★3(段階3)で求められること
本ページの位置づけ
本ページは経済産業省が公表した公式資料の要約です。現在は「案」の段階であり、今後変更される可能性があります。
★3の位置付け
★3(段階3)は、SCS評価制度における基礎水準として位置付けられています。
評価スキーム
★3: 専門家確認付き自己評価
企業による自己評価に加え、専門家による確認を受けることで取得を目指します。
制度開始目標
令和8年度(2026年度)末頃を目指して制度開始が予定されています。
※「令和8年度末頃」=概ね2027年3月頃となります(年度末のため、暦年の「2026年末」とはズレがあります)
別添(案)に含まれる要求事項の例
経済産業省が公表した別添(Excel)には、★3の基礎水準として以下のような要求事項案が含まれています。
組織的対策
- 情報セキュリティポリシーの策定
- セキュリティ責任者の任命
- 従業員教育の実施
技術的対策
- 脆弱性管理(パッチ適用等)
- アクセス制御
- バックアップの実施
運用管理
- インシデント対応手順の整備
- ログの記録と監視
- 定期的な見直しと改善
※上記は IPA 公開の要求事項・評価基準(2026 年 4 月 21 日公開)に含まれる要求事項の一部を分類したものです。正式な要求事項の詳細は、IPA 公式資料(要求事項・評価基準)をご確認ください。
よくある誤解
SCS評価制度(★)とSECURITY ACTION(一つ星/二つ星)の違い
SCS評価制度の「段階★」と、SECURITY ACTIONの「一つ星/二つ星」は別制度です。混同にご注意ください。
- SCS評価制度: サプライチェーン全体のセキュリティ対策を評価する制度(★3・★4・★5の3段階)
- SECURITY ACTION: 中小企業の自己宣言制度(一つ星/二つ星の2段階、IPAが運営)
格付けではない
SCS評価制度は、企業のセキュリティ対策状況を可視化し、サプライチェーン全体のセキュリティ向上を目的としています。企業の格付けや優劣を決めることが目的ではありません(経産省公式資料より)。
認証・認定との違い
SCS評価制度は、ISO27001等の認証制度とは異なる枠組みです。既存の認証を取得していても、SCS評価制度の要求事項を満たす必要があります。
取得に向けた第一歩
★3の取得を目指すにあたり、以下のステップから始めることをお勧めします。
1. 現状把握
- 五行セキュリティの無料診断で自社の対応状況を確認
- IPAの5分でできる!情報セキュリティ自社診断を活用
2. SECURITY ACTIONとの関係
既にSECURITY ACTION(一つ星/二つ星)を宣言している場合、その取り組みは★3への準備として有効です。ただし、SCS評価制度は別制度のため、★3取得には専門家確認付き自己評価が必要です。
3. 基礎的な対策の実施
IPAの中小企業の情報セキュリティ対策ガイドラインを参考に、基礎的な対策から順次実施していきましょう。
参照一次情報
本ページの記載内容は、以下の公式資料に基づいています。詳細は出典ライブラリをご確認ください。
- IPA SCS 評価制度(2026/4/21 公開):公式サイト/要求事項・評価基準(Excel)
- 経済産業省プレスリリース(2026/3/27):制度構築方針 公表
ご注意(2026-01-11時点)
本ページは経済産業省が公表した「制度構築方針」(2026年3月27日)および IPA が公開した SCS 評価制度サイト・要求事項/評価基準(2026年4月21日)に基づいています。
- 要求事項 43 件・評価基準 153 件(★3 81 件・★4 72 件)
- 制度規程・評価ガイドは 2026 年 8 月以降に詳細化される予定です
- 本サービスの診断は公式の評価・取得手続きではありません
- 最新情報は IPA・経産省の公式発表をご確認ください
最終更新: 2026-01-11