深刻化するサプライチェーン攻撃に対し、経済産業省は2026年度末頃の制度開始を目指し、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の整備を進めています。
本記事では、SCS評価制度の概要や創設の背景、評価基準を整理したうえで、★3、★4で求められる対策のポイントも分かりやすく解説します。
目次
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)とは?
経済産業省が公表した本評価制度は、サプライチェーンを構成する企業のセキュリティ対策状況を統一的な基準で評価・可視化する仕組みです*1。2026年度末頃に制度開始予定であり、★の数(★3、★4、★5)で企業のセキュリティレベルを表します。
本評価制度では、サプライチェーン全体のセキュリティレベルを高めるとともに、企業間取引においてセキュリティ対策状況を可視化し、双方の信頼関係を強化することを目的としています。
SCS評価制度創設の背景
評価制度創設の背景として、主な2つの社会的背景をご紹介します。
サプライチェーン攻撃の深刻化
近年、標的の企業本体を直接狙うのではなく、サプライチェーン上の関連企業や外部パートナーを経由して侵入する「サプライチェーン攻撃」が多発しています。
特に中小規模の委託先やパートナー企業はセキュリティ体制が不十分な場合も多く、攻撃の入口となりやすい傾向があります。サプライチェーン攻撃を受けてしまうと、事業・サービスの停止、機密情報の漏えいによる競争力の低下、個人情報の漏えいによる法的リスク、社会的信頼の失墜につながる恐れがあります。
そのため、サプライチェーン全体でのセキュリティレベルの向上が必要となっています。
- 詳しい記事を読む
サプライチェーンリスクについて
取引先ごとに異なるセキュリティチェック
サプライチェーン全体でのセキュリティレベルの向上が求められる中、企業のセキュリティ対策状況は、現在、共通の指標ではなく、委託元企業ごとに異なる基準に基づいて評価されているケースが多くみられます。その結果、委託元企業・委託先企業の双方で課題が生じています。
委託元企業においては、取引先がどの程度のセキュリティ対策を講じているのか把握しにくいという課題があります。
一方、委託先企業においては、委託元ごとに異なるセキュリティチェックシートへの回答や個別要件への準拠が求められ、業務負荷が増大しています。
上記の背景を踏まえ、本評価制度では、企業のセキュリティ対策状況を統一的な基準で評価・可視化することで、サプライチェーン全体のセキュリティレベルを高めるとともに、委託元・委託先双方の信頼関係を強化することを目指しています。
SCS評価制度の内容
対象範囲
本評価制度の対象範囲は、サプライチェーンを構成する企業等のIT基盤であり、クラウド環境で運用されるものも含まれます。
一方、対象外となるのは、製造環境などの制御(OT)システム、委託元等に提供する製品やサービスなどです。これら2点は、業種や用途による差異が大きく、サプライチェーン全体で統一的な対応が難しいため、本評価制度においては直接的な対象とはされていません。別途関係する制度やガイドラインに沿った対応が求められます。
評価制度の概要
本評価制度は、★の数(★3、★4、★5)で企業のセキュリティレベルを表します。★5に関する要求事項や評価基準、評価スキームの具体化については今後検討される予定です。★の数に応じて段階的に高度なセキュリティレベルが求められます。
本評価制度が★3からの区分となっている理由について、疑問に感じる方もいるかもしれません。これは、独立行政法人情報処理推進機構(IPA)が実施する既存の制度「SECURITY ACTION」において「★ 一つ星」、「★★ 二つ星」の区分がすでに設けられているためです*2。
こうした既存制度を踏まえ、本評価制度では、その延長線上にある★3以上の区分が設定されています。
★3~★5の評価段階ごとの概要は、下表のとおりです。
| ★3 | ★4 | ★5(検討中) | |
| 想定される脅威 | ・広く認知された脆弱性等を悪用 する 一般的なサイバー攻撃 | ・供給停止等によりサプライチェーン に大きな影響をもたらす企業への攻撃 ・機密情報等、情報漏えいにより 大きな影響をもたらす資産への攻撃 | ・未知の攻撃も含めた、 高度なサイバー攻撃 |
|
対策の 基本的な考え方 |
全てのサプライチェーン企業が 最低限実装すべきセキュリティ対策 ・基礎的な組織的対策と システム防御策を中心に実施 | サプライチェーン企業等が 標準的に目指すべきセキュリティ対策 ・組織ガバナンス・取引先管理、 システム防御・検知、インシデント 対応等、包括的な対策を実施 | サプライチェーン企業等が さらに目指すべき高度な対策 ・国際規格等におけるリスクベース の考え方に基づき、自組織に必要な 改善工程を整備、システムに対して は現時点でのベストプラクティスの 対策を実施 |
| 要求事項|有効期限 | 26 件 | 1 年 | 43 件 | 3 年 | (今後検討) |
| 評価スキーム | 専門家確認付き自己評価 | 第三者評価 | 第三者評価 |
表1:★3~★5の評価概要
出所:経済産業省|「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しましたに基づきIWIが作成
経済産業省、国家サイバー統括室が公表する資料を基に、★3~★5の違いについて、求められる対策、評価の有効期限、誰が評価するのかを詳しくご紹介します*3。
求められる対策の違い
★3は、全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、一般的なサイバー攻撃に対応できる水準を想定しています。
★4は、サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、攻撃の侵入から被害拡大までを防ぎ、取引先の情報資産の保護、自社の役割に応じたサプライチェーンのセキュリティ対策が実施されている水準を想定しています。
★5は、サプライチェーン企業等がさらに目指すべき高度な対策として、巧妙化するサイバー攻撃に対応するため、自社のリスクを理解し、ガイドラインや現時点でのベストプラクティスに基づく対策を実行する形を想定しています。
評価の有効期限の違い
★3の有効期限は1年です。
1年に1回、専門家の確認・助言を受けた自己評価を提出することで、有効期限を更新できます。
★4の有効期限は3年です。
3年に1回、評価機関による評価を受けることで有効期限を更新できます。
更新とは別に、有効期間内は1年に1回自己評価を行い、結果を評価機関に提出する必要があります。
★5の有効期限は今後検討されます。
誰が評価するのかの違い
★3は専門家確認付き自己評価です。
企業が自ら評価を行い、結果を確定させる仕組みです。
企業がまず自社で状況を評価し、結果に対して専門家に確認・助言をもらいます。専門家の助言を反映したうえで、最終的な評価結果として確定します。
★4、★5は第三者評価です。
評価機関による評価等を経て、結果を確定させる仕組みです。
企業がまず自社で状況を評価し、指定委員会から指定を受けた評価機関が評価を行い、その結果を正式な評価として確定します。
要求事項・評価基準
本評価制度の対策項目の基本的な考え方として、米国国立標準技術研究所(National Institute of Standards and Technology、以下NIST)のCybersecurity Framework(CSF)を基盤としています。CSFの機能に基づく6つの分類(統治・識別・防御・検知・対応・復旧)に、さらに取引先管理を重視した分類を加えた計7分類について、★のレベルごとに行うべき対策を整理しています。
下表は、★3と★4それぞれの要求事項のポイントと評価基準の一例をまとめた表になっています。★5に関する要求事項や評価基準、評価スキームの具体化は、今後検討される予定です。
要求事項・評価基準のより詳しい内容については、経済産業省ウェブサイトで公開されている「別添★3・★4要求事項及び評価基準」*4をご参照ください。(2026年3月27日版)
| 大分類 | ★3 |
要求 事項数 |
★4 |
要求 事項数 |
NIST CSF における機能 |
|---|---|---|---|---|---|
|
ガバナンス の整備 |
企業として最低限の
リスク管理体制の構築
・自社のセキュリティ担当の明確化
・セキュリティ対応方針の策定 |
3件 |
継続的改善に資する
リスク管理体制の構築
・定期的な経営層への報告、不備の是正等
|
6件 | 統治(GV) |
| 取引先管理 |
取引先に課す最低限の
ルール明確化
・他社との機密情報の取扱い
明確化 ・接続している外部情報サービスの把握 |
3件 |
取引先の管理・把握及び取引先
との役割・責任の明確化
・機密情報共有先の把握
・重要な取引先等の対策状況把握 ・インシデント発生時の他社との 役割等の明確化 |
5件 | 統治(GV) |
| リスクの特定 |
自社 IT 基盤や資産の
現状把握
・情報資産やネットワークの把握
・外部情報サービスの管理 |
4件 |
脆弱性など最新状況の
把握と反映
・脆弱性管理体制、管理プロセスの
明確化 |
6件 | 認識(ID) |
|
攻撃等 の防御 |
不正アクセスに対する
基礎的な防御
・ID 管理手続、アクセス権限の
設定 ・パスワードの安全な設定及び 管理 ・内外ネットワーク境界の 分離・保護
端末やサーバーの
基礎的な保護
・環境のアップデート適用、
不要ソフトウェアの削除 ・端末等へのマルウェア対策 |
13件 |
多層防御による侵入リスクの
低減
・重要な保管データの暗号化
・ログ収集・定期的な分析の実施 ・社内システムにおける適切な ネットワーク分離 ・社外への不正通信の遮断 (出口対策) |
21件 | 防御(PR) |
|
攻撃等 の検知 |
ネットワーク上の
基礎的な監視等
・ネットワーク接続・データの監視
|
1件 |
迅速な異常の検知
・情報機器等の状態、挙動の
監視・対応や分析 |
3件 | 検知(DE) |
|
インシデント への対応 |
インシデント発生に備えた
対応手順の整備
・インシデント対応手順の作成
|
1件 | ※★4での追加項目はなし | 1件 | 対応(RS) |
|
インシデント からの復旧 |
インシデント発生から
復旧するための対策の整備
・インシデント発生から復旧する
ための対策の整備 |
1件 |
インシデントからの
復旧手順等の整備
・復旧ポイント、復旧時間を満たす
手順等の整備 |
1件 | 復旧(RC) |
表2:★3、★4 要求事項ポイント・評価基準一例(大分類・CSF別)
[注]上記表は必ずしも全要求事項を網羅しているわけではない点にご留意ください。
出所:経済産業省/国家サイバー統括室|サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針に基づきIWIが作成
★4では、★3の要求事項に加えて、継続的な管理・検知・対応の実施や、サプライチェーン全体の強靭化に向けて、自社の役割に応じたセキュリティ対策の実行が求められています。
また、本評価制度の要求事項に関して、7つの大分類において総合的な対策が求められていますが、分類ごとに要求事項数に違いがあります。特に大分類「ガバナンスの整理」「取引先管理」「リスクの特定」「攻撃等の防御」に多くの項目が割り当てられており、未然防止を重視した構成になっているのが特徴です。
中でも大分類「攻撃等の防御」に関しては、★3の要求項目が13件、★4の要求項目が21件割り当てられています。これは、★3、★4ともに各★の要求項目の全体の約半数が「攻撃等の防御」に集中しているということであり、防御を重視した構成となっていることが読み取れます。
★3や★4の取得に向けた対策のポイントとなる「攻撃等の防御」
本制度の要求事項・評価基準において、7つの大分類に総合的な対策が求められていますが、すべての領域において一度に対応を進めていくのは現実的ではありません。
そのため、対策に優先順位をつけて取り組む必要があります。
★3や★4の評価項目においては、「攻撃等の防御」に関する項目の占める割合が大きく、対策の中核となる領域となっています。そのため、「攻撃等の防御」に関する項目への対応を優先的に進めることが、★3や★4取得に向けた効率的なアプローチであると考えます。
本章では、前章の表2でまとめられている「攻撃等の防御」で必要とされる「不正アクセスに対する基礎的な防御」、「端末やサーバーの基礎的な保護」、「多層防御による侵入リスクの低減」の3つの観点に対してポイントを整理していきます。
不正アクセスに対する基礎的な防御
まず求められるのは、不正アクセスを防止するための基本的な対策です。
具体的には、ID管理やアクセス権限の適切な設定、パスワードの安全な管理、社内ネットワークの分離・保護などが該当します。
これらの対策によって、攻撃者の侵入経路となりうる情報の流出を防ぐとともに、社内ネットワークそのものの安全性を高めることができます。
また、万が一侵入された場合でも、重要データや外部との接点を適切に分離することで、情報漏えいリスクを最小限に抑えることが重要です。
端末やサーバーの基礎的な保護
次に端末やサーバーに対する基礎的なセキュリティ対策です。
具体的には、OSやソフトウェアの適時アップデート、不要なソフトウェアの削除、マルウェア対策の実施などにより、脆弱性が悪用されるリスクを低減します。
さらに、サイバー攻撃を前提とした対策として、アンチウイルスソフトやEPP、EDRといったセキュリティ技術を導入し、「侵入されても感染させない」仕組みを整えることが求められます。
多層防御による侵入リスクの低減
上記の不正アクセス防止や端末やサーバーの保護に加え、★4では多層防御による対策が求められています。
これは、単一の対策に依存するのではなく、複数の対策を組み合わせてリスクを低減するアプローチです。
外部からの侵入を防ぐ「入口対策」、侵入後の異常や不正操作を検知し被害拡大を防ぐ「内部対策」、情報の持ち出しを防ぐ「出口対策」といったように、攻撃の各段階に対する対策を組み合わせることで、全体のリスク低減を実現します。
具体的には、ネットワークの適切な分離や不正通信の遮断といった「入口対策」、ログの収集と定期的な分析といった「内部対策」、重要データの暗号化といった「出口対策」を組み合わせます。
このように複数の対策を重ねることで、仮に一つの対策が突破された場合でも、別の対策で被害を抑えることが可能となり、より強固なセキュリティを実現できます。
こうした「攻撃等の防御」における3つの観点は、各種ソリューションを用いることによって、実効性のある対策につながります。
次の章では、インテリジェントウェイブ(IWI)が提供するソリューションであるCWATおよびCortex XDRを活用し、これらの対策をどのように実現できるのかを解説します。
SCS評価制度への対応に向けたIWIの支援内容
操作権限の適切な制御と情報持ち出し防止を支援する「CWAT」
CWATは端末からの重要情報漏えいを防ぐためのソフトウェア(DLP)です。
本評価制度においては、「不正アクセスに対する基礎的な防御」と「多層防御による侵入リスクの低減」の観点を中心に効果的なソリューションです。
「不正アクセスに対する基礎的な防御」として、CWATではポリシー設定により操作権限を適切に管理することが可能です。
人・PCごとに実行可能な操作を管理できるため、組織や拠点ごと、また業務に応じて不要な操作や権限の濫用を防止します。
「多層防御による侵入リスクの低減」として、CWATではPC操作の詳細なログの取得や重要ファイルの暗号化機能により対策を支援します。
ログの取得により、PC操作や取引先とのやりとりの詳細な記録を残すことが出来ます。そのため、PCの不正操作の把握と定期的な分析が可能です。
また、重要ファイルの暗号化機能により、仮にデータが持ち出された場合でも第三者が内容を閲覧できない状態を維持できます。
このように、CWATは操作権限の適切な制御、ログ取得、暗号化機能により、「攻撃等の防御」の対策を支援します。
- CWATの資料を請求する
操作権限の適切な制御と情報持ち出し防止で評価制度対策を支援
マルウェア感染を防ぎ、エンドポイントを保護する「Cortex XDR」
Cortex XDRはEPP、 EDR、 XDR までを提供する「統合型セキュリティプラットフォーム」です。
本評価制度においては、「端末やサーバーの基礎的な保護」と「多層防御による侵入リスクの低減」の実現に有効なソリューションの一つです。
「端末やサーバーの基礎的な保護」として、Cortex XDRは EPP・EDR・XDRを統合したマルウェア対策により、既知・未知の脅威に対して高度な防御を実現します。
さらに、世界中から最新の脅威情報を集約・解析する脅威インテリジェンス(WildFire)と連携しているため、最新のマルウェアやファイルレスマルウェアによる攻撃からも端末を保護することができます。
また、エクスプロイト防御も可能であり、ゼロデイ脆弱性や、パッチ未適用の環境でも脆弱性を突く攻撃を阻止します。
「多層防御による侵入リスクの低減」に関して、Cortex XDRではエンドポイントやクラウド、ネットワークで収集されるログやアラートを横断的に統合・分析することが可能です。そのため、攻撃の兆候を早期に検知・対応することができます。
また、人による根本原因の調査や影響範囲を分析する作業が削減され、負担を軽減します。
このように、Cortex XDRはEPP・EDR・XDRといった機能を統合したマルウェア対策、エンドポイントやクラウド、ネットワークのログやアラートの横断的な統合・分析により、「攻撃等の防御」の対策を支援します。
- Cortex XDRの資料を請求する
マルウェア感染防止とエンドポイント保護で評価制度対策を支援
出典(参考文献一覧)
※1経済産業省|「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました(参照日:2026-06-18)
※2独立行政法人情報処理推進機構(IPA)ウェブサイト|SECURITY ACTIONとは?(参照日:2026-06-18)
※3経済産業省/国家サイバー統括室|サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(参照日:2026-06-18)
※4経済産業省|「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました(ページ内「別添★3・★4要求事項及び評価基準(Excel形式:51KB)」)(参照日:2026-06-18)
