近年、取引先から「情報セキュリティ対策の状況を教えてください」「委託先管理の一環として、セキュリティチェックシートに回答してください」と求められる企業が増えています。
これまでは、こうした確認は企業ごとに形式が異なり、質問項目もばらばらでした。ある取引先からはウイルス対策やバックアップについて聞かれ、別の取引先からはアクセス権管理やログ管理、インシデント対応手順まで求められる。担当者としては、毎回個別に回答を作成しなければならず、負担が大きかったはずです。
そのような状況の中で、今後の企業間取引に大きく関わる可能性がある制度として注目されているのが、SCS評価制度です。
SCS評価制度は、正式には「サプライチェーン強化に向けたセキュリティ対策評価制度」と呼ばれます。IPAは2026年4月21日に制度の詳細情報を公開し、この制度は2026年3月に経済産業省と内閣官房国家サイバー統括室が公表した制度構築方針に基づき、IPAが運営する制度であると説明しています。
本記事では、IPAの最新情報をもとに、SCS評価制度の目的、SECURITY ACTIONとの関係、★3・★4・★5の違い、企業が今から準備すべき内容を、一般企業の担当者向けに詳しく解説します。
また、特に多くの企業が最初に目指すことになる★3については、専門家確認付き自己評価という特徴があります。そのため本記事では、★3取得を目指す企業がどのような点でつまずきやすいのか、専門家支援を活用する意味についても詳しく説明します。
SCS評価制度とは何か
SCS評価制度は、企業のサイバーセキュリティ対策を一定の基準で評価し、サプライチェーン全体のセキュリティ水準を底上げするための制度です。
ここでいうサプライチェーンとは、製造業だけの話ではありません。部品メーカー、システム開発会社、保守会社、クラウドサービス事業者、BPO事業者、医療・介護・物流・士業・小売・卸売など、あらゆる業界の取引関係が対象になり得ます。
たとえば、自社のセキュリティ対策が十分でも、委託先のアカウント管理が甘ければ、そこを経由して情報漏えいが発生する可能性があります。保守業者のリモート接続環境が侵害されれば、委託元のシステムに被害が及ぶこともあります。クラウドサービスや外部システムが止まれば、自社の業務も止まります。
つまり、現代のサイバーリスクは「自社だけを守ればよい」という段階を超えています。取引先、委託先、外部サービスまで含めて、どの程度の対策ができているかを確認しなければならない時代になっています。
SCS評価制度は、この確認を企業ごとにばらばらに行うのではなく、共通の評価基準で整理しようとするものです。
なぜSCS評価制度が必要なのか
SCS評価制度が必要とされる背景には、大きく三つの課題があります。
一つ目は、取引先経由のサイバー攻撃が現実的なリスクになっていることです。攻撃者は、必ずしも最初から大企業や中核システムを直接狙うわけではありません。対策が弱い委託先や関連会社を突破口にし、そこから本来の標的へ近づくことがあります。
二つ目は、発注側が取引先にどの程度の対策を求めればよいか判断しにくいことです。発注側の企業にとって、委託先のセキュリティ対策は重要ですが、過剰な要求をすれば中小企業には負担が大きくなります。一方で、要求が弱すぎれば、自社のリスクを十分に下げられません。
三つ目は、受注側の説明負担が大きいことです。取引先ごとに異なるセキュリティチェックシートへ回答し、個別に証跡を求められ、毎回似たような説明を繰り返す。これは、情報システム担当者が少ない企業にとって大きな負担です。
SCS評価制度は、こうした問題を解消するために、企業の対策状況を共通の物差しで示せるようにする制度です。
制度の運営体制
IPAの公開情報では、SCS評価制度は、経済産業省および内閣官房国家サイバー統括室の監督のもと、IPAが運営するとされています。制度の中には、運営審議委員会、事務局、指定委員会、評価機関、技術検証事業者、セキュリティ専門家、研修事業者といった役割が設けられています。
それぞれの役割を実務目線で整理すると、次のようになります。
IPA事務局は、制度全体の運営管理、★3・★4の登録、普及促進などを担います。取得企業の登録や公開にも関わる重要な立場です。
指定委員会は、評価機関、技術検証事業者、研修事業者の指定や監督を担います。誰でも自由に評価機関になれるわけではなく、制度として一定の管理が行われる設計です。
評価機関は、★4の第三者評価を行います。★4は自社の自己申告だけではなく、評価機関による審査が前提になります。
技術検証事業者は、★4における技術検証を行います。評価機関が技術検証も行う場合と、評価機関から委託された別組織が技術検証を行う場合があると説明されています。
セキュリティ専門家は、★3における自己評価結果の確認・助言を行います。また、評価機関において評価責任者を担う役割もあります。
この体制から分かるのは、SCS評価制度が単なるチェックリストではなく、制度として運営される評価スキームであるということです。
SECURITY ACTIONとSCS評価制度の関係
SCS評価制度を理解するうえで、IPAの既存制度であるSECURITY ACTIONとの関係は非常に重要です。
SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。IPAは、SECURITY ACTIONについて「中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言する制度」と説明しています。
SECURITY ACTIONには、取組目標に応じて一つ星と二つ星があります。
一つ星は、情報セキュリティ6か条に取り組むことを宣言する段階です。二つ星は、5分でできる情報セキュリティ自社診断で状況を把握し、情報セキュリティ基本方針を定め、外部に公開する段階です。
ここで注意すべき点があります。SECURITY ACTIONは「認定」や「取得」ではありません。IPAは、SECURITY ACTIONは情報セキュリティ対策状況等をIPAが認定するものではなく、「一つ星を取得しました」「二つ星の認定を受けました」といった表現は不適切で、「一つ星を宣言しました」「二つ星を宣言しました」と表現するよう注意喚起しています。
一方、SCS評価制度の★3・★4は、SECURITY ACTIONよりも上位の評価制度として理解できます。特に★3は専門家確認付き自己評価、★4は第三者評価と技術検証が求められるため、自己宣言であるSECURITY ACTIONよりも客観性が高い仕組みです。
実務上は、次のような流れで考えると分かりやすくなります。
まず、一つ星で最低限の基本対策を始める。
次に、二つ星で自社診断と基本方針の公開を行う。
その上で、SCS★3で専門家確認付きの自己評価に進む。
さらに必要に応じて、SCS★4で第三者評価と技術検証を受ける。
将来的には、より高度な★5が具体化される可能性がある。
この流れを押さえると、「何から始めればよいか」が整理しやすくなります。
一つ星の内容と実務上の意味
一つ星は、SECURITY ACTIONの最初の段階です。
IPAは、一つ星について、これから情報セキュリティ6か条に取り組むことを宣言するものであり、対策実施前でも申し込みできると説明しています。
情報セキュリティ6か条は、次の六つです。
- OSやソフトウェアを常に最新の状態にする
- ウイルス対策ソフトを導入する
- パスワードを強化する
- 共有設定を見直す
- バックアップを取る
- 脅威や攻撃の手口を知る
一つ星の意義は、「高度な対策を行うこと」ではなく、まず最低限の基本動作を社内に根付かせることです。
OSやソフトウェアの更新を放置しない。
ウイルス対策ソフトを導入し、無効化されたままにしない。
単純なパスワードや使い回しを避ける。
誰でも見られる共有フォルダを放置しない。
ランサムウェアに備えてバックアップを取る。
従業員がフィッシングメールや不審な添付ファイルの危険性を知る。
これらは、どれも基本的な内容です。しかし、実際のインシデントでは、この基本が崩れていたことが被害拡大の原因になることが少なくありません。
一つ星のメリットは、社内でセキュリティ対策を始めるきっかけを作れることです。IPAも、一つ星宣言は情報セキュリティ対策に取り組んだことのない企業でもすぐに始めることができ、顧客や取引先との信頼関係構築に役立つと説明しています。
一方で、一つ星には限界もあります。一つ星は自己宣言であり、IPAが対策状況を認定するものではありません。そのため、取引先から詳細な管理状況を求められた場合、一つ星だけで十分な説明になるとは限りません。
つまり一つ星は、対外的な信用の最終地点ではなく、社内対策の出発点と考えるべきです。
二つ星の内容と実務上の意味
二つ星は、一つ星よりも一段進んだ自己宣言です。
IPAは、二つ星について、「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」を策定し外部公開したうえで、情報セキュリティ対策に取り組むことを宣言するものと説明しています。
二つ星で重要なのは、単に「対策します」と言うだけではなく、次の二つを行う点です。
一つ目は、自社診断です。
IPAの説明では、25個の診断項目に答えることで、自社の情報セキュリティ対策状況を簡単に把握できるとされています。
もう一つは、情報セキュリティ基本方針の策定と外部公開です。
IPAは、情報セキュリティ基本方針について、理念、指針、原則、目標等を表した方針書や宣言書のことであり、中小企業の情報セキュリティ対策ガイドラインのサンプルを参考に策定できると説明しています。
二つ星の実務上の意味は、会社としての姿勢を明文化することにあります。
一つ星の段階では、対策は現場任せになりがちです。しかし二つ星では、自社診断によって現状を確認し、基本方針を外部に示します。これにより、経営者、管理部門、情報システム担当者、現場社員の間で「会社として情報セキュリティに取り組む」という共通認識を作りやすくなります。
二つ星のメリットは、取引先や顧客に対して「当社は情報セキュリティ対策に取り組む方針を明確にしています」と説明しやすくなることです。IPAも、SECURITY ACTIONは補助金・助成金の要件になるなど、情報セキュリティのはじめの一歩として有益な制度であると説明しています。
ただし、二つ星も自己宣言です。第三者評価や専門家確認が入る制度ではありません。したがって、二つ星を宣言していても、実際のアクセス権管理、ログ管理、バックアップ運用、インシデント対応手順、取引先管理が不十分であれば、SCS★3や★4への対応では不足が見つかる可能性があります。
二つ星は、SCSへ進むための土台として非常に重要ですが、そこで止まるのではなく、★3を見据えた具体的な整備へ進むことが必要です。
SCS★3の位置づけ
IPAは、★3について、一般的なサイバー脅威に対処しうることを水準として規定していると説明しています。
この説明は非常に重要です。★3は、専門組織や大企業だけが目指す高度なレベルというより、一般企業がまず到達すべき実務的な基準と考えるべきです。
一般的なサイバー脅威とは、たとえば次のようなものです。
フィッシングメールによる認証情報の窃取。
既知の脆弱性を悪用した侵入。
マルウェア感染。
ランサムウェアによるファイル暗号化。
不適切な共有設定による情報漏えい。
退職者アカウントの放置。
バックアップ不備による復旧不能。
これらは、特別な企業だけが直面する脅威ではありません。業種や規模を問わず、多くの企業が直面し得るリスクです。
★3は、こうした一般的な脅威に対して、最低限説明できる対策を整える段階です。
★3の取得方法
IPAの公開情報によると、★3はセキュリティ専門家による確認を経た取得希望組織による自己評価、つまり専門家確認付き自己評価が求められます。
流れは次の通りです。
まず、取得を希望する組織が、★3要求事項・評価基準に基づいて自己評価を記入します。このとき、必要に応じて社内外のセキュリティ専門家から支援を受けることも可能とされています。
次に、社内外のセキュリティ専門家が、取得希望組織の記入内容を確認します。必要に応じて、評価結果の修正を含む助言を行い、最終的に事務局へ提出する内容を了承した場合に署名します。
その後、取得希望組織は、経営層による自己適合宣誓を含め、事務局に評価結果を提出します。この評価結果には、セキュリティ専門家による署名が含まれます。
最後に、事務局が申請内容に問題がないと判断した場合、台帳に登録し、公開します。
この流れから分かる通り、★3は自己評価ではありますが、単なる自己申告ではありません。セキュリティ専門家の確認と助言、経営層による自己適合宣誓、事務局への提出、登録・公開という手順が含まれます。
ここが、SECURITY ACTIONの一つ星・二つ星との大きな違いです。
★3で企業が整えるべき内容
IPAのページでは詳細な要求事項のすべてを本文中に列挙しているわけではありませんが、SCS評価制度の制度構築方針や★3の位置づけから見ると、企業は少なくとも次のような領域を整備しておく必要があります。
セキュリティ方針と責任体制
まず必要になるのは、会社として誰が情報セキュリティを管理するのかを明確にすることです。
中小企業では、総務担当者や情報システム担当者が兼任で対応しているケースが多くあります。しかし、担当者が曖昧なままだと、インシデント発生時に誰が判断するのか、取引先からの質問に誰が回答するのか、ルールを誰が更新するのかが不明確になります。
★3を目指す場合、最低限、情報セキュリティに関する責任者、実務担当者、経営層への報告ルートを整理しておく必要があります。
資産管理
次に重要なのが、情報資産やIT資産の把握です。
どの端末を使っているのか。
どのサーバを利用しているのか。
どのクラウドサービスを契約しているのか。
どのソフトウェアが入っているのか。
誰がどのシステムにアクセスできるのか。
これらが分からなければ、脆弱性管理もアクセス管理もできません。退職者のアカウントが残っていても気づけませんし、サポート切れソフトウェアが使われていても把握できません。
★3対応では、まず資産台帳を整えることが大きな出発点になります。
ID・アクセス管理
IDとアクセス権限の管理は、企業のセキュリティで最も基本的な領域です。
入社時に必要なアカウントを発行する。
異動時に権限を見直す。
退職時に速やかにアカウントを停止する。
共有IDをできるだけ避ける。
管理者権限を必要最小限にする。
重要なシステムには多要素認証を導入する。
このあたりが曖昧だと、内部不正や外部侵入のリスクが高まります。特にクラウドサービスやリモートアクセスでは、IDが侵害されると社外から簡単にアクセスされる可能性があります。
★3では、こうした基本的なID管理を「ルールとして存在する」だけでなく、実際に運用できる状態にしておくことが重要です。
パッチ管理と脆弱性対応
OSやソフトウェアの更新は、一つ星の情報セキュリティ6か条にも含まれる基本対策です。しかし、SCS★3を考える場合は、単に「更新しています」で終わらせるのではなく、どのように確認し、どのタイミングで適用し、例外がある場合にどう管理するかまで考える必要があります。
特に、VPN機器、ファイアウォール、リモートアクセス製品、グループウェア、ファイル共有サービスなどは、脆弱性が悪用されると大きな被害につながります。
実務上は、月次で更新状況を確認する、重要な脆弱性情報が出た場合は緊急対応する、更新できない機器は代替策を設ける、といった運用が必要になります。
バックアップと復旧
バックアップは、一つ星の6か条にも追加されている重要な対策です。
ただし、バックアップは「取っている」だけでは十分ではありません。
どのデータをバックアップしているのか。
どの頻度で取得しているのか。
どこに保管しているのか。
ランサムウェア感染時にバックアップまで暗号化されないか。
実際に復元できるか確認しているか。
ここまで確認して初めて、実効性のあるバックアップと言えます。
★3では、一般的な脅威に対処する水準が求められるため、ランサムウェアを想定したバックアップ運用は非常に重要です。
ログ取得と確認
ログ管理は、多くの企業で形骸化しやすい領域です。
ログを取得しているが誰も見ていない。
ログの保存期間が分からない。
異常があったときに通知されない。
インシデント時に必要なログが残っていない。
こうした状態では、攻撃の発見も原因調査も難しくなります。
★3の段階では、高度なSOC運用までは不要でも、少なくとも重要なシステムやネットワーク機器について、ログを取得し、必要時に確認できる状態を整えることが望まれます。
インシデント対応手順
インシデント対応手順も重要です。
マルウェア感染が疑われる端末をどう隔離するか。
不審メールを受信した場合に誰へ報告するか。
情報漏えいの可能性がある場合、誰が判断し、誰に連絡するか。
取引先や関係機関への報告は誰が行うか。
復旧の優先順位はどう決めるか。
これらをインシデント発生後に考えていては間に合いません。
★3では、最低限のインシデント対応手順を文書化し、関係者が把握している状態にしておく必要があります。
★3取得を目指す企業には専門家支援が重要になる
ここまで説明した通り、SCS評価制度の★3は、単なる自己申告ではありません。IPAの公開情報では、★3はセキュリティ専門家による確認を経た自己評価、いわゆる専門家確認付き自己評価とされています。
具体的には、取得希望組織が★3要求事項・評価基準に基づいて自己評価を行い、その内容を社内外のセキュリティ専門家が確認します。専門家は、必要に応じて評価結果の修正を含む助言を行い、最終的に事務局へ提出する内容を了承した場合に署名を行います。
つまり、★3は「自社でチェックシートを書いて終わり」ではありません。評価項目の意味を正しく理解し、自社の実態に照らして過不足を確認し、必要な改善を行ったうえで、専門家の確認を受ける必要があります。
特に一般企業では、次のような点でつまずきやすくなります。
セキュリティ方針はあるが、実際の運用と合っていない。
資産台帳はあるが、クラウドサービスや外部委託先が漏れている。
アクセス権限のルールはあるが、退職者アカウントや共有IDが残っている。
バックアップは取得しているが、復元確認をしていない。
ログは保存しているが、誰がどの頻度で確認するか決まっていない。
インシデント対応手順はあるが、初動対応や報告ルートが曖昧になっている。
このような状態では、形式上は対策しているように見えても、★3の評価に向けた説明としては不十分になる可能性があります。
当社の★3専門家支援サービスについて
当社では、SCS評価制度の★3取得を目指す企業様向けに、専門家確認・助言支援サービスを提供予定です。
本サービスでは、まず現在のセキュリティ対策状況を確認し、★3要求事項に照らして不足している部分を整理します。そのうえで、規程、台帳、アクセス管理、バックアップ、ログ管理、インシデント対応手順などを確認し、評価に向けて改善すべき点を分かりやすく提示します。
単に書類を整えるだけではなく、実際に運用できる状態になっているかを重視する点が特徴です。SCS評価制度は、取引先に対して「対策しています」と説明するための制度であると同時に、実際のサイバーリスクを下げるための制度でもあります。そのため、当社では、形式的なチェックではなく、現場で使えるルール・手順・運用の整備を支援します。
当社の★3専門家支援サービスで支援できる内容
主な支援内容は、次の通りです。
現状診断
現在の対策状況を確認し、★3要求事項に対して不足している項目を整理します。
自己評価の作成支援
企業様が自社の状況を正しく評価できるよう、各項目の考え方や証跡の整理を支援します。
規程・台帳類の確認と整備支援
情報セキュリティ基本方針、資産管理台帳、アカウント管理台帳、外部サービス一覧、委託先一覧、バックアップ管理表などを確認し、必要に応じて整備を支援します。
アクセス管理・バックアップ・ログ管理の助言
実際の運用状況を確認し、過剰権限、退職者アカウント、共有ID、バックアップ未検証、ログ未確認などのリスクを洗い出します。
インシデント対応手順の整備
マルウェア感染、不審メール、情報漏えい、ランサムウェア被害などを想定し、初動対応、報告ルート、連絡先、復旧判断の流れを整理します。
経営層への説明支援
★3では、経営層による自己適合宣誓を含めて事務局へ評価結果を提出する流れが示されています。そのため、担当者だけでなく、経営層が制度の意味と自社の対応状況を理解できるよう、説明資料の作成や報告内容の整理も支援します。
★3専門家支援サービスを利用するメリット
専門家支援を活用する最大のメリットは、自社だけでは気づきにくい不足点を早期に把握できることです。
セキュリティ対策は、社内では「できている」と思っていても、外部から見ると説明不足や運用不備が見つかることがあります。たとえば、バックアップを取っていても復元確認がなければ、実際の事故時に復旧できるとは限りません。ログを保存していても、確認ルールがなければ検知体制としては弱くなります。
また、★3対応は、制度開始後に慌てて行うよりも、早めに不足項目を把握して段階的に整備する方が負担を抑えられます。特に、規程や台帳、アクセス権限の棚卸し、バックアップ運用、インシデント対応手順は、短期間で一気に整えるより、実態に合わせて見直す方が現場に定着しやすくなります。
当社の支援では、企業様の業種や規模、既存のIT環境に合わせて、過剰な対策ではなく、まず★3に必要な現実的な整備を優先します。高額な製品導入を前提にするのではなく、現在の環境で何を整えるべきか、どこから改善すべきかを明確にします。
このような企業様におすすめです
SCS★3に対応したいが、何から始めればよいか分からない。
SECURITY ACTIONの一つ星・二つ星は宣言しているが、その次の段階に進みたい。
取引先からセキュリティ対策状況の説明を求められている。
規程や台帳はあるが、内容が古く、実態と合っているか不安がある。
ログ、バックアップ、アクセス権限、インシデント対応の運用に不安がある。
制度開始前に、自社が★3に届く状態か確認しておきたい。
SCS評価制度は、まだ詳細化が進んでいる段階ではありますが、★3が専門家確認付き自己評価であることはIPAの公開情報でも明確に示されています。制度開始を待ってから準備するのではなく、今のうちに現状を整理しておくことで、取引先からの確認や制度対応に落ち着いて対応しやすくなります。
当社では、SCS★3を見据えた現状診断、自己評価支援、規程・台帳整備、ログ管理・バックアップ運用の見直し、インシデント対応手順の作成まで、企業様の状況に合わせて支援いたします。
「自社は★3にどこまで近づいているのか確認したい」という段階でもご相談いただけます。まずは現状を整理し、無理なく進められる対応計画を一緒に作成します。
★3のメリット
★3の最大のメリットは、取引先に対して、自社のセキュリティ対策を説明しやすくなることです。
SECURITY ACTIONの一つ星・二つ星は自己宣言ですが、★3はセキュリティ専門家による確認を経た自己評価です。そのため、対外的な説明力は大きく高まります。
また、★3対応を進める過程で、社内のルールや台帳、アクセス権限、バックアップ、ログ管理、インシデント対応手順が整理されます。これは制度対応だけでなく、実際のセキュリティ事故防止にもつながります。
さらに、将来的に★4を目指す場合にも、★3の整備内容は土台になります。いきなり第三者評価を受けようとしても、規程や証跡が整っていなければ対応は難しくなります。まず★3で基礎を固めることは、非常に現実的な進め方です。
★3のデメリットと注意点
★3の注意点は、文書整備と運用整備に一定の負担がかかることです。
特に中小企業では、情報セキュリティ基本方針はあっても、資産台帳がない、アクセス権限の棚卸しをしていない、ログを見ていない、インシデント対応手順がない、というケースが少なくありません。
また、★3ではセキュリティ専門家の確認が必要です。そのため、社内に十分な知見がない場合は、外部の専門家に支援を依頼する必要が出てきます。
ただし、この負担は単なるコストではありません。自社の弱点を把握し、取引先に説明できる状態を作るための投資と考えるべきです。
SCS★4の位置づけ
IPAは、★4について、初期侵入の防御にとどまらず、内外への被害拡大防止・目的遂行のリスク低減によって取引先のデータやシステム保護に寄与する点や、サプライチェーンにおける自社の役割に適合したサプライチェーン強靭化策が講じられていることを水準として規定していると説明しています。
この説明を実務的に言い換えると、★4は「侵入されないこと」だけを目指す段階ではありません。
侵入された場合でも、被害を広げない。
取引先のデータやシステムを守る。
自社の役割に応じて、サプライチェーン全体への影響を抑える。
継続的にリスクを管理する。
ここまで求められるのが★4です。
つまり、★4は単なるセキュリティ対策のチェックではなく、事業継続、委託先管理、検知・対応、復旧まで含めた総合的な管理水準と考えるべきです。
★4の取得方法
IPAによると、★4は、第三者評価および技術検証の実施が求められます。
流れは次のように整理されています。
まず、指定委員会が評価機関と技術検証事業者を指定します。
取得希望組織は、★4要求事項・評価基準に基づいて自己評価を記入します。
その後、評価機関に検証・評価を依頼します。
評価機関は検証・評価を実施します。必要に応じて、他の技術検証事業者が技術検証を行う場合もあります。
評価機関は、取得希望組織に評価報告書を提供します。
取得希望組織は、事務局に★4の登録を申請します。
事務局は、申請内容に問題がない場合、台帳に登録し、公開します。
★4は、★3よりも明らかに客観性が高い評価です。文書確認だけでなく、実地審査や技術検証も行われるとされています。
ここで重要なのは、★4は「資料を整えればよい」という制度ではないことです。実際に運用されているか、設定や技術的な状態が適切かまで確認される可能性があります。
★4で企業が整えるべき内容
★4では、★3の基礎対策に加え、より高度で継続的な管理が必要になります。
経営層の関与
★4では、情報システム担当者だけで対応するのは困難です。
セキュリティ対策には、予算、人員、業務ルール、取引先との契約、事業継続判断が関わります。これらは担当者だけでは決められません。
経営層が、サイバーリスクを事業リスクとして理解し、必要な判断を行う体制が必要です。
取引先管理
★4で特に重要になるのが、取引先管理です。
どの取引先に機密情報を渡しているか。
どの委託先が自社システムに接続しているか。
どの外部サービスが業務継続に不可欠か。
委託契約にセキュリティ条項があるか。
インシデント発生時の連絡体制や責任分界が明確か。
こうした管理ができていなければ、サプライチェーン全体の強靭化はできません。
★4では、自社だけでなく、自社がサプライチェーンの中でどの役割を持ち、どの取引先とどのように接続しているかを把握することが重要です。
脆弱性管理プロセス
★3でも更新管理は重要ですが、★4ではより組織的な脆弱性管理が求められます。
脆弱性情報をどこから収集するのか。
自社に影響があるか誰が判断するのか。
緊急度をどう分類するのか。
対応期限をどう決めるのか。
対応できない場合の代替策をどう管理するのか。
このようなプロセスが必要です。
特に、外部公開サーバ、VPN、ファイアウォール、リモートアクセス、クラウドサービスは、脆弱性悪用のリスクが高いため、継続的な管理が欠かせません。
ログ分析と検知
★4では、ログを取るだけでは不十分です。
不審なログインがないか。
海外からのアクセスが急増していないか。
管理者権限の利用に異常がないか。
大量のデータ転送が発生していないか。
マルウェア感染を示す通信がないか。
こうした観点で、ログを定期的に確認し、必要に応じて調査できる体制が必要になります。
IPAは★4について、初期侵入の防御にとどまらず、被害拡大防止や目的遂行のリスク低減を水準として挙げています。そのため、侵入後の検知や封じ込めの考え方が重要になります。
技術検証への備え
★4では技術検証が求められます。
これは、設定や運用が実際に機能しているかを確認するものと理解できます。
たとえば、ファイアウォールの設定は適切か。
不要なポートが開いていないか。
MFAが必要な範囲で有効になっているか。
重要システムへのアクセス制御が適切か。
外部公開システムに重大な脆弱性が残っていないか。
このような確認に耐えられるよう、設定内容、運用記録、変更履歴を整えておくことが重要です。
復旧力と事業継続
★4では、被害を防ぐだけでなく、被害が発生した場合にどれだけ早く復旧できるかも重要になります。
どの業務を優先して復旧するのか。
どのシステムが止まると事業に大きな影響が出るのか。
どの時点のデータまで戻せれば業務を再開できるのか。
どのくらいの時間で復旧する必要があるのか。
復旧手順を誰が実行するのか。
こうした内容を整理していなければ、実際のインシデント時に混乱します。
★4は、単に守る制度ではなく、止まった場合に戻す力まで問われる段階と考えるべきです。
★4のメリット
★4のメリットは、取引先に対する信頼性が大きく高まることです。
★4は第三者評価と技術検証が求められるため、自己宣言や自己評価よりも客観性が高くなります。大手企業や重要な委託元に対して、自社のセキュリティ水準を説明する材料として非常に有効です。
また、★4対応を進めることで、実際のセキュリティ運用も強化されます。取引先管理、ログ分析、脆弱性管理、復旧計画などは、制度対応のためだけでなく、事故発生時の被害軽減にも直結します。
特に、ITベンダー、クラウドサービス事業者、BPO、保守会社、医療・介護関連サービス、製造業の重要委託先などは、★4を目指すことで競争優位につながる可能性があります。
★4のデメリットと注意点
★4のデメリットは、負担が大きいことです。
第三者評価と技術検証があるため、書類だけでは対応できません。現場での運用、設定、証跡、改善記録まで整える必要があります。
また、経営層の関与が不可欠です。ログ分析や脆弱性管理、取引先管理、復旧計画にはコストがかかります。担当者が必要性を理解していても、経営判断がなければ十分な体制を作れません。
そのため、すべての企業が最初から★4を目指す必要はありません。まず★3で基礎を整え、自社の取引上の立場やリスクに応じて★4を検討するのが現実的です。
★5の位置づけ
IPAは、★5について、より高度なサイバー攻撃への対応として、自組織のリスクを適切に把握・マネジメントしたうえで、既存のガイドライン等も踏まえ、現時点でのベストプラクティスに基づく対策を実行する形を想定していると説明しています。
ただし、★5については、今後さらに具体化するとされています。また、IPAのスケジュールでは、★5については2026年度に基準や評価スキーム等を検討し、開始予定時期等は引き続き議論するとされています。
つまり、2026年4月時点で、★5は制度上の構想として存在しますが、企業がすぐに取得準備を始める段階ではありません。
実務上は、★5を「将来的な高度レベル」として意識しつつ、今は★3・★4の整備を優先するのが適切です。
上位段階と下位段階の関係
IPAの公開情報で重要な点として、上位の段階はそれ以下の段階で求められる事項を包括するが、★3を事前に取得していなければ★4を取得できないという関係ではないと説明されています。
これは実務上、大切なポイントです。
つまり、★4を取得したい企業が、必ず先に★3を取得しなければならないわけではありません。十分な体制が整っている企業であれば、★4へ進むことも制度上は考えられます。
ただし、多くの企業にとっては、まず★3相当の基礎を整えたうえで★4へ進む方が現実的です。★4は第三者評価と技術検証を伴うため、基礎が整っていない状態で挑むと、準備負担が大きくなります。
評価・確認では何が見られるのか
IPAは、評価・確認の実施内容として、★3ではセキュリティ専門家が取得希望組織の作成した書類の確認を行い、★4では評価機関および技術検証事業者が、文書確認に加えて実地審査および技術検証を行うと説明しています。
また、評価プロセスでは、各取得希望組織が決定した適用範囲の中から対象をサンプリングして評価等を実施することが想定されています。
この点から、企業は「どの範囲を評価対象にするのか」を明確にする必要があります。
全社なのか。
特定の事業部なのか。
特定のシステムやサービスなのか。
委託業務に関わる範囲なのか。
クラウド環境を含むのか。
適用範囲が曖昧だと、評価準備も証跡整理も難しくなります。SCS対応では、最初に評価対象範囲を整理することが重要です。
今後のスケジュール
IPAは、今後のスケジュールも公開しています。
★3・★4については、2025年度に実証事業や評価、基準案の確定を進め、2026年度上期に制度詳細化および運用開始準備、2026年度下期に評価用ガイド等を公表し、その後、運用開始と取得企業の公表を想定しています。
★5については、2026年度に基準や評価スキーム等を検討し、スキームや開始予定時期は引き続き議論するとされています。
このスケジュールを見る限り、現時点で企業が行うべきことは、すぐに申請することではなく、制度開始に向けて準備を進めることです。
特に、★3を目指す企業は、今のうちに規程、台帳、アクセス管理、バックアップ、ログ、インシデント対応手順を整えておくべきです。★4を視野に入れる企業は、加えて取引先管理、脆弱性管理、ログ分析、技術検証に耐える設定確認、復旧計画まで準備する必要があります。
企業が今すぐ確認すべきチェックポイント
SCS対応を考える企業は、まず次の点を確認してください。
SECURITY ACTION相当の基礎
一つ星の6か条に対応しているか。
二つ星に必要な自社診断を行っているか。
情報セキュリティ基本方針を策定し、外部公開しているか。
SECURITY ACTIONを「取得」ではなく「宣言」と正しく表現しているか。
★3に向けた確認
セキュリティ責任者と担当者が明確か。
資産台帳があるか。
クラウドサービスの利用状況を把握しているか。
アカウント発行・変更・削除のルールがあるか。
管理者権限が整理されているか。
バックアップの復元確認をしているか。
ログを取得し、必要時に確認できるか。
インシデント対応手順があるか。
経営層が自己適合宣誓できる状態か。
★4に向けた確認
取引先管理の仕組みがあるか。
重要な委託先を把握しているか。
契約上の責任分界やインシデント時の連絡体制が明確か。
脆弱性情報の収集と対応判断の流れがあるか。
ログ分析や異常検知の体制があるか。
技術検証に耐えられる設定管理ができているか。
復旧目標や復旧手順が整っているか。
経営層へ定期的に報告する仕組みがあるか。
これらの質問に明確に答えられない場合、制度開始前に準備を進める価値があります。
よくある誤解
誤解1:セキュリティ製品を入れれば対応できる
SCS対応は、製品導入だけでは完了しません。
ウイルス対策ソフト、EDR、UTM、ファイアウォール、資産管理ツールなどは有効な手段です。しかし、制度で問われるのは、製品の有無だけではなく、組織としての管理、運用、確認、改善です。
誤解2:情報システム担当者だけで対応できる
★3でも経営層による自己適合宣誓が含まれます。★4では第三者評価や技術検証もあり、取引先管理や復旧計画も関係します。
そのため、担当者だけで対応するのではなく、経営層、総務、法務、現場部門、委託先管理部門を巻き込む必要があります。
SECURITY ACTIONを宣言していれば十分
SECURITY ACTIONは有益な制度ですが、自己宣言です。IPAも、SECURITY ACTIONはIPAが認定するものではないと明記しています。
取引先からより具体的な対策状況を求められる場合は、SCS★3や★4を見据えた整備が必要になります。
誤解4:制度開始後に対応すればよい
制度開始後に準備を始めると、台帳整備、規程作成、ログ設定、バックアップ見直し、取引先管理、証跡整理に時間がかかります。
特に★4を目指す場合、文書確認だけでなく実地審査や技術検証が想定されているため、直前対応は難しいと考えるべきです。
企業にとってのメリット
SCS評価制度に備えるメリットは、単に「星を取得すること」ではありません。
第一に、取引先への説明力が高まります。
セキュリティ対策を聞かれたときに、口頭説明ではなく、制度に沿った形で説明できるようになります。
第二に、社内の管理が整理されます。
資産台帳、アクセス権、バックアップ、ログ、インシデント対応手順などを整えることで、事故の予防と対応力が高まります。
第三に、営業上の差別化につながります。
特に委託業務、ITサービス、保守、BPO、クラウド、医療・介護関連、製造業のサプライヤーなどでは、セキュリティ対策を説明できることが選定上の強みになる可能性があります。
第四に、将来の調達要件への備えになります。
制度そのものが直ちに全企業へ義務化されるわけではありませんが、発注企業が取引先評価の基準として活用する可能性は十分にあります。
デメリットと負担
一方で、SCS対応には負担もあります。
文書整備に時間がかかります。
台帳やルールを作るだけでなく、実態と一致させる必要があります。
ログやバックアップなど、技術的な設定確認も必要です。
★3ではセキュリティ専門家の確認が必要です。
★4では第三者評価と技術検証が必要です。
評価対象範囲の整理や証跡準備も必要です。
ただし、これらは制度対応のためだけの作業ではありません。実際のサイバー事故を防ぎ、事故発生時の被害を抑えるために必要な基礎整備でもあります。
どの企業が★3・★4を目指すべきか
まず、多くの企業は★3を目標にするのが現実的です。
特に、取引先からセキュリティチェックを受ける企業、個人情報や機密情報を扱う企業、クラウドサービスを多く利用している企業、委託先として業務を受けている企業は、★3相当の整備を早めに進めるべきです。
一方で、★4を視野に入れるべき企業もあります。
重要な業務を受託している企業。
大手企業や公共性の高い組織と取引している企業。
取引先のシステムやデータに接続する企業。
サービス停止が顧客業務に大きな影響を与える企業。
ITベンダー、クラウド事業者、保守会社、BPO、データ処理事業者。
製造業や物流など、サプライチェーン上の重要な役割を担う企業。
このような企業は、★3で止まるのではなく、★4の要求水準を意識して準備を進める価値があります。
まとめ
SCS評価制度は、これからの企業間取引において重要な意味を持つ制度です。
SECURITY ACTIONの一つ星・二つ星は、情報セキュリティ対策を始めるための自己宣言です。一つ星では情報セキュリティ6か条に取り組み、二つ星では自社診断と情報セキュリティ基本方針の外部公開を行います。
SCS★3は、一般的なサイバー脅威に対処しうる水準として、専門家確認付き自己評価を行う段階です。
SCS★4は、初期侵入の防御にとどまらず、被害拡大防止、取引先のデータやシステム保護、サプライチェーンにおける自社の役割に応じた強靭化策まで求められる段階です。第三者評価と技術検証が必要になります。
★5は、より高度なサイバー攻撃への対応を想定した上位段階ですが、2026年度に基準や評価スキーム等が検討される段階です。
企業としては、まずSECURITY ACTION相当の基礎を確認し、次にSCS★3を見据えて規程・台帳・運用・ログ・バックアップ・インシデント対応を整える。そのうえで、取引上の重要性に応じて★4を目指すか判断するのが現実的です。
SCS評価制度への対応でお困りの企業様へ
SCS評価制度は、公式資料を読むだけでは自社に何が足りないのか判断しにくい制度です。
「一つ星・二つ星は宣言しているが、★3に進むには何が必要か分からない」
「取引先からセキュリティ対策状況を聞かれたが、どこまで回答すればよいか分からない」
「資産台帳、アクセス権管理、ログ管理、バックアップ、インシデント対応手順が整っていない」
「★4まで見据えるべきか、★3で十分なのか判断したい」
このような場合は、制度開始を待つのではなく、早めに現状を整理しておくことをおすすめします。
当社では、業種を問わず、SCS評価制度を見据えた現状診断、規程・台帳整備、ログ管理、インシデント対応手順の作成、★3・★4対応に向けた伴走支援を行っています。
特に★3については、専門家確認付き自己評価であるため、自己評価の記載内容、証跡の整理、規程や運用の実態確認、経営層への説明まで含めた準備が重要になります。
当社の★3専門家支援サービスでは、現在の対策状況を確認し、★3要求事項に対して不足している部分を整理します。そのうえで、企業様の業種や規模、既存のIT環境に合わせて、過剰な製品導入を前提とせず、現実的に整備すべき内容を明確にします。
「自社は★3にどこまで近づいているのか確認したい」という段階でもご相談いただけます。
まずは、自社がどの段階にいるのかを確認するところから始めてみてください。
公式参照元
- IPA「SCS評価制度の詳細情報」
- IPA「SECURITY ACTIONとは?」
- IPA「一つ星を宣言する」
- IPA「二つ星を宣言する」