サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）とは？

近年、大企業のみならず、その取引先である中堅・中小企業を狙ったサイバー攻撃が急増しています。こうした「サプライチェーンの脆弱性」を解消すべく、経済産業省と内閣官房が主導し、IPA（情報処理推進機構）が運営を担う新しい制度**「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」**が動き出しました。

本記事では、SCS評価制度の概要や企業が対応すべき理由に加え、最も多くの企業に関係する**「★3（三つ星）」の要求事項**を重点的に解説します。さらに、各評価項目に適合するためのおすすめIT製品も併せてご紹介します。

1. SCS評価制度（セキュリティ対策評価制度）とは？

SCS評価制度は、企業が自社のセキュリティ対策状況を共通の基準で評価し、そのレベルを**「★3〜★5」の3段階で可視化・登録**する仕組みです。

💡 注意ポイント：格付けではない 本制度は、企業間でセキュリティレベルを競わせる「格付け」ではありません。サプライチェーンを構成する企業が、自社のリスクレベルに応じた適切な対策を可視化し、発注元・受注先双方が安心して取引を行える環境を作るための枠組みです。

制度の全体像（★3〜★5の定義）

レベル	対象となる脅威・対策の考え方	評価スキーム
★3（三つ星）	広く認知された脆弱性を悪用する一般的なサイバー攻撃に対応。最低限実装すべき、基礎的な組織的・技術的対策を網羅（全25項目）。	企業自身による**「自己評価」**（有資格者の確認・助言を推奨）
★4（四つ星）	サプライチェーンへの影響が大きい企業や機密情報を扱う資産への攻撃に対応。多層防御、ログの定期分析など包括的な対策。	専門の評価機関による**「第三者評価」＋技術検証**
★5（五つ星）	未知の高度なサイバー攻撃（APTなど）に対応。国際規格に基づいたリスク管理と現時点のベストプラクティスを実装。	詳細検討中（順次具体化予定）

※これまでの「SECURITY ACTION（一つ星・二つ星）」は中小企業自らの自己宣言制度でしたが、SCS評価制度はよりサプライチェーンの実態に即した、IT基盤（サーバ・エンドポイント）の防御に焦点を当てた制度となっています。

2. 【重点解説】★3（三つ星）の要求事項と必須の対策

★3は、サプライチェーンに参加する多くの企業が**「まず最初に取得を目指すべき共通の基準」**として位置づけられています。全25項目からなる要求事項は、大きく「統治（ガバナンス）」「防御」「検知・対応」などの大分類に分かれていますが、実務上特に重要となるポイントは以下の3つです。

① 資産の可視化と制御

評価の前提として、自社が保有する**IT基盤（インターネット公開サーバや認証基盤）およびエンドポイント機器（PC、スマホ等）**の存在と管理状況を網羅的に把握している必要があります。

• 情報資産の取り扱いルールの策定
• 不要なソフトウェア・サービスの削除や無効化
• OS・ソフトウェアの適切なバージョン管理（アップデート適用）

② プラットフォーム＆技術インフラの防護

基本的なシステム防御策を組織全体に適用することが求められます。

• 各情報機器へのウイルス対策ソフト（マルウェア対策）の導入
• 内外のネットワークを適切に分離し、境界部分を防護する
• 適切なバックアップの取得と、定期的なリストア（復旧）テストの実施

③ 組織ガバナンスと役職員への教育

システムを導入するだけでなく、それを運用する「人」と「組織」の体制も評価されます。

• 自社のセキュリティ担当者の明確化と、対応方針（ルール）の策定
• 派遣社員等を含む、全役職員に対する定期的なセキュリティ教育・研修の実施
• 取引先に課す最低限のルール明確化（他社との機密情報の取扱い明確化など）

3. SCS評価制度（★3項目）対応！おすすめセキュリティ製品

★3の要求事項をクリアし、かつ運用の手間を最小限に抑えるためにおすすめのIT製品・サービスをカテゴリ別にご紹介します。

【資産管理・バージョン管理】LANSCOPE Endpoint CyberSTIX / SKYSEA Client View

★3で義務付けられる「PCやスマホの網羅的な把握」と「OS・ソフトウェアのバージョン管理（パッチ適用状況の可視化）」を自動化・一元管理できるIT資産管理ツールです。

• 強み： どの端末のOSが古いままか、禁止ソフトが導入されていないかを一目で把握できます。

【エンドポイント・マルウェア対策】Trend Vision One / ESET Endpoint Protection

一般的なサイバー攻撃（ウイルス、ランサムウェアなど）からPCやサーバを守るためのエンドポイントセキュリティです。

• 強み： 従来のパターンマッチングだけでなく、未知の挙動を検知する機能（EDR要素）や、脆弱性へのアプローチを1つのプラットフォームで管理できます。

【データセキュリティ・復旧】Acronis Cyber Protect / Arcserve

データの適切なバックアップと、迅速な復旧（リストア）を可能にするソリューションです。

• 強み： バックアップデータそのものがランサムウェアに感染することを防ぐ保護機能や、復旧テストを自動化・簡略化できる機能を備えています。

【従業員教育・研修】セキュリオ（Seculio） / 標的型メール訓練サービス

役職員のセキュリティ意識向上に不可欠なeラーニングと、不審なメールを見分ける訓練をクラウド上で提供するサービスです。

• 強み： 定期的な教材配信や受講状況の管理が自動で行えるため、人事・総務・IT担当者の負担を大幅に削減しながら★3の教育要件を満たせます。

4. 企業がこれ以外にも押さえておくべき重要ポイント

記事の締めくくりとして、制度への対応を進めるにあたり、担当者が認識しておくべき「運用・実務上のリアルな注意点」を3つ解説します。

1. 「評価の範囲（境界）」の事前設計が鍵になる

SCS評価制度では、星の取得範囲を「企業グループ全体」「自社単体」「特定部門（または特定のシステム基盤）のみ」など、実態に応じて柔軟に設定することが可能です。 最初にすべてのシステムを対象にするとハードルが高くなるため、まずは「主要な取引先と繋がっているIT基盤」や「機密情報を扱う部門」にスコープを絞って★3の取得を目指すのが現実的です。

2. 「年次評価」の運用負荷を見越しておく

★3・★4ともに、取引先管理やリスクアセスメントは**「年次（定期的）での評価・見直し」**を求められます。一度ルールを作って終わりではなく、毎年「ルールが形骸化していないか」「新しい取引先の評価を行ったか」を確認する運用フローをあらかじめ社内に組み込んでおく必要があります。

3. 発注元（大手企業）からの要求が本格化する前に動く

本制度が本格稼働すると、大手企業（発注元）が新規取引先の選定基準や、既存取引の見直し条件として**「SCS評価制度の★3（または★4）を取得していること」を明文化するケース**が急増すると予測されています。 直前になって慌ててシステム投資や社内ルールの整備を行うと、業務に支障が出たり取引の機会損失に繋がったりするため、まずは★3の25項目をチェックリストとして自社の「現状把握（ギャップ分析）」から始めることをおすすめします。