよう、公正取引委員会とも連携し、「対策コストを下請けに押し付けない」ための取引慣行の整備を進めています。
今後のスケジュール:導入までのタイムライン
本制度は、★3及び★4について2026年度末頃(2027年3月頃)の申請受付開始・制度運用を目指して準備が進んでいます。
直近の動きとしては、2026年秋頃に要求事項・評価基準を満たす具体的な装例(設定・製品例)をまとめた「評価ガイド」が公表予定です。その後、2026年度末から★3・★4の申請受付が正式にスタートする計画です。
今後は、大手企業の入札条件や契約要件に★取得が必須化される可能性が高く、業界事例(金融・製造等)でも準備が加速しています。2027年運用を見据え、自社の現状が★3基準(多要素認証、バックアップ・復旧体制、インシデント報告など)をどの程度満たすか、今から少しずつ確認を始めておくことが推奨されます。
引用元
経済産業書「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました
https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
著者紹介
