IDKオリジナル連載 SCS評価制度 連載記事|第11回
サプライチェーン・セキュリティ対策評価制度(SCS評価制度)
IPAが公募要領を公開。実証事業の「中身」が明らかに──仕様書から読み解く、制度の本気度
[2026.07.13]
| 【速報】2026年6月26日、IPAが「サイバーセキュリティお助け隊サービス(新類型)実証事業」の企画競争(公募)を公告しました。 提案書の提出期間は2026年7月24日~28日。公募説明会は7月7日(オンライン)です。 100ページ超の公募要領・仕様書から、販売店が知るべき重要ポイントを読み解きます。 |
1.この公募は何を意味するか
今回公告されたのは「企画競争」と呼ばれる入札方式で、民間のITベンダーやセキュリティサービス事業者がIPAに提案書を提出し、採択された事業者が中小企業向けに実証サービスを提供する仕組みです。
公募要領に記載された予算額は「1件あたり1億円(税込)を上限に複数者を採択予定」と明記されています。つまり国が億単位の予算を投じて、複数の民間事業者が全国規模で中小企業のSCS★3取得を支援する実証を行うことになります。
これは単なる調査事業ではありません。公募の目的は「お助け隊サービス(新類型)を正式な制度として2027年度末までに立ち上げること」であり、今回の実証はその制度設計のための最終検証プロセスと位置づけられています。
2.実証事業のスケジュール──公募要領から確定
公募要領の仕様書に記載された事業スケジュール(確定版)は以下の通りです。これまで「8月頃」と案内されていた実証開始時期が、「2026年10月~」と明記されました。
| 時期 | 動き |
| 2026年7月7日 | 公募説明会(オンライン、15:00~16:00) |
| 2026年7月24~28日 | 提案書等の提出受付 |
| 2026年8月3~5日 | 提案者へのヒアリング実施 |
| 2026年8月24日頃 | 採択結果通知・IPAウェブサイトに採択案件公表 |
| 2026年10月~ | 実証事業開始(サービス提供・参加企業募集) |
| 2026年12月 | 中間報告① |
| 2026年度末頃 | SCS評価制度開始・お助け隊(新類型)基準案公表 |
| 2027年3月 | お助け隊(新類型)サービス基準案公表 |
| 2027年5月 | 中間報告② |
| 2027年9月末 | 実証期間終了(参加企業への支援完了) |
| 2027年10月 | 最終報告 |
| 2027年12月 | お助け隊(新類型)サービス基準公表・制度開始 |
| 2027年12月28日 | 事業完了・納品 |
注目点は「実証開始が10月」に後ろ倒しになった点です。これはSCS評価制度の評価ガイドが「2026年10月予定」で公表されることとリンクしており、ガイド公表後にサービス内容を確定させてから実証に入るという合理的なスケジュールです。
3.実証で提供するサービスの「中身」──仕様書が初めて具体化
今回の公募要領には仕様書が添付されており、実証で提供すべきサービス内容が初めて具体的に示されました。これは「お助け隊サービス(新類型)の完成形に近いイメージ」として読むことができます。
①診断・助言サービス(必須)
まず実施するのがSCS★3の26要求事項に対する「現状診断」です。中小企業のセキュリティ対策状況を要求事項ごとに確認し、未達成項目と対策の優先順位を「改善計画書」としてまとめます。診断を行う担当者は登録セキスペ等のセキュリティ資格保有者が望ましいとされています。
②ITツールの導入・運用支援(必須)
診断結果をもとに、★3取得に推奨されるITツールを選定・導入します。仕様書には推奨ITツールの例として以下が具体的に列挙されています。
| 推奨ITツール | 対応する主な要求事項(★3) |
| IT資産管理ツール | 情報機器・OS・ソフトウェアの把握、ネットワーク情報の把握 |
| ID管理ツール(特権管理含む) | ユーザID管理・管理者ID管理 |
| 個人認証用システム(アクセス権管理含む) | 認証の強度・アカウントロック制御・アクセス権管理ルール |
| バックアップ製品 | 適切なバックアップ |
| ポリシー管理・設定管理ツール | 情報機器の安全な構成・セキュリティパッチ管理 |
| ウイルス対策ソフト | マルウェア感染からの保護 |
| UTM(ファイアウォール含む) | ネットワーク境界防護・ネットワーク接続の監視 |
③ITツール以外の支援(コンサルティング・教育)(必須)
SCS★3には、ITツールだけでは達成できない「組織的対策」が多数含まれています。仕様書では以下のような支援サービスが具体的に求められています。
| 支援カテゴリ | 具体的な支援内容 |
| ガバナンス整備 | セキュリティ推進活動部門の設置支援・守秘義務ルール策定・セキュリティ対応方針の文書化 |
| 取引先管理 | 情報システム一覧の作成・機密情報の取扱いルール・インシデント時の責任分担の明文化 |
| IT資産・情報資産管理 | PC等の管理台帳・ネットワーク機器一覧・機密区分に応じた情報管理ルール |
| ID/アクセス権管理 | ID管理ルール・パスワード設定・管理ルール・アクセス権管理規程 |
| バックアップ | リストア手順書の整備 |
| 構成管理 | サーバ・ネットワーク機器の設定変更手続き書 |
| インシデント対応・復旧 | インシデント対応手順書・インシデント報告フォーマット・事業継続プランの策定 |
| 教育 | セキュリティインシデント対応の教育・訓練(e-ラーニングまたは集合教育) |
この一覧は、★3の26要求事項を達成するために中小企業が整備すべき文書・規程の全体像でもあります。「どんな書類を作ればいいか」という顧客の疑問に対して、この表をベースに答えられる販売店は、顧客から非常に頼りにされます。
④診断・助言サービス(必須)
仕様書には、実証に参加する事業者が、中小企業のセキュリティ機器で検知した不審な通信情報(アラート情報)やインシデントレポートをIPAに適時提供する仕組みの実装が求められています。
これは「集団的防御プラットフォーム」と呼ばれる国の取り組みと連携するためです。実証参加企業から収集した攻撃情報をIPAが分析・共有することで、サプライチェーン全体の防衛力を高める狙いがあります。
つまりお助け隊サービス(新類型)は、単なる個社支援にとどまらず「国全体のサイバー防衛インフラの一部を担う」という位置づけになっています。
4.仕様書から読み解く「制度の本気度」
今回の仕様書には、通常の補助事業とは一線を画す内容が随所に盛り込まれています。これを読むと、経産省・IPAがこの実証にどれだけ本気であるかが伝わってきます。
①★3取得が「非保証」でも「支援実施の事実」が評価される
公募要領には「参加企業による★3取得そのものは保証しない。ただし、支援行為を契約書類に定める水準で完了していれば、完成とみなす」と明記されています。
これは重要なポイントです。実証はあくまで「★3取得支援サービスの設計・検証」が目的であり、全企業が必ず★3を取得することは求められていません。適切な支援を行い、記録を整備すれば業務完了と認定されます。
②「制度変更への対応」が契約条項に明記
契約書案には「SCS評価制度、評価ガイド、申請様式、研修要件、評価機関の運用等に変更が生じた場合、受託者はIPAと協議して対応する」という条項が設けられています。
これは制度がまだ「完成途上」であることを示しています。実証期間中にも制度内容が変わりうることを前提とした設計であり、実証参加事業者には柔軟な対応力が求められます。
③実証参加の中小企業定義が詳細に規定
仕様書では実証参加できる「中小企業等」の定義が業種別に細かく規定されています(製造業:資本金3億円以下または従業員300人以下、卸売業:資本金1億円以下または従業員100人以下、など)。顧客が実証に参加できる企業かどうかを確認する際の基準として押さえておきましょう。
5.販売店・サービス事業者として今やるべきこと
①サービス提供事業者として参加を検討する場合
提案書の提出期間は7月24~28日です。今からでも準備は間に合います。
●7月7日の公募説明会(オンライン)に参加する──参加申込はisec-sme-kobo@ipa.go.jpへメールで申込
●公募要領・仕様書をダウンロードして詳細を確認する(IPAサイトから無料入手可能)
●提案書に記載すべき「提供するITツールとSCS★3要求事項のマッピング表」を今から作成し始める
●登録セキスペを体制に加える──仕様書では診断・助言担当者として「望ましい」とされており、評価点にも影響
●参加企業の募集方法(商工会議所・業界団体との連携等)を検討する
②顧客(中小企業)への案内を準備する場合
●実証参加企業の募集は採択後(2026年9月頃以降)に始まる見通し。今から顧客に「こういう実証がある」と情報提供を始める
●参加費用は実証期間中IPA負担が原則。「無料でSCS★3対応が進められる機会」として前向きに案内できる
●実証参加企業の要件(中小企業等の定義)を確認し、自社顧客の対象可否を整理しておく
| 【公募関連リンク】 ・IPA 公募ページ:https://www.ipa.go.jp/choutatsu/koubo/2026/koubo20260626.html ・公募説明会申込・問い合わせ先:isec-sme-kobo@ipa.go.jp(TEL:03-5978-7508) ・提案書提出期限:2026年7月28日(火)17:00必着 |
| 石渡電気では、この実証事業に関する情報を随時お届けします。 サービス提供事業者としての参加検討・顧客への案内方法など、ご相談はお気軽に石渡電気までお問い合わせください。 |
本記事はIPA「サイバーセキュリティお助け隊サービス(新類型)実証事業」公募要領(2026年6月26日公告)をもとに作成しています。
採択後の実施内容は変更される可能性があります。
石渡電気が一緒に準備します
石渡電気では、販売店様がSCS評価制度に関する顧客対応力を早期に身につけられるよう、制度情報の提供・勉強会・製品提案サポートを継続的に行っていきます。
制度は動き始めています。「顧客から聞かれてから考える」では遅いかもしれません。今この時期に情報を蓄え、提案の準備を整えた販売店が、これからの競争で先行優位を得ることになります。
ご不明な点・ご相談は石渡電気までお気軽にお問い合わせください。















