SCS評価制度とは? — 取引条件を左右する新しいセキュリティ基準
2026年3月27日、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の制度構築方針を正式に公表しました。2026年10月の運用開始を目指すこの制度は、企業のセキュリティ対策の実施状況を★3〜★5の3段階で可視化する仕組みです。
従来の「自社のセキュリティは自社で守る」という考え方から、サプライチェーン全体でセキュリティ水準を担保する方向へ、国の方針が大きく舵を切ったことを意味します。
なぜ中小企業に関係があるのか
大企業が取引先にセキュリティ評価を求める動きはすでに始まっています。SCS評価制度が正式に運用されれば、★3を取得していないことが取引条件のネックになる可能性があります。IPAの調査によると、中小企業の69.7%が「組織的なセキュリティ対策を行っていない」状況であり、多くの企業が対応を迫られることになります。
★3〜★5の評価レベルと対策範囲
| レベル | 対象 | 主な要件 | 開始時期 |
|---|---|---|---|
| ★3 | 全企業(基礎水準) | 25項目の対策実施+自己適合宣言 | 2026年10月〜 |
| ★4 | サプライチェーン上の重要企業 | ★3+第三者評価+追加対策 | 2026年10月〜 |
| ★5 | 重要インフラ企業等 | ISMS相当+高度な対策 | 2027年度以降検討 |
多くの中小企業がまず目指すべきは★3です。自社で対策を実施し、その内容を説明できる状態(自己適合宣言)を整えることが求められます。
★3取得に必要な25項目の概要
経済産業省が示す★3の対策基準は、IPAの「中小企業の情報セキュリティ対策ガイドライン」をベースに構成されています。大きく5つの分野に分かれます。
1. 組織的対策
- 情報セキュリティポリシーの策定: 社内ルールを文書化し、全従業員に周知する
- 責任体制の明確化: セキュリティ責任者を任命し、インシデント発生時の連絡フローを定める
- 従業員教育: 年1回以上のセキュリティ研修を実施する
2. 技術的対策
- ファイアウォール・WAFの設置: 外部からの不正アクセスを防ぐ
- ウイルス対策ソフトの導入: エンドポイントの保護
- OSやソフトウェアのアップデート管理: 脆弱性を放置しない運用体制
- アクセス制御: 最小権限の原則に基づく権限設計
3. Webサイトのセキュリティ
企業のWebサイトは攻撃の入口として狙われやすいポイントです。
- SSL/TLS証明書の適用: 全ページHTTPS化
- CMS(WordPress等)のアップデート管理: プラグインを含む定期的な更新
- 問い合わせフォームの脆弱性対策: SQLインジェクション・XSS対策
- 管理画面のアクセス制限: IP制限や二要素認証の導入
4. データ管理
- バックアップの定期実施: ランサムウェア対策として3-2-1ルールの適用
- 個人情報の取り扱いルール策定: 保管場所・アクセス権限の明確化
- 廃棄手順の明文化: 機器・データの安全な廃棄プロセス
5. インシデント対応
- インシデント対応計画の策定: 発見から報告・復旧までのフローを文書化
- 連絡先リストの整備: IPA、警察、取引先への報告ルートを事前に確認
- 定期的な訓練: 年1回以上のインシデント対応訓練
Webサイトの具体的なセキュリティ改修ポイント
SCS評価制度の対策項目の中で、Webサイトのセキュリティは多くの中小企業が手薄になっている領域です。具体的に何をチェックすべきかを見ていきましょう。
HTTPSの完全適用
全ページがHTTPSで配信されているか確認します。混在コンテンツ(Mixed Content)が残っていると、ブラウザが警告を表示するだけでなく、評価制度の要件を満たせません。
# 混在コンテンツの確認方法
# Chrome DevTools → Console → Mixed Content警告の有無を確認CMSのセキュリティ対策
WordPressを使用している場合、以下の対策が必須です。
- コア・プラグイン・テーマの定期更新 — 月1回以上の更新チェック
- 不要なプラグインの削除 — 使っていないプラグインは即削除
- 管理画面への二要素認証導入 — Google Authenticator等の活用
- ログイン試行回数の制限 — ブルートフォース攻撃の防止
- WAF(Web Application Firewall)の導入 — Cloudflare等のクラウドWAF
セキュリティヘッダーの設定
# 推奨するHTTPセキュリティヘッダー
Content-Security-Policy: default-src 'self';
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
Strict-Transport-Security: max-age=31536000; includeSubDomains
Referrer-Policy: strict-origin-when-cross-origin支援制度を活用する
中小企業向けの支援策として「サイバーセキュリティお助け隊サービス(新類型)」が創設される予定です。★3の取得に必要な評価や対策の実施を、安価かつ簡便に支援するサービスで、専門知識がない企業でも取り組みやすくなります。
また、IPAの「登録セキスペ(登録情報セキュリティスペシャリスト)」に相談できる仕組みも整備されます。★3の適合可否について専門家の助言を受けられるため、自社だけで判断に迷う場合は積極的に活用しましょう。
SECURITY ACTION宣言から始める
SCS評価制度の前段階として、IPAが提供する「SECURITY ACTION」の宣言(★1・★2)から始めるのも有効です。すでに80万社以上が宣言しており、IT導入補助金の申請要件にもなっています。
対応スケジュールの目安
| 時期 | やるべきこと |
|---|---|
| 2026年4〜6月 | 制度の理解・自社の現状把握・ギャップ分析 |
| 2026年7〜8月 | 不足対策の実施・文書化・教育実施 |
| 2026年9月 | 自己適合宣言の準備・最終チェック |
| 2026年10月〜 | ★3の取得申請 |
まとめ — 「守りのIT投資」が取引を守る時代
SCS評価制度は、セキュリティ対策を「コスト」から「取引維持のための必須投資」に変える制度です。特にWebサイトのセキュリティは、企業の「顔」であると同時に攻撃の入口にもなり得ます。
対応のポイントは3つです。
- まず現状を把握する — 自社のセキュリティ対策がどの程度できているかを棚卸し
- Webサイトから着手する — 最も外部に露出している領域を優先的に改修
- 支援制度を活用する — お助け隊サービスや登録セキスペを積極的に利用
制度開始まで約半年。今から準備を始めれば十分に間に合います。Webサイトのセキュリティ診断や改修については、Webサイトのセキュリティ対策入門も参考にしてください。また、Google Workspaceを利用している企業はGoogle Workspace セキュリティ設定チェックリストでの対策も有効です。
自社のWebサイトやITインフラのセキュリティ改修についてお困りの場合は、ぜひお問い合わせください。現状診断から★3取得に向けた改修まで、一貫してサポートいたします。
