取引先からある日突然「セキュリティ評価の提出を求めます」と言われたら、あなたの会社は対応できますか?
2026年度末を目安に運用開始予定のSCS評価制度は、中小企業を含むサプライチェーン全体のセキュリティ水準を「★の数」で可視化する、経済産業省が主導する新たな制度です。
本記事では制度の概要から具体的な対応ツールまで、DX支援の専門家がわかりやすく解説します。
📋 この記事の目次
SCS評価制度とは何か
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は、経済産業省と内閣官房国家サイバー統括室(NCO)が2026年3月27日に制度構築方針を公表し、独立行政法人情報処理推進機構(IPA)が運営する制度です。
企業のセキュリティ対策状況を★1〜★5の5段階で評価・認定し、サプライチェーン全体のセキュリティ水準を底上げすることを目的としています。業種・規模を問わず、情報のやり取りを行うほぼすべての企業が対象です。
制定の背景 ― なぜ今必要なのか
近年、大企業のセキュリティ対策が強化される一方で、攻撃者はその取引先・委託先(中小企業)を踏み台にした「サプライチェーン攻撃」を急増させています。2025年秋だけでも国内の大手企業・大学が委託先経由で被害を受ける大規模インシデントが相次ぎました。
テレワークの普及やクラウド利用の増加によって情報管理が複雑化し、従来の「自社だけを守る」対策では十分に対応できなくなっています。こうした課題を受け、サプライチェーン全体で共通の評価基準を持つ必要性が高まり、本制度が生まれました。
★1〜★5の段階と評価方法
SCS評価制度では、既存の「SECURITY ACTION」の★1・★2と、新設の★3〜★5を組み合わせた5段階構成となっています。
| レベル | 制度 | 対象・想定レベル | 評価方法 |
|---|---|---|---|
| ★1 | SECURITY ACTION(既存) | 情報セキュリティ5か条への取り組み宣言 | 自己宣言(対策前でも可) |
| ★2 | SECURITY ACTION(既存) | 25項目の自社診断+情報セキュリティ基本方針の策定・公開 | 自己宣言 |
| ★3 | SCS評価制度(新設) | IT資産把握・アクセス管理・バックアップ・脅威検知など83項目の基礎対策。 2026年度末頃運用開始予定 |
専門家確認付き自己評価(有効期間:1年) |
| ★4 | SCS評価制度(新設) | 重要インフラ・ITベンダー等、高度な包括的対策が必要な組織向け | 第三者評価機関による審査+技術検証(有効期間:3年) |
| ★5 | SCS評価制度(検討中) | リスクベースアプローチ+ベストプラクティスの実装(詳細は今後具体化) | 2026年度以降に詳細化予定 |
多くの中小企業が最初に目指すべきは★3です。取引先から提示を求められるラインが★3以上になる見込みが高く、早期に準備を進めることが取引継続の鍵となります。
★3の7分類 83項目とは
★3の要求事項はNISTのサイバーセキュリティフレームワーク(CSF)を参考に、以下7つの分類で構成されています。
特に「③リスクの特定」と「④攻撃等の防御」の2分類だけで★3全体の約72%を占めており、この領域が対策の核心となります。
★3取得の具体的な流れ
経済産業省が定めた要求事項に基づき、自社のセキュリティ対策状況をチェックシートに記入します。必要に応じて社内外のセキュリティ専門家の支援を受けることも可能です。
所定の研修を受けた専門家(社内の有資格者または外部専門家)が内容を確認し、不適合がある場合は助言を提供します。IPA公開の「中小企業向けサイバーセキュリティ対策支援者リスト」も活用できます。
専門家の指摘事項を踏まえ、対策を実施・文書を整備します。★3はすべての評価基準への適合が必要で、1項目でも不足があると取得できません。
専門家の署名と経営層による自己適合宣誓を含め、事務局(IPA)へ評価結果を提出。内容に問題がなければ台帳に登録・公開されます。★3の有効期間は1年間のため、毎年更新が必要です。
★3は単にセキュリティツールを購入するだけでは取得できません。実際に運用していることの証跡(ログ・記録・手順書など)を整備することが求められます。
対応を支援するツール紹介
SCS評価制度の★3取得に向けた対策を効率よく進めるためのツールを紹介します。「どれか1つで完結」ではなく、自社の課題・規模・予算に合わせて組み合わせることが重要です。
🔵 LANSCOPE(ランスコープ) ― エムオーテックス株式会社
IT資産管理・情報漏洩対策・マルウェア対策から、ID・アクセス管理(IAM)まで幅広くカバーする国産セキュリティブランドです。エムオーテックスはSCS評価制度の開始に向け「サポートアカデミー」に★3対応コースを新設するなど、早期から制度対応を支援しています。
| 主な機能 | 対応するSCS評価分類 |
|---|---|
| IT資産管理・ソフトウェア管理 | ③リスクの特定(IT資産の把握) |
| ID・アクセス管理(IAM)/ MFA | ④攻撃等の防御(アクセス制御) |
| マルウェア対策・脅威検知 | ⑤脅威の検知 |
| ログ収集・操作記録 | ⑤脅威の検知・⑥対応 |
| 診断・コンサルティング | ①ガバナンス・全体 |
こんな企業に向いています: 専任IT担当者がいる、またはこれから情報管理の仕組みをしっかり整えたい企業。デバイス管理と人のID管理を一元化したい場合に特に有効です。
🟢 wakucone plus(ワクコネプラス) ― NTTスマートコネクト株式会社
IT資産管理・セキュリティ・業務改善の課題を横断的に可視化し、運用改善までつなげる法人向けクラウドサービスです。業務PCに専用ソフトをインストールするだけで、ログを自動収集・可視化します。2026年3月にはAIコメント機能も搭載し、分析結果の要点を自動フィードバックするなど、専任IT管理者がいない中小企業でも使いやすい設計が特徴です。LANSCOPEとの連携にも対応しています。
| 主な機能 | 対応するSCS評価分類 |
|---|---|
| IT資産の自動収集・一覧化 | ③リスクの特定(IT資産の把握) |
| セキュリティリスクの可視化・AIによる分析 | ③リスクの特定・⑤脅威の検知 |
| 業務ログの自動収集・可視化 | ⑤脅威の検知・⑥対応 |
| ITリスク管理・対処のワンストップ支援 | ①ガバナンス・全体 |
こんな企業に向いています: 専任IT担当者を置く余裕がない中小企業。まずIT資産の現状を把握し、リスクを「見える化」したい企業のスタートツールとして最適です。
🟣 Microsoft 365 Business Premium ― 日本マイクロソフト株式会社
メール・Teams・OneDriveなどの生産性ツールにエンタープライズグレードのセキュリティ機能を統合したクラウドサービスです。リコージャパンとのSCS評価制度対応支援でも連携が明記されており、世界最大規模の脅威インテリジェンスをベースとした包括的なセキュリティ基盤を提供します。
| 主な機能 | 対応するSCS評価分類 |
|---|---|
| 多要素認証(MFA)・条件付きアクセス | ④攻撃等の防御(アクセス制御) |
| Microsoft Defender(ウイルス・マルウェア対策) | ④攻撃等の防御・⑤脅威の検知 |
| Intune(デバイス管理・パッチ適用) | ③リスクの特定・④攻撃等の防御 |
| Exchange Online Protection(メールセキュリティ) | ④攻撃等の防御(フィッシング対策) |
| 監査ログ・コンプライアンス機能 | ⑤脅威の検知・①ガバナンス |
こんな企業に向いています: すでにOffice製品を利用している企業。追加コストを最小化しながら多くのSCS評価要件をカバーしたい場合に特に有効です。
🔷 Box ― Box Japan株式会社
クラウドコンテンツ管理プラットフォームとして、SCS評価制度が求める7分類すべてに対応可能なセキュリティ機能を網羅しています。アクセス制御・SSO/MFA・暗号化・監査ログ・外部共有管理・異常検出・保持・廃棄管理など、ファイル管理とセキュリティを一体化したい企業に向いています。
| 主な機能 | 対応するSCS評価分類 |
|---|---|
| アクセス制御・SSO/MFA・暗号化 | ④攻撃等の防御 |
| 監査ログ・外部共有管理 | ⑤脅威の検知・①ガバナンス |
| Box Shield(異常検出) | ⑤脅威の検知 |
| Box Governance(保持・廃棄管理) | ①ガバナンス・②取引先管理 |
こんな企業に向いています: 取引先との情報共有・ファイル管理が多く、データ保護とアクセス管理を強化したい企業。
🔴 Acronis Cyber Protect Cloud ― アクロニス
バックアップとサイバーセキュリティを一体化したクラウドサービスです。SCS評価制度★3で重要な「バックアップ&オフライン保管」「パッチ管理・脆弱性診断」「マルウェア対策」を単一プラットフォームでカバーできる点が強みです。
| 主な機能 | 対応するSCS評価分類 |
|---|---|
| バックアップ・オフライン保管 | ⑦復旧 |
| パッチ管理・脆弱性診断 | ③リスクの特定・④攻撃等の防御 |
| マルウェア対策・ランサムウェア検知 | ④攻撃等の防御・⑤脅威の検知 |
こんな企業に向いています: 万一のサイバー被害からの復旧(事業継続)を重視する企業。バックアップ未整備の企業がまず手をつけるべきツールの一つです。
🗂️ ツール選択チャート(SCS評価分類別)
| ツール | ①ガバナンス | ②取引先管理 | ③リスク特定 | ④防御 | ⑤検知 | ⑥対応 | ⑦復旧 |
|---|---|---|---|---|---|---|---|
| LANSCOPE | ◎ | ○ | ◎ | ◎ | ◎ | ○ | △ |
| wakucone plus | ○ | △ | ◎ | ○ | ◎ | ○ | △ |
| Microsoft 365 BP | ○ | ○ | ○ | ◎ | ◎ | ○ | ○ |
| Box | ◎ | ◎ | △ | ○ | ○ | ○ | △ |
| Acronis CP | △ | △ | ○ | ◎ | ○ | △ | ◎ |
◎=強くカバー ○=カバー △=部分的
今すぐ始めるべき最初のステップ
SCS評価制度の★3・★4の運用開始は2026年度末(2027年1〜3月)が予定されています。準備には最低でも半年〜1年を見込む必要があり、今すぐ動き出すことが重要です。
📌 優先して取り組むべきこと
- SECURITY ACTION★1・★2の宣言(まだの場合)→ ITの補助金申請要件にもなっている場合があります
- IT資産の棚卸し → どの端末・ソフト・アカウントが存在するか把握する
- バックアップの整備 → オフライン保管を含めた定期バックアップの仕組みを作る
- MFA(多要素認証)の導入 → メール・VPN・クラウドサービスへのアクセスに設定する
- ★3要求事項チェックシートの確認 → 経産省・IPAの公式資料で現状とのギャップを把握する
アズアシンプルへのご相談
株式会社アズアシンプルでは、ITコーディネータ・デジタルナビゲーターとして中小企業のDX推進・セキュリティ対策を伴走支援しています。SCS評価制度への対応についても、現状のIT環境の把握から最適なツール選定・運用体制の構築まで、ご支援いたします。
現状診断
自社のセキュリティ
ギャップを把握
ツール選定支援
規模・予算・業務に
合った製品を提案
★3取得サポート
自己評価・文書整備を
専門家として伴走
補助金活用支援
IT導入補助金等の
申請もお任せください
各商工会議所の専門家派遣制度を利用すると、初回相談から無料でご支援を受けられる場合があります。
【参考情報】
本記事の情報は2026年5月時点のものです。SCS評価制度の詳細は今後も随時更新されます。最新情報は経済産業省・IPA(独立行政法人情報処理推進機構)の公式サイトをご確認ください。
・経済産業省「SCS評価制度の構築方針」(2026年3月27日公表)
・IPA「SCS評価制度の詳細情報」(https://www.ipa.go.jp/security/scs/details.html)
・中小企業の情報セキュリティ対策ガイドライン第4.0版(IPA、2026年3月27日改訂)