「★3」「★4」のセキュリティ評価制度 ついに“案”から進んだ構築方針とは？：「サプライチェーン強化に向けたセキュリティ対策評価制度の構築方針」が公開

企業のセキュリティ対策を「★3」「★4」などで評価する「サプライチェーン強化に向けたセキュリティ対策評価制度」（SCS評価制度）の構築方針が固まった。制度運営や評価の仕組みなど、具体化した内容とは。

[＠IT]

　経済産業省と内閣官房の国家サイバー統括室（NCO）は2026年3月27日、「サプライチェーン強化に向けたセキュリティ対策評価制度」（SCS評価制度）に関する制度構築方針を公開した。経済産業省が制度を監督し、独立行政法人の情報処理推進機構（IPA）が制度運営主体（スキームオーナー）を担う。

　今回の制度構築方針は、2025年12月26日発表の「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」に対する意見を踏まえて、必要な修正を加えたものだ。

SCS評価制度の内容は？

　SCS評価制度は、企業のセキュリティ対策状況を客観的な基準で評価／可視化することで、発注企業が取引先企業に適切なセキュリティ対策を求めやすくする。取引先企業を経由したサイバー攻撃による事業／サービス停止や機密情報漏えい、不正侵入などのリスク低減を図り、サプライチェーン全体のセキュリティ水準向上につなげる。

　取引先企業が適切なセキュリティ対策を実施すれば、発注企業のサプライチェーンリスク低減や、社会全体のサイバーレジリエンス強化につながる。特に中小企業は人材や予算などのリソースが限られていることから、SCS評価制度の活用による効果が大きいと、同制度の検討を進めるサブワーキンググループ事務局（以下、事務局）は説明する。

　SCS評価制度は、サプライチェーンの構成企業が利用するIT基盤（サーバやPCなど）を対象とする。OT（産業における制御・運用）システムや、発注企業に提供する製品は対象に含まない。評価は原則として法人または個人事業主単位で取得する。発注企業は取引先企業に対して、各種契約を通じて必要な評価段階を示し、それに応じたセキュリティ対策の実施を求めた上で、実施状況を確認する。

「★3」「★4」や「★5」の取得に必要なことは？

　評価段階としては「★3」「★4」「★5」の3段階がある（図）。上位段階は、下位段階の要件も満たしていることを示す。例えば★4を取得する場合、事前に★3を取得している必要はない。各段階の要件は次の通りだ。

図　SCS評価制度において設けるセキュリティ対策の段階（出典：経済産業省のプレスリリース）《クリックで拡大》

　★3は、一般的なサイバー脅威への対処を想定した評価段階であり、基礎的な組織的対策やシステム防御策の実施を求める。取得を希望する企業は、自社の対策状況を自己評価した上で、その内容についてセキュリティ専門家の確認を受ける必要がある。有効期間は1年。

　★4は、★3に加えて包括的なセキュリティ対策を求める評価段階だ。組織ガバナンスや取引先管理、システム防御・検知、インシデント対処などが評価対象となる。★3が自己評価ベースであるのに対して、★4では評価機関による第三者評価に加えて、脆弱（ぜいじゃく）性検査などの技術検証も必要となる。★4の有効期間は3年であり、★3よりも長い。

　★5は、高度なサイバー攻撃への対処を想定した評価段階であり、ベストプラクティスに基づく高度なセキュリティ対策の実施を求める。★5の具体的な評価内容の検討は2026年度以降になる。

類似制度との関係性は？

　事務局は★3または★4を取得した企業について、企業名や所在地、適用範囲などの情報を台帳に登録。これらの情報をWebページで検索、閲覧できるようにする。

　SCS評価制度は、セキュリティ管理体制を評価する「情報セキュリティマネジメントシステム（ISMS）適合性評価制度」などの既存制度を補完する位置付けだ。★3と★4は、自動車業界向けのセキュリティ対策基準である「自工会/部工会・サイバーセキュリティガイドライン」の「Lv1」「Lv2」にそれぞれ対応する。英国のセキュリティ認証制度「Cyber Essentials」については、将来的な相互認証も視野に調査を継続するという。

　経済産業省とNCOは今後、SCS評価制度の運営体制整備や利用促進を進める。同制度の開始は2026年度下期の見込みだ。