経済産業省が2026年10月の運用開始を目指して整備を進めている「SCS評価制度」。取引先からセキュリティ対策の証明を求められる企業が急増しており、情シス担当者の間で問い合わせが増えているテーマです。

「制度の概要は読んだけど、自社は何をすればいいかわからない」「★3と★4のどちらを取ればいいか迷っている」という声をよく聞きます。

この記事では、SIer・情シス支援の現場から、制度の仕組みと具体的な準備手順をわかりやすく解説します。

想定読者

• 取引先・親会社からセキュリティ対策の証明を求められている情シス担当者
• SCS評価制度の★3・★4のどちらを取得すべきか判断に迷っている方
• 2026年10月の運用開始に向けて、社内で何から始めるべきか整理したい方
• 中小・中堅製造業でサプライチェーンセキュリティへの対応を検討している経営層・管理職

1. SCS評価制度とは？30秒でわかる制度概要

SCS評価制度（正式名称：サプライチェーン強化に向けたセキュリティ対策評価制度）は、経済産業省が主導し、IPA（情報処理推進機構）が運営する、企業のサイバーセキュリティ対策レベルを第三者が客観的に評価・認定する制度です。

2026年3月27日に制度構築方針が公表され、2026年10月からの申請受付開始が予定されています。

制度ができた背景

大企業のセキュリティ強化が進む一方で、取引先の中小企業・製造業を踏み台にしたサプライチェーン攻撃が急増しています。しかし従来は「セキュリティチェックシート」の内容が企業ごとにバラバラで、受け取る側も送る側も大きな負担を抱えていました。

SCS評価制度はこの問題を解決するため、セキュリティ対策のレベルを統一基準で「見える化」する仕組みです。取得した星の数が、そのままセキュリティレベルの証明書になります。

2. なぜ今「サプライチェーンセキュリティ」が求められるのか

攻撃者は「弱いところ」を狙う

大企業は多大なコストをかけてセキュリティを強化しています。そのため攻撃者は大企業を直接狙うのではなく、セキュリティが手薄な取引先（中小企業・製造業）を踏み台にして、そこから大企業のシステムへ侵入する手口を多用するようになりました。これが「サプライチェーン攻撃」です。

代表的な被害事例として、製造業の部品サプライヤーへのランサムウェア攻撃が大手自動車メーカーの工場停止につながったケースが国内でも発生しています。

取引条件にセキュリティ証明が求められ始めている

2026年現在、大手メーカー・金融機関・官公庁などの発注企業が、取引先に対してセキュリティ対策の証明を条件とするケースが急増しています。SCS評価制度が整備されることで、今後は「★3以上を取得していること」が取引条件になるケースが増えると予想されます。

3. ★1〜★5の評価レベル一覧：自社はどこを目指すべきか

SCS評価制度は★1〜★5の5段階で構成されています。

★1・★2はIPAが既に運営している「SECURITY ACTION」の一つ星・二つ星と対応しており、自己宣言のみで取得できます。

2026年10月の運用開始時は★3・★4のみが対象です。

どのレベルを目指すべきか

• まず★3を取得する：すべての取引企業の最低ライン。証跡整備が必要だが、自己評価で完結する。
• ★4が必要なケース：親会社・大手発注者から★4以上を明示的に求められる場合。第三者審査が必要。

迷っている場合は★3から始め、取引先の要求水準に合わせて★4取得を検討するのが現実的です。

4. ★3と★4の違いを徹底比較

評価方法の違い

★3は「自己評価＋専門家助言」で完結します。認定評価機関への申請は不要で、自社で評価シートを記入し、専門家のレビューを受けて提出します。

★4は「認定評価機関による第三者審査」が必要です。Pマーク・ISO27001と同様に、外部の審査機関が自社の対策状況を現地・書面で確認します。

要件の違い

★3と★4はカバーする要件の範囲が異なります。

★3の合否を分けるのは「記録・証跡の整備」です。対策を実施していても記録がなければ評価されません。

費用の違い

★3は公的審査費用はかかりません（専門家助言費用が別途発生する場合あり）。

★4はPマーク・ISO27001と同程度の費用感が想定されています。審査機関・企業規模によって変動しますが、数十万〜百数十万円の範囲が目安になると見られています（制度開始後に各機関が公表予定）。

有効期間の違い

★3は1年間が有効期限で、毎年更新が必要です。
★4は3年間有効ですが、毎年自己評価の結果を評価機関に提出する義務があります。

5. 対象企業：自社は申請が必要？

SCS評価制度は義務ではありません。ただし以下に該当する企業は早急な対応を推奨します。

• 製造業・部品メーカー：完成品メーカーのサプライチェーンに組み込まれている
• ITベンダー・SIer：大企業・官公庁にシステム開発・保守を提供している
• 物流・流通：大手小売・メーカーと取引がある
• 金融・保険の取引先：金融機関からセキュリティ証明を求められている

中小企業であっても、大手企業のサプライチェーンに入っている場合は事実上の対応必須と考えたほうが安全です。

6. 2026年10月まで情シスがやること：4ステップ準備ロードマップ

運用開始まで約4ヶ月（2026年6月時点）。以下の順で進めるのが現実的です。

STEP 1：現状のギャップを把握する（〜7月）

★3の評価分野に沿って、現状の対策状況と証跡の有無を洗い出します。対策は実施していても「記録がない」ケースが多く、ここがまず最大のボトルネックになります。

確認すべき主な項目：

• IT機器・ソフトウェアの台帳は整備されているか
• パッチ適用の記録（いつ・何を・誰が）はあるか
• バックアップの復旧テストを実施し、記録はあるか
• 情報セキュリティ教育を年1回以上実施し、記録はあるか
• インシデント発生時の対応手順書は存在するか

STEP 2：証跡整備・不足対策の実施（〜8月）

STEP 1のギャップに基づいて不足している証跡を整備し、未実施の対策を実施します。

証跡整備で優先すべき項目：

1. パッチ適用記録シートの作成・運用開始
2. バックアップ復旧テストの実施と記録
3. セキュリティ教育の実施と受講記録

STEP 3：自己評価シートの記入・専門家レビュー（〜9月）

IPA・認定機関が提供する自己評価シートに沿って現状を記入します。★3は自己評価で完結しますが、記載内容の妥当性確認のため専門家（SIerや認定コンサル）のレビューを受けることを推奨します。

STEP 4：申請・認定取得（2026年10月〜）

運用開始後に申請窓口が設けられ次第、自己評価の結果を提出して認定を受けます。

よくある質問

Q. SCS評価制度への対応は義務ですか？

現時点では義務ではありません。ただし、取引先から★3以上の取得を条件とされるケースが増えており、事実上の対応必須に近い状況です。特に製造業・IT業界では早急な検討をおすすめします。

Q. ★1・★2（SECURITY ACTION）は取得済みです。★3との違いは何ですか？

★1・★2は自己宣言のみで取得できる入門レベルです。★3は実際に対策を実施し、証跡を整備したうえで自己評価を行うため、実効性の水準が大きく異なります。★3以上を求める取引先には★1・★2では不十分です。

Q. ★3取得にどのくらいの期間と費用がかかりますか？

準備期間は現状のセキュリティ対策レベルによって異なりますが、証跡整備が未整備の場合は3〜6ヶ月程度が目安です。費用は制度上の審査費用は原則かかりませんが、専門家支援（ギャップ分析・証跡整備支援）を依頼する場合は別途費用が発生します。

Q. 中小企業でもIT担当者1人で対応できますか？

★3であれば、専門家の支援を借りながら対応できるケースがほとんどです。自社のリソースが限られている場合は、SIer・ITコンサルへの支援依頼が現実的な選択肢になります。

まとめ

• SCS評価制度は2026年10月運用開始予定の経産省主導のセキュリティ認定制度
• 対象は製造業・ITベンダー等サプライチェーンに組み込まれているすべての企業
• まず★3（自己評価）を取得し、取引先の要求に応じて★4（第三者審査）を検討
• ★3の合否を分けるのは「対策の実施」ではなく「証跡の整備」
• 今すぐSTEP 1（ギャップ把握）から着手し、10月の申請開始に備える

SCS評価制度への対応は、対策の「見える化」と「記録化」が出発点です。何から手をつけるべきか迷っている場合は、ぜひc3indexにご相談ください。現状のセキュリティ対策レベルの診断から、★3取得に向けた証跡整備支援まで、情シスの立場で伴走します。