【SCS評価制度解説 第1回】SCS評価制度とは。2026年度末頃開始予定の新制度を徹底解説
投稿者:セキュリティ&ネットワーク事業本部 セキュリティ担当 若林
こんにちは。セキュリティ担当の若林です。
昨今、企業へのサイバー攻撃に関するニュースを目にすることが増えています。
自社の対策は万全でも、対策が手薄な取引先を経由して侵入される「サプライチェーン攻撃」の脅威がかつてないほど高まっています。
こうした事態を受け、国が主導する新たなセキュリティの共通基準「SCS評価制度」が2026年度末頃に本格運用を開始することをご存知でしょうか。
今後、BtoB取引においては、この評価制度への対応が、取引先選定の判断基準となる可能性があります。
運用開始まで、一年を切っており、早めに準備を開始することが重要です。
このSCS評価制度について複数回に分けてわかりやすく紐解いていきます。
目次
1.SCS評価制度の正体
SCS評価制度の正体は、企業の対策状況を星(★)の数で可視化する「共通のモノサシ」です。(2026年度末頃から本格運用予定)
米国国立標準技術研究所が策定した、サイバーセキュリティリスクを管理・低減するための国際的なガイドラインである「NIST CSF 2.0」をベースとしており、特に「自社の委託先をどのように管理しているか」といった取引先管理の観点が、これまで以上に重視されています。中でも、企業がすぐに対応を迫られる中核レベルが『★3』と『★4』です。
|
項目 |
★3 Basic (最低限実装すべきレベル) |
★4 Standard (重要サプライヤー向け) |
| 位置づけ・目的 |
広く認知された一般的な攻撃を防ぐための最低限の対策。 |
標的型攻撃やサプライチェーンの弱点を突く攻撃への防御・検知・復旧。 |
| 評価手法・有効期限 |
専門家確認付き自己評価 有効期限:1年 (毎年の更新が必要) 有資格者による確認・助言・署名が必要 |
第三者評価 (審査) (ただし年次で自己評価を実施) |
|
技術検証 (脆弱性診断等) |
なし 書類上の確認が主となる。 |
あり (必須) |
| 要求項目数 |
83項目 (MFA、パッチ適用、マルウェア対策ソフトの導入、パスワード設定 等) |
157項目 (サプライチェーン管理、経営層への定期的な報告体制、異常の早期検知、復旧手順の整備 等) |
既存の取り組み(ISMS・自工会ガイドライン)との違い
すでにセキュリティ対策に取り組まれている企業にとって、既存基準との違いを理解することは重要です。
・ISMSとの違い:
ISMSは「管理の仕組み、ルールを評価するのに対し、SCS評価制度は「具体的な技術の実装」を評価します。ISMSを取得していても、多要素認証の導入や14日以内のパッチ適用といった技術的な穴が塞がっていなければ、SCS評価制度では不適合となります。
・自工会ガイドラインとの関係:
本制度はこれをベンチマークとしており、「★3」は自工会Lv1に、「★4」はLv2およびLv3の一部にそれぞれ相当しています。
つまり、ISMSで強固な運用体制を作り、SCS評価制度で具体的な技術の穴を塞ぐというアプローチが求められます。
★3と★4、どちらを目指すべきか
発注元がどちらを求めてくるかの判断基準は、大きく分けて「事業継続リスク」と「情報管理リスク」の2点にあります。
1.事業継続リスク
皆様の会社がサイバー攻撃でシステム停止した場合、発注元がどれだけ困るかという視点です。
供給が止まることで発注元の業務に許容できない遅延が生じたり、同業他社での代替が困難であったりする場合は、リスクが高いと判断されます。
2.情報管理リスク
発注元の重要な機密情報を預かっていたり、発注元のネットワークへアクセスできる権限を持っていたりする場合に該当します。
いずれかのリスクが高いと判断されると、より厳格な「★4」への準拠が求められる可能性が高いと言えます。逆に、代替が容易で機密情報を扱わないなどの場合は「★3」が目安となります。
発注元から要請が来る前に、まずは自社の立ち位置を把握しておくことが重要です。
星を獲得するための具体的なプロセス
・【★3のプロセス】
自社で対策状況の「自己評価」を実施したのち、所定の資格を持つ「セキュリティ専門家」の客観的な確認とお墨付きを得てから、登録機関へ申請します。(有効期間は1年)
・【★4のプロセス】
自己評価ののち、指定された「第三者評価機関」へ審査を依頼します。
書類確認だけでなく、ヒアリング等の『実地審査』や、実際のシステムに対する『技術検証』という厳しい審査に合格して、初めて星が取得できます。(有効期間は3年)
2.SCS評価制度の背景
SCS評価制度の運用開始の背景には、「サプライチェーン攻撃の激化」があります。
サプライチェーン攻撃とは、セキュリティが強固な大企業を正面から狙うのではなく、対策が比較的手薄な中小の取引先や委託先を探し出し、そこを裏口として利用し目的の対象へ侵入する手口のことです。
IPAが発表している「情報セキュリティ10大脅威」でも常に上位にランクインしており、実際に国内でも取引先を踏み台にした深刻な被害が相次いでいます。
|
順位 |
「組織」向け脅威 |
初選出年 |
10大脅威での取り扱い(2016年以降) |
| 1 | ランサムウェア攻撃による攻撃 | 2016年 | 11年連続11回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 |
出典:IPA「情報セキュリティ10大脅威 2026 [組織]」
・事例1:大手飲料メーカー
VPN機器の脆弱性を突かれてネットワークに侵入され、ランサムウェアに感染。
生産・物流システムが広範囲にわたって停止し、複数の取引先への商品供給が滞る事態に発展しました。
・事例2:サービス業
自社のセキュリティレベルは高かったにもかかわらず、再委託先の管理ツールの脆弱性を突かれ、そこを裏口として大切な顧客情報が流出する事故が起きました。
最新の調査では、日本企業の約4割が「多要素認証の未導入」や「パッチ適用の遅れ」といった重大な脆弱性を抱えていることが判明しています。
さらに、従来の各社ごとに異なる「チェックシート対応」では、受注側の負担が大きく、実効性にも限界があります。
そこで、国が主導して要求レベルを統一する「共通のモノサシ」として、本制度が誕生しました。
3.おわりに
第1回では、SCS評価制度の正体とその背景について解説しました。
自社のビジネスを守り、取引先からの信頼を確保し続けるためにも、今のうちから制度の概要を理解し、準備を進めておくことが重要です。
次回は、「結局、何をしなければならないの? 」という疑問にお応えすべく、157項目分類別の要求事項の解説をはじめ、NI+Cが提供するソリューションについてご紹介します。
SCS評価制度への対応に向けた現状把握や、今後の準備についてお困りの際は、以下のリンクからお気軽にお問い合わせください。
※本制度はあくまで対策レベルを証明し合うための制度であり、企業を優劣で格付けするものではありません。また、本制度の★取得は任意となります。
SCS評価制度と取り組むべき対策について詳しく知りたい方はこちらもおすすめです。
