【完全解説】サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）とは？★3が“新しい取引条件”になる理由

近年、サイバー攻撃の主戦場は「大企業」から サプライチェーン全体へと明確に移行しています。

この流れを受けて、経済産業省と内閣官房（国家サイバー統括室）が主導し、 現在構築を進めている国家制度が

「サプライチェーン強化に向けたセキュリティ対策評価制度（通称：SCS評価制度）」 です。

本記事では、

• SCS評価制度とは何か（結論）
• 既存の SECURITY ACTION との違い
• なぜ IT販社・SIer にとって“営業チャンス”なのか
• 中小企業は何を目指せばいいのか

を、正確かつ実務目線で解説します。

■ SCS評価制度とは何か（結論）

SCS評価制度とは、

経済産業省と内閣官房（国家サイバー統括室）が主導して構築を進めている、
サプライチェーンを構成する企業の「サイバーセキュリティ対策の実装状況」を
共通基準で評価・可視化する国家制度

です。

2026年度末（2027年頃）からの本格運用が予定されています。

■ なぜ作られたのか（背景）

背景にあるのは、近年急増している

「取引先（特に中小企業）を踏み台にしたサプライチェーン攻撃」

です。

これまでの問題

• 発注企業側
  取引先のセキュリティ水準が外から判断できない
• 受注企業側
  取引先ごとにバラバラなチェックシート対応を強いられる

この非効率と不透明さを解消するため、

👉 国が共通の「ものさし（評価基準）」を作る

それが SCS評価制度です。

■ 制度の性格（ここが重要）

SCS評価制度は、公式に次のように整理されています。

• ❌ 企業を序列化するための「格付け制度」ではない
• ✅ 取引に必要なセキュリティ対策ができているかを示す共通言語

つまり、

「優劣を決める制度」ではなく、
「取引できる最低ラインを揃える制度」

という位置づけです。

■ SECURITY ACTIONとの関係（ここが最大の誤解ポイント）

これまで中小企業向けには、 SECURITY ACTION（★1・★2）が存在しました。

しかしこれは、

• 自己宣言（自分で「やってます」と言うだけ）
• 第三者の確認なし

という性格のものでした。

今回の SCS評価制度は、

その「上位版」として、
国が明確な「レベル（格付）」を新設する制度

です。

評価レベルの全体像

👉 ★3から「第三者の目」が入る
これが決定的な違いです。

■ なぜこれが「営業のチャンス」なのか（IT販社視点）

この制度は、IT販社・SIer にとって

「お客様（中小企業）にセキュリティ対策を導入させる最強の口実」

になります。

これまでの営業

「ウイルスが怖いですよ」
→ 客「うちは盗まれるデータないし…」

これからの営業

「取引先から 『★3の証明書を出してください』 と言われたら、
出せない会社は取引停止になります」

→ 客「それは困る。どうすればいい？」

👉 経営リスクの話に直結します。

■ 中小企業は具体的に何を目指すべきか

結論は明確です。

狙うべきは「★3（三つ星）」

★3の特徴

• 単なる自己宣言では不可
• 専門家（情報処理安全確保支援士 等）による確認が必要

★3で求められる例

• IT資産管理
• パッチ適用
• MFA
• インシデント対応・復旧手順（★3から必須）

■ IT支援事業者にとってのビジネスチャンス

① 「★3取得支援」パッケージ

• 現状診断
• 足りない規程の作成
• 必要なツール導入

をセット化。

② 「サイバーセキュリティお助け隊」の活用

この制度と連動し、 「サイバーセキュリティお助け隊サービス（新類型）」 も検討されています。

「国の認定ツールを入れておけば、★3取得が楽になりますよ」 という提案が可能になります。

■ 企業実務への影響（重要）

① 取引条件に組み込まれる

• 「★3以上を取引条件に」
• 「重要取引は★4必須」

という要請が現実的に想定されています。

② 価格交渉（コスト転嫁）の根拠になる

国は、

SCS評価制度に基づく対策費用は、
正当な価格交渉（コスト転嫁）の根拠になり得る

と明確に整理しています。

■ スケジュール（最新）

• 2025年12月：制度構築方針（案）公表
• 2026年度末：★3・★4 運用開始予定
• ★5：2026年度以降に詳細設計

■ ひとことでまとめると

SCS評価制度 ＝
「サプライチェーン取引における
セキュリティ対策の“共通語・共通証明書”」

早く備えた企業ほど、
切られず・選ばれ・説明できる。