IDKオリジナル連載 SCS評価制度 連載記事|第2回
サプライチェーン・セキュリティ対策評価制度(SCS評価制度)
★3・★4の要求事項と評価プロセスを徹底解説
[2026.03.13]
★3の81項目、★4の153項目は何を求めているのか
SCS評価制度の要求事項は、7つの大分類で構成されています。
以下の通りです(括弧内は★3の評価基準項目数)。
| ・ガバナンスの整備 | (8項目) | 経営層の関与、情報セキュリティ方針の策定・周知、 体制整備など |
| ・取引先管理 | (4項目) | 委託先のセキュリティ状況の把握・管理 |
| ・リスクの特定 | (11項目) | 情報資産の洗い出し、リスクアセスメント |
| ・攻撃等の防御 | (48項目) | 最も項目数が多く、アクセス制御・脆弱性管理・ 物理的対策など幅広い対策を含む |
| ・攻撃等の検知 | (3項目) | 不審なアクセスやマルウェアの検知 |
| ・インシデントの対応 | (6項目) | インシデント発生時の対応手順・体制 |
| ・インシデントからの復旧 | (1項目) | 事業継続・業務復旧の手順 |
★3と★4では要求事項の基本的な考え方が異なります。
★3が「最低限の基礎対策」であるのに対し、★4は「包括的・高度な対策」を求めます。
★4では「重要な取引先(再委託先)のセキュリティ対策状況の把握」も要件として追加されます。
まず取り組むべきは「リスクの特定」と「攻撃等の防御」です。
この2分類だけで★3の全体の72%を占め、ここが対策の核心となります。
評価プロセス:★3はどのように取得するのか
★3の評価スキーム:専門家確認付き自己評価
★3の取得プロセスは、自社による自己評価をベースとし、セキュリティ専門家が内容を確認・署名するという流れです。
| 【1】自己評価の実施 | まず自社で81項目の要求事項に沿って対策状況を評価します (専門家の支援を受けることも可能)。 |
| 【2】セキュリティ専門家による確認 | 専門家が自己評価の内容を確認し、必要に応じて助言のうえ、 署名します。 |
| 【3】経営者による自己適合宣誓 | 経営者が署名付きで適合を宣誓します。 |
| 【4】制度事務局への提出・台帳登録 | 確認結果を事務局に提出し、★3取得組織として台帳に 公開登録されます。 |
有効期間は1年間のため、毎年の更新・継続評価が必要です。
★4の評価スキーム:第三者評価機関による審査
★4は第三者評価機関が関与する、より厳格なプロセスです。
自己評価に加え、評価機関による審査と技術検証が実施されます。有効期間は3年間です。
セキュリティ専門家の要件
★3の評価確認を行うセキュリティ専門家には、一定の資格・能力水準が求められます。
「確認全般を統括し、自らの責任で確認結果に署名する」という役割を担うため、以下のいずれかに該当する資格等が要件とされています。
| ・情報処理安全確保支援士 (登録セキスペ) |
ITSSレベル4、年次オンライン研修+3年毎の実践講習 |
| ・公認情報セキュリティ監査人 | ITSSレベル4相当、監査業務等による資格維持ポイント取得 |
| ・CISSP・CISM・CISA | 更新CPEポイントの取得 |
| ・ISO27001主任審査員 | 審査実績・CPD実績 |
なお、専門家の指示のもとで評価作業を補助する「作業従事者」は、これらの資格は不要ですが、制度研修の受講が求められます。
対応スケジュール(例):2026年度に★3を取得するには
制度の運用開始は2026年10月頃が想定されています。
★3取得を目指す企業の対応ステップ(例)は以下の通りです。
| ・2026年4~6月 | 要求事項・評価基準の確定内容を確認し、社内規程等への反映を開始 |
| ・2026年7~9月 | 反映後の規程に基づき社内運用・記録を実施。 自工会ガイドライン改版があれば反映 |
| ・2026年10月~ | 評価用ガイド公表後、自己評価を実施。 セキュリティ専門家を社内外で確保・依頼 |
| ・2026年度末 (2027年3月)頃 |
★3評価結果の提出 |
なお、制度の試行的実施(運用開始前のパイロット)が行われる可能性もあり、早期から準備を進めることが有利に働きます。
活用できるガイドライン・ツール
SCS評価制度への対応に活用できる既存資料として、以下が挙げられます。
・IPA「中小企業の情報セキュリティ対策ガイドライン」
(2026年3月改版予定)社内規程サンプルも含む
・自工会・部工会サイバーセキュリティガイドライン&チェックシート
(2025年9月改版済)
・★3・★4自己評価ガイド(仮称):2026年10月公表予定
IPAガイドラインの社内規程サンプルは、組織的対策・人的対策・情報資産管理・アクセス制御・物理的対策・IT機器利用・IT基盤運用管理・委託管理・インシデント対応・テレワーク対策など11種が揃っており、SCS評価制度の7大分類との対応関係も整理されています。
まずはこれらを参照しながら自社の現状を整理するところから始めると効率的です。
