セキュリティ対策評価制度やSCS評価制度という言葉を見て、「中小企業にも関係あるのか」「何を準備すればいいのか」と気になっていませんか。
これまでサイバーセキュリティ対策は、大企業やIT企業だけの話だと思われがちでした。しかし、取引先・委託先・外注先を含めたサプライチェーン全体のリスクが重視されるようになり、中小企業・小規模法人・個人事業主にも無関係ではなくなっています。
小さな経営ナビ運営者の井上喬之です。小さな会社では、売上や資金繰り、補助金、AI導入に目が向きやすいですが、取引先から「セキュリティ対策はどうなっていますか」と聞かれる場面が増えると、準備していない会社ほど対応に困ります。
この記事では、セキュリティ対策評価制度とは何か、SCS評価制度の正式名称と評価区分、中小企業・小規模法人・個人事業主に関係する理由、今からできるセキュリティ対策を整理します。
この記事でわかること:
- セキュリティ対策評価制度(SCS評価制度)の基本と最新状況
- ★1〜★5の評価区分とSECURITY ACTIONとの関係
- 取引先から求められる可能性がある理由
- 今から準備すべき基本的なセキュリティ対策
注意点
この記事は、SCS評価制度・セキュリティ対策評価制度に関する公式情報をもとに整理したものです。制度の詳細、評価基準、申請方法、費用、対象範囲などは今後変更・詳細化される可能性があります。正確な情報は必ずIPA・経済産業省などの公式情報をご確認ください。最終的な判断はセキュリティ専門家、IT事業者、認定支援機関などにご相談ください。
セキュリティ対策評価制度(SCS評価制度)とは?
セキュリティ対策評価制度とは、正式には「サプライチェーン強化に向けたセキュリティ対策評価制度」、略称として「SCS評価制度」と呼ばれる制度です。
SCSは Supply Chain Security(サプライチェーンセキュリティ) の略称です。
この制度は、経済産業省および内閣官房国家サイバー統括室が共同で主導し、IPAが運営事務局として機能します。単に自社のパソコンにウイルス対策ソフトを入れているかを見るだけのものではなく、取引先・委託先・外注先などを含めたサプライチェーン全体のセキュリティリスクを意識した制度です。
制度の現状(2026年5月時点)
- 2026年3月27日:経済産業省・内閣官房が「制度構築方針」を正式に確定・公表
- 2026年4月21日:IPA公式サイトが開設
- 2026年4月27日:経済産業省が制度に関する注意喚起を発出
- 2026年度末(2027年3月頃):★3・★4の本格運用開始を目指して準備中
公式情報
IPA「SCS評価制度」公式ページ(2026年4月21日開設)
IPA「SCS評価制度の詳細情報」
経済産業省「SCS評価制度に関する制度構築方針」(2026年3月27日)
SCS評価制度が生まれた背景
SCS評価制度は、サプライチェーンを狙ったサイバー攻撃が深刻化したことを背景に作られた制度です。
IPAが毎年発表する「情報セキュリティ10大脅威 2026」では、「サプライチェーンや委託先を狙った攻撃」が組織編の2位(8年連続ランクイン)となっています。2022年の大手自動車メーカーのサプライチェーン攻撃による生産ライン停止、2024年の大手印刷会社への攻撃による大量個人情報漏えいなど、実害は中小企業を起点に大企業全体に波及する事例が続いています。
一方、従来の対策には以下のような課題がありました。
- 委託元(発注側):取引先のセキュリティ対策が見えにくく、チェックリストの適切さを確認しにくい
- 委託先(受注側):複数の取引先からバラバラな基準のチェックリストを求められ、対応が煩雑
SCS評価制度は、統一された客観的な基準でセキュリティ対策の状況を「見える化」することで、この問題を解決しようとする制度です。
★1〜★5の評価区分:SECURITY ACTIONとの関係も含めて整理する
SCS評価制度では、★1〜★5の5段階でセキュリティ対策の水準を評価します。ここは記事で最も混同されやすいポイントなので、正確に整理します。
| 区分 | 位置づけ | 評価方式 | 対応する仕組み |
|---|---|---|---|
| ★1 | 情報セキュリティ5か条への取組 | 自己宣言 | SECURITY ACTION(一つ星)相当 |
| ★2 | 情報セキュリティ基本方針の策定・公表 | 自己宣言 | SECURITY ACTION(二つ星)相当 |
| ★3 | 一般的なサイバー脅威に対処できる水準 | 専門家確認付き自己評価(83項目) | SCS評価制度の実質的な入口 |
| ★4 | サプライチェーン企業が標準的に目指すべき水準 | 第三者評価機関による審査(157項目) | 重要インフラ・機密データを扱う企業向け |
| ★5 | 到達点として目指すべき高度な水準 | 詳細検討中(ISMS認証等との整合も含む) | 2026年度末以降に具体化予定 |
重要なポイント:★1・★2はIPAの「SECURITY ACTION」と連続した体系になっています。「SECURITY ACTIONとSCS評価制度は別物」ではなく、★1・★2がSECURITY ACTION相当として位置づけられた連続した制度体系です。
取引先から「★3以上を取得してください」と求められる場面が今後増える可能性があります。中小企業が実務上まず目指すべきなのは★3です。
★3の評価方式:取得希望組織が83項目の要求事項に基づいて自己評価を行い、社内外のセキュリティ専門家が内容を確認・署名した上で事務局に提出。最終的に経営層による自己適合宣誓が必要です。
★4の評価方式:認証を受けた評価機関が157項目について審査を実施。有効期限は3年間。取引先企業の管理、システムへの侵入検知、インシデント対応など、より包括的な対策が評価されます。
制度の入口として
セキュリティ対策を何から始めればいいか分からない中小企業・小規模法人・個人事業主は、まずIPAのSECURITY ACTION(★1・★2)から始めることで、SCS評価制度の土台を作ることができます。
IPA「SECURITY ACTION」公式サイト
中小企業にも関係する理由
SCS評価制度は、中小企業にも関係します。
理由は、大企業や元請け企業が、取引先に対してセキュリティ対策の状況を確認する流れが強まる可能性があるからです。制度の仕組みとして、委託元が委託先に適切な★の段階を提示し、対策を促すとともに実施状況を確認することが想定されています。
中小企業・小規模法人で特に影響を受けやすいのは、次のような会社です。
- 大企業や自治体と取引している会社
- メーカー・建設業・物流業の下請け企業
- システム開発やWeb制作を受託している会社
- 顧客情報や機密情報を扱う会社
- 外部からデータやファイルを受け取る会社
- クラウドサービスや業務システムを多く使う会社
個人事業主でも、取引先のデータや顧客情報を扱う場合は無関係ではありません。特に、Web制作、システム開発、士業、コンサル、デザイン、マーケティング、BPO業務などでは、取引先からセキュリティ対策を確認される可能性があります。
取引先から求められる可能性
SCS評価制度が整備されると、取引先からセキュリティ対策について聞かれる場面が増える可能性があります。
たとえば、次のような確認です。
- ウイルス対策ソフトを導入しているか
- OSやソフトウェアを更新しているか
- 重要データのバックアップを取っているか
- パスワード管理をしているか
- 多要素認証を使っているか
- 従業員にセキュリティ教育をしているか
- 情報漏えい時の連絡体制があるか
- 委託先や外注先の管理をしているか
小さな会社では、実際にはやっている対策があっても、文書化されていないことがあります。
たとえば、パソコンの更新はしている、バックアップも取っている、パスワードも管理している。ただし、それを社内ルールとして整理していない。この状態だと、取引先から説明を求められた時に困ります。
説明できる状態が大事
セキュリティ対策は、やっているだけでなく、取引先に説明できる状態にしておくことが重要です。小さな会社でも、最低限のルール化・記録化を進めておきましょう。
中小企業が今からできるセキュリティ対策
2026年度末の本格運用開始に向けて、今から準備を始めておくことが重要です。
「制度が完全に動き出してから考える」では遅い可能性があります。特に★3の取得には、証跡(実施した記録)の整備と専門家確認が必要なため、一朝一夕では対応できません。
まずは難しい専門用語から入るのではなく、自社の現状を確認し、基本的な対策を整えることから始めましょう。
まずは自社の現状を確認する
最初にやるべきことは、自社のセキュリティ対策の現状確認です。いきなり高額なセキュリティサービスや専門ツールを入れる前に、今できていること、できていないことを整理してください。
| 確認項目 | 見るポイント | 小さな会社での注意点 |
|---|---|---|
| 端末管理 | 業務用PC・スマホを把握しているか | 私物端末の利用ルールを決める |
| 更新管理 | OS・ソフトを更新しているか | 古いPCを放置しない |
| ウイルス対策 | 基本的な保護機能を使っているか | 期限切れや未設定に注意 |
| バックアップ | 重要データを復旧できるか | クラウドだけに頼りすぎない |
| パスワード | 使い回しをしていないか | 共有アカウントを減らす |
| 多要素認証 | 重要サービスで設定しているか | メール・会計・クラウドから優先 |
| 社内ルール | 情報の扱い方を決めているか | 口頭ルールだけにしない |
| 証跡の記録 | 対策の実施記録を残しているか | ★3取得には記録が必要 |
中小企業・小規模法人では、専任の情報システム担当者がいないことも多いです。だからこそ、最初は難しい対策ではなく、基本対策を抜け漏れなく行うことが大切です。
SECURITY ACTION(★1・★2)から始める
SCS評価制度で★3以上を目指す前に、★1・★2に相当するIPAの「SECURITY ACTION」を確認・実施しておくことが重要です。
SECURITY ACTIONは、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度で、SCS評価制度の★1・★2と連続した体系になっています。
- 一つ星(★1):情報セキュリティ5か条への取組を自己宣言
- 二つ星(★2):情報セキュリティ基本方針を策定・公開した上で自己宣言
まずSECURITY ACTIONで★1・★2の自己宣言を行っておくことが、SCS評価制度の★3取得に向けた現実的な第一歩です。
サイバーセキュリティお助け隊サービスを確認する
中小企業向けの支援策として、「サイバーセキュリティお助け隊サービス」も確認しておきたい制度です。
経済産業省の発表では、中小企業がSCS評価制度の★3・★4を取得しやすくするため、SCS評価制度に対応した新しいサイバーセキュリティお助け隊サービスの類型を創設する方針も示されています。今後、具体的な支援サービスが整ってくる可能性があります。
専門家に頼る選択肢
社内にIT担当者がいない場合、サイバーセキュリティお助け隊サービスや専門事業者を活用する選択肢もあります。自社だけで抱え込まず、外部の支援も確認しましょう。
★3取得に向けて今から準備できること
SCS評価制度の★3取得には「やっている」だけでなく「証拠として示せる状態」が必要です。中小企業・小規模法人が今からできる準備としては、次のようなものがあります。
- 現在のセキュリティ対策を棚卸しする
- SECURITY ACTION(★1・★2)の自己宣言を行う
- 重要データと利用システムを整理する
- バックアップと復旧手順を文書化する
- 多要素認証を重要サービスに導入する
- 従業員向けのセキュリティルールを文書化する
- 対策の実施記録・証跡を残す習慣を作る
- 取引先から聞かれた時に説明できる資料を用意する
- セキュリティ専門家との相談窓口を確認しておく
★3取得には専門家の確認と署名、経営層の宣誓が必要です。「ルールがない」「記録がない」状態では、専門家確認のステップで詰まります。基本対策の文書化・記録化から始めることが現実的です。
★の条件は公式確認を
SCS評価制度の各★の具体的な要求事項や申請手続きの詳細は、今後の公式情報で継続的に確認してください。
IPA「SCS評価制度の詳細情報」
個人事業主や小規模法人も無関係ではない
セキュリティ対策評価制度は、個人事業主や小規模法人にも関係する可能性があります。
特に、取引先の情報、顧客名簿、見積書、契約書、ログイン情報、社外秘資料などを扱っている場合は注意が必要です。
次のような仕事をしている個人事業主は、取引先からセキュリティ対策を確認される可能性があります。
- Web制作・システム開発・デザイン制作
- 広告運用・マーケティング
- 士業・コンサル
- 営業代行・事務代行・BPO
- EC運営支援
小規模法人でも、従業員数が少ないからといって安全とは限りません。むしろ、少人数だからこそルールが曖昧になりやすいです。
まずは、業務用パソコン、クラウドサービス、メール、会計ソフト、請求書管理、顧客管理のセキュリティを見直しましょう。
補助金・AI導入との違い
補助金やAI導入は、業務効率化やコスト削減につながる攻めの施策です。一方、セキュリティ対策は、情報漏えい、取引停止、信用低下、業務停止を防ぐ守りの施策です。
| テーマ | 目的 | 中小企業での見方 |
|---|---|---|
| 補助金 | 導入費用の負担軽減 | 制度要件と申請順序を確認 |
| AI導入 | 会議・経理・事務作業の効率化 | 使いこなせる業務から始める |
| セキュリティ対策 | 情報漏えい・取引停止・業務停止の防止 | 基本対策と説明できる体制を作る |
AIツールやクラウドサービスを導入するほど、セキュリティ対策も重要になります。デジタル化・AI導入補助金については、以下の記事で整理しています。
デジタル化・AI導入補助金とは?中小企業・個人事業主が申請前に確認すべきこと
AI導入とセキュリティ対策は別物ですが、どちらも小さな会社の経営基盤を整えるために必要なテーマです。
まとめ:セキュリティ対策評価制度
セキュリティ対策評価制度は、正式には「サプライチェーン強化に向けたセキュリティ対策評価制度」、略称としてSCS評価制度(SCS=Supply Chain Security)と呼ばれます。経済産業省・内閣官房国家サイバー統括室が主導し、IPAが運営事務局を担います。
2026年3月27日に制度構築方針が確定・公表されており、2026年度末(2027年3月頃)に★3・★4の本格運用開始を目指して準備が進んでいます。
中小企業・小規模法人・個人事業主にとって重要なのは、今後、取引先からセキュリティ対策の状況(★の取得)を確認される可能性があることです。
今から確認・対応すべきことは、次の通りです。
- SCS評価制度の公式情報を確認する(IPA公式サイト:2026年4月21日開設)
- 自社のセキュリティ対策を棚卸しする
- SECURITY ACTION(★1・★2)の自己宣言を行う
- サイバーセキュリティお助け隊サービスを確認する
- OS更新・バックアップ・多要素認証など基本対策を進める
- 対策の実施記録・証跡を残す習慣を作る
- 取引先に説明できるようにルールや記録を整える
この記事の結論
SCS評価制度の★3・★4本格運用は2026年度末(2027年3月頃)が目標です。中小企業・小規模法人・個人事業主も対象になり得ます。まずはIPAのSECURITY ACTION(★1・★2)から始め、基本対策の文書化・記録化を進め、★3取得に向けた準備を今から進めましょう。
まずはIPAの公式ページでSCS評価制度の最新情報を確認してください。
よくある質問
セキュリティ対策評価制度とは何ですか?
正式には「サプライチェーン強化に向けたセキュリティ対策評価制度」、略称としてSCS評価制度(SCS=Supply Chain Security)と呼ばれます。経済産業省・内閣官房国家サイバー統括室が主導し、IPAが運営する制度で、取引先や委託先を含めたサプライチェーン全体のセキュリティ対策を可視化します。
SCS評価制度の星はいくつありますか?
★1〜★5の5段階です。★1・★2はIPAの「SECURITY ACTION」に相当する自己宣言で、SCS評価制度として★3以上が評価対象です。中小企業が実務上まず目指すべきは★3で、83項目の専門家確認付き自己評価が必要です。
SCS評価制度はいつから始まりますか?
2026年3月27日に制度構築方針が確定済みです。★3・★4の本格運用は2026年度末(2027年3月頃)を目指して準備が進んでいます。
SCS評価制度は中小企業にも関係ありますか?
関係する可能性があります。委託元が委託先にセキュリティ対策の★を提示・確認する仕組みが想定されており、大企業と取引する中小企業・小規模法人・個人事業主も対象になり得ます。
今すぐ★3や★4を取る必要がありますか?
本格運用は2026年度末(2027年3月頃)の予定ですが、★3の取得には証跡の整備と専門家確認が必要なため、早めに基本対策を文書化・記録化しておくことが重要です。まずはSECURITY ACTION(★1・★2)の自己宣言から始めましょう。
個人事業主でもセキュリティ対策は必要ですか?
必要です。取引先のデータ、顧客情報、契約書、ログイン情報などを扱う個人事業主は、情報漏えいや不正アクセスのリスクがあります。Web制作、システム開発、士業、コンサル、BPO業務などでは取引先からセキュリティ対策を確認される可能性があります。
中小企業は何からセキュリティ対策を始めればいいですか?
まずはIPAのSECURITY ACTION(★1・★2)の自己宣言を行い、業務用端末の管理、OS・ソフトの更新、ウイルス対策、バックアップ、パスワード管理、多要素認証、社内ルールの整備から始めるのが現実的です。対策の実施記録を残す習慣も早めに作りましょう。
コメント