なぜ今、サプライチェーンのセキュリティが問題になるのか

近年、企業を標的としたサイバー攻撃は急増しており、警察庁の統計によれば被害の約8割が「外部からの侵入」によるものです。しかも攻撃者は大企業を直接狙うのではなく、セキュリティ対策が手薄な取引先・下請け企業を踏み台として利用する手口が増えています。これが「サプライチェーン攻撃」と呼ばれる脅威です。

実際に起きた被害は業種を問いません。自動車部品メーカーへの攻撃が連鎖し、大手完成車メーカーの国内全工場が1日停止した事例。港湾のコンテナターミナルが攻撃を受け、コンテナの搬入・搬出が全面停止した事例。医療機器メンテナンス用のVPN機器を経由して公立病院の電子カルテが暗号化され、緊急以外の手術や外来診療が止まった事例。どれも、直接の被害者は「中小の取引先」でした。

また、公立病院の事例では事業の復旧まで2ヶ月以上を要しており、サイバー攻撃は単なる情報漏えいにとどまらず、「事業継続そのものを脅かすリスク」として認識される時代になっています。
 

現在の課題：対策が「見えない」「バラバラ」

サイバーセキュリティ被害が頻発する中、発注元企業（大企業）は委託先企業（中小企業）に対してセキュリティ対策を求めるようになりました。しかし、ここに構造的な問題があります。

発注元企業からすると、取引先企業のセキュリティ対策の状況が「見えない」のです。各社が独自のチェックリストや要求事項を委託先に送りつける結果、中小企業はそれぞれの発注元に対して個別に対応しなければならず、「過度な負担」となっていました。要求の内容も標準化されておらず、適正かどうかの担保もされていませんでした。

こうした問題を解決し、サプライチェーン全体のセキュリティ水準を底上げするために、国が統一的な評価制度の整備に乗り出したのがSCS評価制度です。
 

SCS評価制度とは

制度の仕組み：★3と★4の概要

★3は、すべてのサプライチェーン参加企業が「最低限実装すべきセキュリティ対策」を定めたレベルです。広く認知された脆弱性を悪用する一般的なサイバー攻撃への備えが中心となります。
 

★4（四つ星）：標準的に目指すべき包括的対策

★4は、サプライチェーンに大きな影響を与えうるリスク（供給停止、機密情報漏えい等）に対応するための、より包括的な対策レベルです。重要な再委託先の状況把握も要件に含まれます。
 

　　・評価方式：第三者評価機関による審査＋技術検証
　　・有効期間：3年
　　・要求事項：153項目（7大分類）
　　・基準目安：自工会・部工会ガイドライン Lv2～3 相当

 

今後のスケジュール

2026年4月に要求事項・評価基準が確定し、2026年10月頃に★3・★4の制度運用が開始される予定です。それに先立ち、自己評価ガイドや第三者評価ガイドなどのガイダンス資料も順次公表される見通しです。

中小企業にとっては、まず★3の取得を目標とし、早期から要求事項の内容を把握しておくことが重要です。