こんにちは、ITC京都の高橋です。 皆さんは「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」という言葉を耳にしたことがありますでしょうか?本制度は、2026年度末(2027年2〜3月頃)の本格運用開始に向けて現在準備が進められている、企業向けの新しいセキュリティ評価の仕組みです。
今回は、このSCS評価制度が「なぜ作られたのか(制定の経緯)」、「どのような制度なのか(概要)」、「中小企業として今からどう対応していくべきか」に加えて、私が中小企業の現場でご相談を受ける中で最も頻繁に直面する論点である 「経営者と現場のセキュリティ対策に対する考え方のギャップ」 について、解説いたします。
なぜSCS評価制度が制定されたのか?(背景と経緯)
近年、サイバー攻撃の手口は巧妙化しており、セキュリティ対策が強固な大企業を直接狙うのではなく、サプライチェーン(供給網)の中で対策が手薄になりがちな中小企業や委託先を最初のターゲットとする「サプライチェーン攻撃」が常態化しています。
これまで、大企業などの発注側は、取引先のセキュリティ対策を確認するために独自のアンケートやチェックリストを送付していました。その結果、受注側である中小企業は「取引先ごとに異なる基準や形式の調査」に毎回対応しなければならず、膨大な手間とコストがかかるという実務上の大きな課題(痛点)を抱えていました。
そこで経済産業省と内閣官房国家サイバー統括室は、過剰な要求や重複した確認作業を減らし、サプライチェーン全体のセキュリティ水準を底上げするために、企業間で共通して使える「ものさし」としてSCS評価制度を構築することになりました。
SCS評価制度の概要(★1〜★5の5段階評価)
SCS評価制度の最大の特徴は、企業のセキュリティ対策の状況を「星(★)」の数で可視化する点です。企業の成熟度やリスクの大きさに応じて、以下の5つのレベルに分類されます。
・★1(一つ星)・★2(二つ星):中小企業が自発的に対策を始めるためのエントリーレベル。すでにIPAが運営している自己宣言制度「SECURITY ACTION」がこれに該当します。
・★3(三つ星):サプライチェーンに参加する企業が備えるべき「最低限のベースライン」。一般的なサイバー脅威を防ぐための26の要求事項が設定されています。自社での評価に加えて、登録セキスペなどの「セキュリティ専門家」による確認と助言を受け、最終的に経営層が自己適合宣言を行うことで取得できます(有効期間は1年)。
・★4(四つ星)・★5(五つ星):事業継続や機密情報の保護に直結する重要取引先向けの水準。より厳格な要求事項に加え、第三者機関による実地審査や技術検証が求められます。
本制度の★3および★4の登録申請受付は、2026年度末(2027年2〜3月頃)に開始される予定です。
経営者と現場でなぜ「温度差」が生まれるのか
ここで、本制度の話を一旦少し離れて、私が現場で必ずと言っていいほど目にする光景についてお話しさせてください。
セキュリティ対策の検討が始まると、現場のIT担当者や情シス・ベンダーからは、「EDRも、SIEMも、MDMも、メールフィルタの強化も、社員教育の外注も、できることは全部やるべきです」という声が上がります。日々マルウェア検知のアラートや不審メールに対峙している現場の感覚としては、これは至極まっとうな進言です。守る側は「漏れがないこと」を是とする発想で動きますから、対策の数は多ければ多いほど安心になります。
一方、経営者の視点に立つと景色は一変します。経営者は、限られたキャッシュフローと人員の中で、設備投資、人件費、研究開発、販路拡大、そしてセキュリティ対策といった競合する投資先の優先順位を判断しなければなりません。「全部やる」は、経営者にとっては「投資判断を放棄する」ことと同じ意味になります。100点満点の対策に1,000万円を投じるよりも、80点の対策を300万円で実現し、残りを本業の成長投資に回した方が会社全体の存続確率が上がる──そうした冷静なポートフォリオ思考が、経営判断には不可欠です。
私はこの溝を埋めるために、現場の方には「経営者は対策を渋っているわけではなく、限られた経営資源を最大効果で配分するために優先度を付けている」という構造を理解していただきたいとお伝えしています。逆に経営者には「現場は脅威の臨場感を持っており、その声は事業継続のセンサーである」と受け止めていただくようお願いしています。
そして、両者の言語をつなぐ共通言語こそが、今回のSCS評価制度のような 「客観的なものさし」 です。「★3の26項目のうち、現状15項目はクリアしている。残り11項目のうち、優先度の高い5項目に今期200万円を投じる」──このように数字と項目で語れるようになると、現場の納得感と経営者の判断軸が一致しやすくなります。SCS評価制度は、単なる認証制度ではなく、社内の合意形成ツールとしても極めて有効に機能するのです。
中小企業が今から取るべき3つの対応
「本格的な開始は来年なら、まだ何もしなくていいか」と考えるのは危険です。SCS評価制度の実装は「認証取得」そのものよりも、日々のIT運用や社内規程の整備といった準備に時間がかかります。中小企業は、以下のステップで今から準備を進めましょう。
1. まずは「SECURITY ACTION(★1・★2)」を取得する
SCS制度の入り口となる「SECURITY ACTION」は無料で即時ID発行が可能です。まずは「情報セキュリティ6か条」への取り組み宣言(★1)や、情報セキュリティ基本方針の策定・公開(★2)を通じて、組織の足場を固めましょう。なお、2026年3月の改訂で従来の5か条に「バックアップを取ろう!」が追加され、6か条に拡充されています。
2. ガイドラインを活用して「★3」の証跡(記録)を集め始める
制度開始を待つのではなく、改訂された「中小企業の情報セキュリティ対策ガイドライン第4.0版」(2026年3月公開)や既存の規程のひな形を活用し、★3で求められる26要求事項に自社が対応できているかギャップ分析を行い、証跡を先に整理していくことが実務的です。
3. 国の支援策(サイバーセキュリティお助け隊など)を活用する
★3の取得には「専門家の確認」が必要になるため、費用や人材不足に不安を感じる方も多いと思います。国もその課題を認識しており、安価で簡便に取得支援を受けられるよう「サイバーセキュリティお助け隊サービス」にSCS対応の新類型を創設する実証事業などを進めています。こうした支援制度を積極的に活用してコストを抑えましょう。
まとめ
セキュリティ対策はもはや単なる「コスト」ではなく、新規取引を獲得し、企業の信頼を証明するための「ブランド」や「必須のインフラ」へと変わってきています。
そして、社内における経営者と現場の温度差を埋めるためには、「客観的なものさし」を共通言語にすることが何より重要です。SCS評価制度は、まさにその役割を担うフレームワークになり得ます。
この機会に今から少しずつ自社のセキュリティ体制を見直していきましょう。自社の現状把握や具体的な準備についてお悩みの方は、ぜひITC京都までお気軽にご相談ください!
