「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の具体化と今後の展開について

はじめに：サプライチェーンにおけるサイバーセキュリティ確保の必要性と課題

ビジネス環境が急速にデジタル化する中、サプライチェーンにおけるセキュリティ対策の重要性が増しています。こうした中、2024年7月、経済産業省の産業サイバーセキュリティ研究会に「サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ」が設置され、サプライチェーン企業のセキュリティ対策状況の評価に向けた新たな制度の検討が進められてきました。本稿では2025年12月に公表された「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」を基に、制度のポイントと運用開始に備えて企業が実施すべき事項について解説します。

制度のポイント

本制度については2025年4月に「中間とりまとめ」が公表されています。本稿では中間とりまとめから大きく具体化された以下の4点について、ポイントを解説します。

1. ★3・★4の要求事項、評価基準
2. ★取得のための評価方法
3. 制度の対象となる評価範囲
4. 中小企業支援策、取引でのセキュリティ対策要請の留意点

1．★3・★4の要求事項、評価基準

SCS制度では、企業のセキュリティ対策レベルを「★3～★5」の3段階で示すとされており、★3、★4について2025年4月の中間とりまとめ時に要求事項・評価基準の案が示されていました。その後実施された実証事業の結果を踏まえ、★3・★4の要求事項・評価基準の内容が改定されています。主な改定内容は以下の3点です。

① 要求事項・評価基準の内容見直し

実証を踏まえ、過大であると考えられる要求事項・評価基準については評価基準の一部緩和や代替策の追加が行われています。一方で、サイバーインシデント発生時の復旧対策については★3の段階から必須に変更されました（中間とりまとめ案では★4のみ必須）。これは実証に参加した企業から「サイバー攻撃を受けた経験から、インシデント発生を念頭に代替手段確保など業務継続のための対策を用意することが重要」といった意見が出たため追加されたと説明されています。

② NIST サイバーセキュリティフレームワーク（CSF）との紐付け

★3・★4の要求事項・評価基準について、米国国立標準技術研究所（NIST）が策定しているサイバーセキュリティフレームワーク（CSF）との紐付けが明確になりました。具体的には、CSFの6つの分類（「ガバナンスの整備」「リスクの特定」「攻撃等の防御」「攻撃等の検知」「インシデントへの対応」「インシデントからの普及」）に、「取引先管理」に関する分類を加えた7分類に関して、★3、★4のレベルごとに達成すべきセキュリティ対策が定められた構成になっています（図表1）。

③ 合格基準の明示

★3・★4ともに、★を取得するためには原則として全ての評価基準への適合を求められる旨が今回明記されました。どこまでの対策を実施していれば適合と評価できるのかといった具体的事項や手法については、★取得を希望する組織向けにガイダンス資料を今後策定するとされています。

図表1：★3・★4の要求事項と評価基準

^{「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（経済産業省）を基にPwC作成}

なお、★5についての要求事項、評価基準案は2026年1月現在公開されていません。★5の対策基準や評価スキームなどの内容は、2026年度以降検討する予定とされています。

2．★取得のための評価方法

★3評価取得対応の流れ

★3を取得する場合は、対策状況評価シートの記入、セキュリティ専門家による確認・助言、経営層による適合宣言、登録機関への評価結果提出の4つの対応が必要となります。各対応の詳細は図表2のとおりです。

図表2：★3評価取得対応の流れ

^{「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（経済産業省）を基にPwC作成}

Step.1 対策状況評価シートの記入

評価取得を希望する組織は、★3要求事項に基づき自己評価を実施し、評価シートに記入（必要に応じて社内外のセキュリティ専門家からの支援を得ることも可能）します。

Step.2 セキュリティ専門家による確認・助言

社内外のセキュリティ専門家は、取得希望組織が記入した内容を確認するとともに、必要に応じて評価結果の修正を含む助言を行い、最終的に制度事務局へ提出する内容に関して了承する旨の署名をします。

Step.3 経営層による適合宣言

経営層による自己適合宣誓書を作成し、評価結果に加えます。

Step.4 登録機関への評価結果提出

登録機関（制度事務局）に対して評価結果を提出します。登録機関は、申請内容に問題が認められない場合には台帳に登録し、必要に応じて公開することとされています。

★4評価取得対応の流れ

★4を取得する場合は、対策状況評価シートの記入、指定第三者機関への審査依頼・評価実施の2つの対応が必要となります（図表3）。これは、★4の評価では対策状況評価シートの内容確認に加えて、取得希望企業へのヒアリングや画面確認等を通じた「実地審査」、取得希望組織のIT基盤を構成する機器等を対象とした「技術検証」が発生することを意味します。特に、技術検証においてインターネットに公開しているリスクの大きい資産に対する脆弱性検査、またはそれに相当する検証の証跡確認が求められるなど、詳細にセキュリティレベルが調査される点に注意が必要です。

図表3：★4評価取得対応の流れ

^{「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（経済産業省）を基にPwC作成}

Step.1 対策状況評価シートの記入

★4評価取得を希望する組織は、★4要求事項・評価基準に基づき自己評価を実施します。

Step.2 評価機関への評価依頼・登録機関への評価結果提出

次に、評価機関として指定された組織に対して評価を依頼します。評価は文書確認（1～2日）、実地審査（1～2日）、技術検証（1～2日）の3つに分かれています。なおこれらの日数は目安であり、事前準備や報告書作成といった日数は含まれていない点はご留意ください。

評価結果は、評価機関から登録機関へ伝えられ、登録機関は、「合格」とされた組織を台帳に登録し、必要に応じて公開することとされています。

★3評価取得対応と★4評価取得対応の違い

★3と★4それぞれの評価取得に向けた対応ですが、主に評価機関による評価の要否、評価の有効期限、評価の維持に係る対応の3点で異なっています（図表4）。

図表4：★3評価取得対応と★4評価取得対応の違い

^{「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（経済産業省）を基にPwC作成}

★3と★4のどちらを取得するべきかについては、前回の記事（「サプライチェーン強化に向けたセキュリティ対策評価制度」の概要と企業に求められること）をご確認ください。

3．制度の適用範囲

評価対象となるIT基盤の範囲や★を取得する企業の単位についても、中間とりまとめ時点から具体化が見られました（図表5）。評価対象に含まれるもの、含めないもの、例外的に含めないことが許容されるもの、の3つの類型で考え方が示されています。

図表5：評価対象となるIT基盤の考え方

^{「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（経済産業省）を基にPwC作成}

評価対象に含まれるもの

① 「IT基盤」として適用範囲に必ず含めるものを明示

IT基盤とは「特定の業務領域によらず全体の業務に共通するIT基盤を構成するサーバ群（後述の評価対象に含めないものを除く）」と定義されています。サーバ群にはインターネット公開サーバ（Webサーバ、メールサーバ等）や認証基盤を含むと明記されており、これらのサーバを多く保有する場合、グルーピングして管理するなど評価を受けやすい管理方法の検討が重要になります。

② エンドポイント機器が「IT基盤」に含まれることを明示

エンドポイント機器として「パソコン、スマートデバイス等、人が使用するインターフェースを持つもの」がIT基盤の適用範囲に含むものと明示されました。これにより、エンドポイント機器の存在とその管理状況を網羅的に把握することが★取得の前提となったと考えられ、企業におけるIT資産管理体制の構築が必須となったと読み取れます。

③ クラウドサービス等の責任共有モデルに基づく対策状況の確認

IT基盤には、クラウドサービスや親会社の提供するグループ共通のネットワークなど、他社との間でセキュリティ対策に係る責任を共有するものも含まれることが明示されました。ただしこれらのサービスは通常★取得希望企業のみでセキュリティ対策を管理できるものではないため、責任共有モデル（注）の考え方に基づき、自社における対策実装又はサービス提供者等における対策状況の確認等を行う必要があるとされています。対策状況の確認の例としては、ISMAP（政府情報システムのためのセキュリティ評価制度）登録の有無やSOC2（System and Organization Controls 2）レポートの確認等が挙げられており、クラウドサービス事業者はこれまで以上にISMAPやSOC2レポート等によるセキュリティ対策状況の透明性向上および説明責任が求められることとなります。

（注）責任共有モデルとは、サービスを提供する事業者とサービス利用者の間で、サービスのセキュリティに関する責任を共有しあうための考え方を指す。

評価対象に含めないもの

OTシステム、発注元に提供する製品等

IT基盤から除外されるものとして、「製造環境等の制御（OT）システム」「発注元に提供する製品等、自社のIT基盤に係るネットワークに接続していない機器」の2つの類型が示されています。これらは一般的にIT基盤に該当せず、セキュリティ対策についても別途のアプローチを要するところなので、制度の対象外とされていると考えられます。

例外的に含めないことが許容されるもの

原則として適用範囲に含めるが、例外的に適用範囲に含めないことが許容され得るものを明示

本制度の要求事項を満たすことが困難なIT機器やソフトウェア（例：サポート期限切れのソフトウェア等）については、例外的に適用範囲に含めないことが許容され得るものとして明示されました。ただし、本事由により適用範囲から除外する場合は、具体的に除外理由を明記し、セキュリティ専門家（★3）又は評価機関（★4）が妥当性を評価することとされています。一方で、妥当性を理由として本制度の実効性が棄損されることを防ぐためにも、今後策定されるガイドライン等での具体化が重要となるでしょう。

その他

★を取得する際の企業の単位は、企業の状況に応じて柔軟に定めることができると明示

企業は、個社／国内又は海外を含む企業グループ／事業部等といった形で、★の取得範囲を柔軟に定めることができると明示されました。併せて、評価対象のIT基盤に接続する組織ではあるが、評価範囲には含めない判断ができる場合として、「ネットワーク機器等（例：VLANやファイアウォール）により適用範囲との境界を技術的に分離すること」が明示されています。

例えば、企業グループ単位で★取得を目指したいが海外拠点の対策にばらつきがある場合は、国内拠点と海外事業所との間の通信をネットワーク機器等により必要最小限にすることで、企業グループ単位での★取得（ただし海外グループ会社・海外拠点は除く）といった評価取得を進めることが可能です。また、同じ社内でも事業部門によって対策レベルが異なる場合、ネットワーク境界を技術的に分離できるものについては適用範囲に含めないという選択肢も検討できるでしょう。

4．中小企業支援策、取引でのセキュリティ対策要請の留意点

サプライチェーンの多くは中小企業で構成されています。中小企業がこの制度に対応するための支援策として、新たな「サイバーセキュリティお助け隊サービス」や、企業間取引においてセキュリティ対策を要請する際の関係法令の整理が公表されました。

①新たな「サイバーセキュリティお助け隊サービス」

「サイバーセキュリティお助け隊サービス」とは、セキュリティ対策について何から着手すべきかわからない、コストをかけられないといった悩みをかかえる中小企業への支援策として、国が民間事業者のサービスを認定する仕組みです。今回、中小企業が★3や★4を安価かつ簡便に取得できるよう、「サイバーセキュリティお助け隊サービス」の新類型が導入されることが明らかになりました。具体的なサービス開始は2026年度末ごろになると見込まれます。サプライチェーンを構成する中小企業に対して★3や★4の取得を通じたセキュリティ強化の検討を促す際には、こういった公的支援の枠組みの活用が重要となります。

②企業間取引においてセキュリティ対策を要請する際の関係法令の整理

今後の企業間取引では、★3や★4の取得によるセキュリティ対策の強化や実施が取引の条件となっていくことが考えられます。その際の取引先との調整・交渉において参考になる事例及び解説が、今回の制度構築方針案に併せて公表されました。

これによると、発注者が取引先にセキュリティ対策の要請を行う際には、双方がパートナーシップを構築し、必要なセキュリティ対策の内容や価格交渉を実施、円滑に合意するに至ることがポイントとなります（図表6）。また、再委託先に対してもセキュリティ対策を要請する際には、再委託先を含めた説明会を発注元が実施し、価格交渉に積極的な姿勢を示すなど、サプライチェーン全体での取り組みとしていくことが期待されています。

図表6：取引先とのパートナーシップ構築促進に向けた事例及び解説のポイント

^{「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップ構築促進に向けた想定事例及び解説」（経済産業省）を基にPwC作成}

まとめ

★3及び★4の運用開始は、2027年1月～3月ごろを予定しています。

今回公表された制度構築方針案によって、★3、★4の評価取得の具体的な流れやIT基盤に含まれる範囲等が明らかになりました。IT基盤にはパソコンやスマートフォンなどの端末も含まれるため、企業におけるIT資産管理体制の構築が必須となったとも読み取れます。また★4評価にあたっては、技術検証を含む審査に合格する上では、現状のセキュリティ対策の棚卸しや脆弱性検査の実施スケジュール等の検討が急務となります。

PwC Japanグループは、本稿で解説した「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」に関して、発注者・受注者双方の支援が可能です。また、本制度の活用以外にも、サプライチェーンにおけるサイバーセキュリティ確保に向けて、現状評価からセキュリティレベルの引き上げに向けたロードマップの策定まで、一貫した支援を提供しています。