2027年3月頃 ★3・★4 運用開始予定

サプライチェーン強化に向けた
セキュリティ対策評価制度

経済産業省と内閣官房が制度構築方針を公表し、IPA が運営する新しい制度。 取引先のセキュリティ水準を共通化・可視化することで、サプライチェーン全体のリスクを下げる仕組みです。 2026年4月時点の公開情報に基づき、要件・スキーム・スケジュールを徹底解説します。

大分類

7区分

要求事項

43

評価基準

153

★3 評価基準

81基準

出典: IPA「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」(2026年4月21日公開)/ METI プレスリリース(2026年3月27日)

制度の概要

SCS評価制度は、経済産業省と内閣官房国家サイバー統括室が 2026 年 3 月 27 日に「制度構築方針」として公表し、独立行政法人情報処理推進機構(IPA)が運営主体となる新しい評価制度です。 IPA の SCS 評価制度サイトは 2026 年 4 月 21 日に公開され、★3 と ★4 の要求事項・評価基準が 正式な Excel 形式で公開されました。

※「企業の格付けや優劣を決めることが目的ではありません」

経産省公式資料に明記。委託元が委託先に求めるセキュリティ水準を共通化・可視化することで、 委託元側の「対策状況が見えない」、委託先側の「取引先ごとに異なるチェックリスト対応が重い」という 双方の課題を軽減することが目的とされています。

同義語・正式名称

  • サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度):正式名称
  • サプライチェーンセキュリティ評価基準:別添で提示される評価基準のこと(≠制度全体)
  • 制度構築方針:2026 年 3 月公表の制度設計文書

対象範囲

対象は、サプライチェーンを構成する企業等の IT 基盤 です。 クラウド環境で運用する IT 基盤も含まれます。 一方、製造現場の制御系・OT システムや、発注元等に提供する製品そのものは直接の対象外で、別制度・別ガイドラインでの対応が想定されています。

対象

  • サプライチェーンを構成する企業等の IT 基盤
  • クラウド環境で運用する IT 基盤
  • 取引先のセキュリティ水準確認を要する取引

対象外

  • 製造現場の制御系・OT システム
  • 発注元等に提供する製品そのもの
  • 個人事業主単独の業務環境(想定)

想定される 3 つのリスク

事業・サービス提供途絶

取引先やクラウドサービス停止による供給停止。サプライチェーン全体が止まるリスク。

機密情報の漏えい・改ざん

BPO、IT ベンダー、クラウドを経由した重要情報の漏えい・改ざん。

取引先等を踏み台にした不正侵入

MSP、医療機関、IT ベンダー等の正規アクセス経路を経由した本体システムへの侵入。

★3・★4・★5 — 3 段階の評価

SCS 評価制度は ★3 / ★4 / ★5 の 3 段階で構成されます。 上位段階は下位段階の要求事項を包括する考え方ですが、★4 の取得に ★3 が前提ではありません。 事業上の必要性に応じて、★4 を直接目指すことも可能です。

★3具体化済み

基礎水準

専門家確認付き自己評価+経営層の自己適合宣誓

一般的なサイバー脅威に対処しうる最低限・基礎的対策を定めた段階。社内自己評価をセキュリティ専門家が確認し、経営層が自己適合宣誓を行ったうえで IPA 事務局へ提出する。

有効期間
1 年
想定対象
中小企業を含むサプライチェーン上の取引先全般
★4具体化済み

高度水準

指定評価機関による第三者評価+技術検証

サプライチェーン企業が標準的に目指す包括的対策を定めた段階。文書確認・ヒアリング・規程確認・実地審査・技術検証で構成される第三者評価を経て取得する。

有効期間
3 年
想定対象
重要情報を扱う、または委託元のシステムへのアクセス権を持つ取引先
★5未具体化

高度・先進水準

指定評価機関による第三者評価(詳細未具体化)

高度な攻撃に対するリスクベース・ベストプラクティス型対策を想定。要求事項・評価基準・評価スキームは令和8年度以降に検討予定。

有効期間
未確定
想定対象
重要インフラ・先進的セキュリティを必要とする企業(想定)

要求事項・評価基準の構造

IPA が公開した要求事項・評価基準 Excel を集計すると、全体で要求事項 43 件、評価基準 153 件で構成されます。 このうち ★3 で 81 件の評価基準(★3 適用要求事項は 26 件)、★4 で 72 件の評価基準(要求事項 43 件すべてが対象)が適用されます。 ★4 のみで適用される要求事項が 17 件存在します。

大分類要求事項★3 評価基準★4 評価基準評価基準の分布
1. ガバナンスの整備6811
2. 取引先管理543
3. リスクの特定61118
4. 攻撃等の防御214834
5. 攻撃等の検知335
6. インシデントへの対応160
7. インシデントからの復旧111
合計438172★3+★4=153 評価基準

※ 出典: IPA 要求事項・評価基準 Excel(2026 年 4 月 21 日公開)。 解説書は 2026 年 10 月頃に公開予定とされています。

実務負荷が集中する領域

「4. 攻撃等の防御」が要求事項 21 件・評価基準 82 件と最多で、 ID 管理・端末/ソフトウェア管理・ネットワーク境界・パッチ・マルウェア対策・ログ・監視・バックアップが集中します。

★3 の評価スキーム

★3 は、取得希望組織が自己評価を作成し、それをセキュリティ専門家が確認・助言した上で、 経営層による 自己適合宣誓 を含めて IPA 事務局へ提出する仕組みです。 「社内担当者が勝手にチェックする自己評価」ではなく、経営層の宣誓と専門家確認が制度上の核になります。

  1. 自己評価の作成

    取得希望組織が ★3 の要求事項・評価基準(評価基準 81 件)に基づき、対応状況の自己評価を記入する。

  2. 専門家による確認・助言

    IPA に登録されたセキュリティ専門家が自己評価の内容を確認し、必要に応じて助言・修正指摘を行う。

  3. 専門家署名 & 経営層の自己適合宣誓

    専門家署名と経営層による自己適合宣誓を含めて IPA 事務局へ提出。虚偽申告は取消し対象。

  4. 事務局による台帳登録・公開

    事務局が申請内容を確認のうえ、企業名・所在地・適用範囲を含む情報を台帳に登録・公開する。

★4 の評価スキーム

★4 は、指定委員会が指定した 評価機関 による第三者評価と、 必要に応じた 技術検証事業者 による技術検証を求めます。 文書確認・ヒアリング・規程確認・実地審査・技術検証で構成され、 文書整備だけでは合格できない設計です。

  1. 指定委員会による評価機関・技術検証事業者の指定

    指定委員会が ★4 の第三者評価を担う評価機関と、技術検証事業者を指定する。

  2. 取得希望組織による自己評価

    取得希望組織が ★4 の要求事項・評価基準(評価基準 72 件)に基づき自己評価を記入する。

  3. 評価機関への検証・評価依頼

    取得希望組織は評価機関に対し、自己評価の検証および第三者評価の実施を依頼する。

  4. 評価機関による評価・技術検証の実施

    文書確認・ヒアリング・規程確認・実地審査・技術検証を含む評価を実施。技術検証は評価機関自身または委託先が行う。

  5. 評価報告書の提供

    評価機関は評価結果をまとめた評価報告書を取得希望組織に提供する。

  6. 事務局への ★4 登録申請

    取得希望組織が評価報告書を添付し、事務局へ ★4 の登録申請を行う。

  7. 事務局による台帳登録・公開

    事務局が申請内容を確認のうえ、台帳に登録・公開する。有効期間は 3 年。

セキュリティ専門家・評価機関

★3 確認を行うセキュリティ専門家は、資格要件と研修受講要件を満たして事務局に登録される専門家です。 資格要件は次のいずれかとされています。

  • 情報処理安全確保支援士
  • 公認情報セキュリティ監査人
  • CISSP
  • CISA
  • CISM
  • ISO27001 主任審査員
公表時期対象
2026-08頃専門家・評価機関の登録手続き・詳細規則
2026-12末頃評価機関リスト
2027-01頃セキュリティ専門家リスト

ここまで読んで気になったら → 3分の無料診断で自社の状況を確認

有効期間・更新・取消し

項目★3★4
有効期間1 年3 年
維持・更新年次で専門家確認付き自己評価を提出年次自己評価を評価機関へ提出。3 年ごとに第三者評価
大規模変更時適用範囲・達成方法に大きな変更(クラウド移行、ネットワーク再設計、リプレイス等)があれば再評価対象になり得る
取消し虚偽報告・情報隠蔽等があれば一時停止・取消しの可能性

合格基準は原則として、定められた要求事項・評価基準の すべての適合 です。

公開・台帳登録

★3 または ★4 を取得した企業は、企業名・所在地・適用範囲を含む情報が台帳に登録され、 IPA 事務局の Web ページ等で検索・公開される仕組みが予定されています。 台帳項目や開示方法は今後具体化されますが、 発注者は取引先審査でこの台帳を一次情報として活用することが想定されています。

スケジュール

IPA FAQ は ★3・★4 を 2027 年 3 月頃の運用開始予定としており、 METI は令和8年度(2026年度)末頃の申請受付開始を目指すとしています。 制度運営基盤の整備状況により変更の可能性があります。

  1. 公表済み

    METI 制度構築方針 公表

    経済産業省と内閣官房国家サイバー統括室が制度構築方針を公表。IPA が制度運営主体となることが示された。

  2. 公表済み

    IPA SCS 評価制度サイト公開

    ★3・★4 の要求事項・評価基準 Excel が公開され、要求事項 43 件・評価基準 153 件の構造が確定。

  3. 予定

    制度規程・委員会・専門家規則 公表予定

    制度規程、運営審議委員会、指定委員会、セキュリティ専門家・評価機関の登録規則などが公表予定。

  4. 予定

    申請方法・評価ガイド・解説書 公表予定

    申請方法、評価用ガイド、要求事項・評価基準の解説書などが公表予定。

  5. 予定

    評価機関 公表予定

    ★4 の第三者評価を担う指定評価機関のリスト公表予定。

  6. 予定

    セキュリティ専門家 公表予定

    ★3 の自己評価を確認するセキュリティ専門家の登録者リスト公表予定。

  7. 目標

    ★3・★4 運用開始 / 申請受付開始

    令和8年度(2026年度)末頃を目指す運用開始の目標時期。METI は 2026 年度末頃の申請受付開始を目指す。

関連制度との関係

SCS 評価制度は、SECURITY ACTION、自工会・部工会サイバーセキュリティガイドライン、 ISMS 適合性評価制度、英国 Cyber Essentials などと相互補完的な制度として整理されています。 ★3・★4 は自工会・部工会ガイドラインの Lv1・Lv2 に対応し、 Cyber Essentials とは将来的な相互認証の可能性を念頭に意見交換が継続されています。

制度名運営主体位置づけSCS との関係
SECURITY ACTIONIPA中小企業向けの自己宣言制度(一つ星 / 二つ星)★3 取得の準備段階として活用想定。SECURITY ACTION → ★3 → ★4 のステップアップが描かれている。
自工会・部工会 サイバーセキュリティガイドライン日本自動車工業会・日本自動車部品工業会自動車サプライチェーン向けの業界ガイドライン(Lv1 / Lv2 / Lv3)★3 が Lv1、★4 が Lv2 にほぼ対応する想定。業界別の取引先要求と整合する設計。
ISMS 適合性評価制度(ISO/IEC 27001)JIPDEC情報セキュリティマネジメントシステム認証マネジメントシステム認証であり SCS 評価制度とは設計思想が異なるが、文書整備・運用記録は ★4 の実地審査・技術検証時に活用可能。
Cyber Essentials英国 NCSC英国の基礎的サイバーセキュリティ認証★3 と類似するベースライン制度。将来的な相互認証の可能性を念頭に意見交換を継続中。

実務上の要点(発注者・受注者)

発注者向け

取引先に求める段階を決める

  • 取引先ごとに ★3 / ★4 のいずれを求めるかの判定軸を整備する
  • 判定軸の例: 重要情報の共有有無、自社ネットワークへのアクセス可否、代替調達の難易度、再委託構造
  • 取引先が直ちに取得できない場合は、要求事項・評価基準をチェックリストとして使う
  • 台帳公開(IPA 公表)情報を取引先審査の一次情報として活用する

判定軸を社内で統一しておくと、取引先からの問い合わせ対応コストが減ります。

受注者向け

ギャップ分析と整備順序

  • 2026 年中に IPA 公開 Excel(要求事項 43 件・評価基準 153 件)でギャップ分析を実施する
  • ★4 を狙う場合、文書だけでなくログ・監視・脆弱性管理・ネットワーク分離・重要データ保護の実装を整える
  • 適用範囲(IT 基盤)、クラウド責任分界、証跡、復旧手順を整理しておく
  • SECURITY ACTION や ISMS の既存実装を ★3 / ★4 への踏み台として活用する

まず IPA Excel の 153 評価基準で現状を可視化することをおすすめします。

よくある質問

SCS評価制度とは何ですか?

SCS評価制度は、サプライチェーン強化に向けたセキュリティ対策評価制度の略称です。経済産業省と内閣官房が制度構築方針を公表し、IPA が運営する制度で、令和8年度(2026年度)末頃(2027年3月頃)の運用開始を目指しています。委託元が委託先に求めるセキュリティ水準を共通化・可視化することを目的とした制度であり、企業の格付け制度ではありません。

★3 と ★4 の違いは何ですか?

★3 は専門家確認付き自己評価+経営層の自己適合宣誓で取得する基礎水準で、有効期間は 1 年です。★4 は指定評価機関による第三者評価+技術検証で取得する高度水準で、有効期間は 3 年です。要求事項・評価基準は ★3 が 26 件・81 基準、★4 が 43 件・72 基準で構成されています。

★4 を取るには ★3 が必要ですか?

いいえ、必要ありません。上位段階は下位段階の要求事項を包括する考え方ですが、「★3 を取らないと ★4 を取れない」という制度設計ではありません。事業上の必要性に応じて、★4 を直接目指すことが可能です。

対象になるシステムは何ですか?

対象は、サプライチェーンを構成する企業等の IT 基盤です。クラウド環境で運用する IT 基盤も含まれます。製造現場の制御系・OT システムや、発注元等に提供する製品そのものは直接の対象外で、別制度・別ガイドラインでの対応が想定されています。

中小企業も対象になりますか?

大企業が取引先に対して SCS 評価制度の取得を求める可能性があり、中小企業でもサプライチェーンに組み込まれる企業は影響を受け得ます。中小企業向けには SECURITY ACTION を ★3 取得の準備段階として活用することや、サイバーセキュリティお助け隊サービスの活用が示されています。

申請費用はいくらですか?

申請・登録費用は 2026 年 4 月時点で公表されていません。申請方法・費用は 2026 年 10 月頃に公開予定とされています。

いつから申請できますか?

★3・★4 ともに令和8年度(2026年度)末頃、概ね 2027 年 3 月頃の運用開始・申請受付開始を目指しています。これに先立ち、2026 年 8 月頃に制度規程、2026 年 10 月頃に評価ガイド・解説書、2026 年 12 月末頃に評価機関、2027 年 1 月頃にセキュリティ専門家のリストが公表予定です。

ISMS(ISO/IEC 27001)を取得していれば SCS は不要ですか?

別制度です。ISMS はマネジメントシステム認証で、SCS 評価制度はサプライチェーンに効くベースライン対策の評価制度です。ISMS の文書・運用記録は ★4 の実地審査や技術検証時に活用できますが、相互認証関係ではないため、取引先要求として ★3 / ★4 が指定されればそれぞれの取得手続きが必要になります。

今すぐ何を準備すべきですか?

まず IPA 公開の要求事項・評価基準 Excel(要求事項 43 件・評価基準 153 件)に対して自社のギャップ分析を実施することを推奨します。本サイトの 3 分無料診断で、★3・★4 のどちらを目標にできるかの目安を確認できます。

次のステップ

SCS 評価制度の概要を理解したら、次は自社のギャップを把握しましょう。 3 分の無料診断と Excel チェックリストを無料でご利用いただけます。

【ご注意】(2026-04-29 時点)

  • 本ページは IPA・METI が 2026 年 3 月〜 4 月に公表した一次情報に基づいています
  • 制度は 2026 年 8 月以降の規程・解説書公開で詳細化される予定であり、内容は今後変更される可能性があります
  • 本サービスの診断は公式の評価・取得手続きではありません
  • 申請費用、評価機関リスト、専門家リストは 2026 年 4 月時点で未公表です

参照一次情報

本ページは以下の公式資料に基づいています。

最終更新: 2026年4月29日