基礎水準
専門家確認付き自己評価+経営層の自己適合宣誓
一般的なサイバー脅威に対処しうる最低限・基礎的対策を定めた段階。社内自己評価をセキュリティ専門家が確認し、経営層が自己適合宣誓を行ったうえで IPA 事務局へ提出する。
- 有効期間
- 1 年
- 想定対象
- 中小企業を含むサプライチェーン上の取引先全般
経済産業省と内閣官房が制度構築方針を公表し、IPA が運営する新しい制度。 取引先のセキュリティ水準を共通化・可視化することで、サプライチェーン全体のリスクを下げる仕組みです。 2026年4月時点の公開情報に基づき、要件・スキーム・スケジュールを徹底解説します。
大分類
7区分
要求事項
43件
評価基準
153件
★3 評価基準
81基準
出典: IPA「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」(2026年4月21日公開)/ METI プレスリリース(2026年3月27日)
SCS評価制度は、経済産業省と内閣官房国家サイバー統括室が 2026 年 3 月 27 日に「制度構築方針」として公表し、独立行政法人情報処理推進機構(IPA)が運営主体となる新しい評価制度です。 IPA の SCS 評価制度サイトは 2026 年 4 月 21 日に公開され、★3 と ★4 の要求事項・評価基準が 正式な Excel 形式で公開されました。
※「企業の格付けや優劣を決めることが目的ではありません」
経産省公式資料に明記。委託元が委託先に求めるセキュリティ水準を共通化・可視化することで、 委託元側の「対策状況が見えない」、委託先側の「取引先ごとに異なるチェックリスト対応が重い」という 双方の課題を軽減することが目的とされています。
対象は、サプライチェーンを構成する企業等の IT 基盤 です。 クラウド環境で運用する IT 基盤も含まれます。 一方、製造現場の制御系・OT システムや、発注元等に提供する製品そのものは直接の対象外で、別制度・別ガイドラインでの対応が想定されています。
取引先やクラウドサービス停止による供給停止。サプライチェーン全体が止まるリスク。
BPO、IT ベンダー、クラウドを経由した重要情報の漏えい・改ざん。
MSP、医療機関、IT ベンダー等の正規アクセス経路を経由した本体システムへの侵入。
SCS 評価制度は ★3 / ★4 / ★5 の 3 段階で構成されます。 上位段階は下位段階の要求事項を包括する考え方ですが、★4 の取得に ★3 が前提ではありません。 事業上の必要性に応じて、★4 を直接目指すことも可能です。
専門家確認付き自己評価+経営層の自己適合宣誓
一般的なサイバー脅威に対処しうる最低限・基礎的対策を定めた段階。社内自己評価をセキュリティ専門家が確認し、経営層が自己適合宣誓を行ったうえで IPA 事務局へ提出する。
指定評価機関による第三者評価+技術検証
サプライチェーン企業が標準的に目指す包括的対策を定めた段階。文書確認・ヒアリング・規程確認・実地審査・技術検証で構成される第三者評価を経て取得する。
指定評価機関による第三者評価(詳細未具体化)
高度な攻撃に対するリスクベース・ベストプラクティス型対策を想定。要求事項・評価基準・評価スキームは令和8年度以降に検討予定。
IPA が公開した要求事項・評価基準 Excel を集計すると、全体で要求事項 43 件、評価基準 153 件で構成されます。 このうち ★3 で 81 件の評価基準(★3 適用要求事項は 26 件)、★4 で 72 件の評価基準(要求事項 43 件すべてが対象)が適用されます。 ★4 のみで適用される要求事項が 17 件存在します。
| 大分類 | 要求事項 | ★3 評価基準 | ★4 評価基準 | 評価基準の分布 |
|---|---|---|---|---|
| 1. ガバナンスの整備 | 6 | 8 | 11 | |
| 2. 取引先管理 | 5 | 4 | 3 | |
| 3. リスクの特定 | 6 | 11 | 18 | |
| 4. 攻撃等の防御 | 21 | 48 | 34 | |
| 5. 攻撃等の検知 | 3 | 3 | 5 | |
| 6. インシデントへの対応 | 1 | 6 | 0 | |
| 7. インシデントからの復旧 | 1 | 1 | 1 | |
| 合計 | 43 | 81 | 72 | ★3+★4=153 評価基準 |
※ 出典: IPA 要求事項・評価基準 Excel(2026 年 4 月 21 日公開)。 解説書は 2026 年 10 月頃に公開予定とされています。
実務負荷が集中する領域
「4. 攻撃等の防御」が要求事項 21 件・評価基準 82 件と最多で、 ID 管理・端末/ソフトウェア管理・ネットワーク境界・パッチ・マルウェア対策・ログ・監視・バックアップが集中します。
★3 は、取得希望組織が自己評価を作成し、それをセキュリティ専門家が確認・助言した上で、 経営層による 自己適合宣誓 を含めて IPA 事務局へ提出する仕組みです。 「社内担当者が勝手にチェックする自己評価」ではなく、経営層の宣誓と専門家確認が制度上の核になります。
取得希望組織が ★3 の要求事項・評価基準(評価基準 81 件)に基づき、対応状況の自己評価を記入する。
IPA に登録されたセキュリティ専門家が自己評価の内容を確認し、必要に応じて助言・修正指摘を行う。
専門家署名と経営層による自己適合宣誓を含めて IPA 事務局へ提出。虚偽申告は取消し対象。
事務局が申請内容を確認のうえ、企業名・所在地・適用範囲を含む情報を台帳に登録・公開する。
★4 は、指定委員会が指定した 評価機関 による第三者評価と、 必要に応じた 技術検証事業者 による技術検証を求めます。 文書確認・ヒアリング・規程確認・実地審査・技術検証で構成され、 文書整備だけでは合格できない設計です。
指定委員会が ★4 の第三者評価を担う評価機関と、技術検証事業者を指定する。
取得希望組織が ★4 の要求事項・評価基準(評価基準 72 件)に基づき自己評価を記入する。
取得希望組織は評価機関に対し、自己評価の検証および第三者評価の実施を依頼する。
文書確認・ヒアリング・規程確認・実地審査・技術検証を含む評価を実施。技術検証は評価機関自身または委託先が行う。
評価機関は評価結果をまとめた評価報告書を取得希望組織に提供する。
取得希望組織が評価報告書を添付し、事務局へ ★4 の登録申請を行う。
事務局が申請内容を確認のうえ、台帳に登録・公開する。有効期間は 3 年。
★3 確認を行うセキュリティ専門家は、資格要件と研修受講要件を満たして事務局に登録される専門家です。 資格要件は次のいずれかとされています。
| 公表時期 | 対象 |
|---|---|
| 2026-08頃 | 専門家・評価機関の登録手続き・詳細規則 |
| 2026-12末頃 | 評価機関リスト |
| 2027-01頃 | セキュリティ専門家リスト |
ここまで読んで気になったら → 3分の無料診断で自社の状況を確認
| 項目 | ★3 | ★4 |
|---|---|---|
| 有効期間 | 1 年 | 3 年 |
| 維持・更新 | 年次で専門家確認付き自己評価を提出 | 年次自己評価を評価機関へ提出。3 年ごとに第三者評価 |
| 大規模変更時 | 適用範囲・達成方法に大きな変更(クラウド移行、ネットワーク再設計、リプレイス等)があれば再評価対象になり得る | |
| 取消し | 虚偽報告・情報隠蔽等があれば一時停止・取消しの可能性 | |
合格基準は原則として、定められた要求事項・評価基準の すべての適合 です。
★3 または ★4 を取得した企業は、企業名・所在地・適用範囲を含む情報が台帳に登録され、 IPA 事務局の Web ページ等で検索・公開される仕組みが予定されています。 台帳項目や開示方法は今後具体化されますが、 発注者は取引先審査でこの台帳を一次情報として活用することが想定されています。
IPA FAQ は ★3・★4 を 2027 年 3 月頃の運用開始予定としており、 METI は令和8年度(2026年度)末頃の申請受付開始を目指すとしています。 制度運営基盤の整備状況により変更の可能性があります。
経済産業省と内閣官房国家サイバー統括室が制度構築方針を公表。IPA が制度運営主体となることが示された。
★3・★4 の要求事項・評価基準 Excel が公開され、要求事項 43 件・評価基準 153 件の構造が確定。
制度規程、運営審議委員会、指定委員会、セキュリティ専門家・評価機関の登録規則などが公表予定。
申請方法、評価用ガイド、要求事項・評価基準の解説書などが公表予定。
★4 の第三者評価を担う指定評価機関のリスト公表予定。
★3 の自己評価を確認するセキュリティ専門家の登録者リスト公表予定。
令和8年度(2026年度)末頃を目指す運用開始の目標時期。METI は 2026 年度末頃の申請受付開始を目指す。
SCS 評価制度は、SECURITY ACTION、自工会・部工会サイバーセキュリティガイドライン、 ISMS 適合性評価制度、英国 Cyber Essentials などと相互補完的な制度として整理されています。 ★3・★4 は自工会・部工会ガイドラインの Lv1・Lv2 に対応し、 Cyber Essentials とは将来的な相互認証の可能性を念頭に意見交換が継続されています。
| 制度名 | 運営主体 | 位置づけ | SCS との関係 |
|---|---|---|---|
| SECURITY ACTION | IPA | 中小企業向けの自己宣言制度(一つ星 / 二つ星) | ★3 取得の準備段階として活用想定。SECURITY ACTION → ★3 → ★4 のステップアップが描かれている。 |
| 自工会・部工会 サイバーセキュリティガイドライン | 日本自動車工業会・日本自動車部品工業会 | 自動車サプライチェーン向けの業界ガイドライン(Lv1 / Lv2 / Lv3) | ★3 が Lv1、★4 が Lv2 にほぼ対応する想定。業界別の取引先要求と整合する設計。 |
| ISMS 適合性評価制度(ISO/IEC 27001) | JIPDEC | 情報セキュリティマネジメントシステム認証 | マネジメントシステム認証であり SCS 評価制度とは設計思想が異なるが、文書整備・運用記録は ★4 の実地審査・技術検証時に活用可能。 |
| Cyber Essentials | 英国 NCSC | 英国の基礎的サイバーセキュリティ認証 | ★3 と類似するベースライン制度。将来的な相互認証の可能性を念頭に意見交換を継続中。 |
判定軸を社内で統一しておくと、取引先からの問い合わせ対応コストが減ります。
まず IPA Excel の 153 評価基準で現状を可視化することをおすすめします。
SCS評価制度は、サプライチェーン強化に向けたセキュリティ対策評価制度の略称です。経済産業省と内閣官房が制度構築方針を公表し、IPA が運営する制度で、令和8年度(2026年度)末頃(2027年3月頃)の運用開始を目指しています。委託元が委託先に求めるセキュリティ水準を共通化・可視化することを目的とした制度であり、企業の格付け制度ではありません。
★3 は専門家確認付き自己評価+経営層の自己適合宣誓で取得する基礎水準で、有効期間は 1 年です。★4 は指定評価機関による第三者評価+技術検証で取得する高度水準で、有効期間は 3 年です。要求事項・評価基準は ★3 が 26 件・81 基準、★4 が 43 件・72 基準で構成されています。
いいえ、必要ありません。上位段階は下位段階の要求事項を包括する考え方ですが、「★3 を取らないと ★4 を取れない」という制度設計ではありません。事業上の必要性に応じて、★4 を直接目指すことが可能です。
対象は、サプライチェーンを構成する企業等の IT 基盤です。クラウド環境で運用する IT 基盤も含まれます。製造現場の制御系・OT システムや、発注元等に提供する製品そのものは直接の対象外で、別制度・別ガイドラインでの対応が想定されています。
大企業が取引先に対して SCS 評価制度の取得を求める可能性があり、中小企業でもサプライチェーンに組み込まれる企業は影響を受け得ます。中小企業向けには SECURITY ACTION を ★3 取得の準備段階として活用することや、サイバーセキュリティお助け隊サービスの活用が示されています。
申請・登録費用は 2026 年 4 月時点で公表されていません。申請方法・費用は 2026 年 10 月頃に公開予定とされています。
★3・★4 ともに令和8年度(2026年度)末頃、概ね 2027 年 3 月頃の運用開始・申請受付開始を目指しています。これに先立ち、2026 年 8 月頃に制度規程、2026 年 10 月頃に評価ガイド・解説書、2026 年 12 月末頃に評価機関、2027 年 1 月頃にセキュリティ専門家のリストが公表予定です。
別制度です。ISMS はマネジメントシステム認証で、SCS 評価制度はサプライチェーンに効くベースライン対策の評価制度です。ISMS の文書・運用記録は ★4 の実地審査や技術検証時に活用できますが、相互認証関係ではないため、取引先要求として ★3 / ★4 が指定されればそれぞれの取得手続きが必要になります。
まず IPA 公開の要求事項・評価基準 Excel(要求事項 43 件・評価基準 153 件)に対して自社のギャップ分析を実施することを推奨します。本サイトの 3 分無料診断で、★3・★4 のどちらを目標にできるかの目安を確認できます。
SCS 評価制度の概要を理解したら、次は自社のギャップを把握しましょう。 3 分の無料診断と Excel チェックリストを無料でご利用いただけます。
【ご注意】(2026-04-29 時点)
本ページは以下の公式資料に基づいています。
最終更新: 2026年4月29日