※本稿は2026年4月時点で公表されている経済産業省・IPAの資料に基づいています。SCS評価制度は★3・★4の申請受付開始を2026年度末頃に予定していますが、詳細な提出様式や評価方法、ガイド類は2026年度の制度具体化の中で順次公表予定で、評価ガイド等は2026年秋頃が目安です。本稿は、現時点で公開済みの制度構築方針、FAQ、関連ガイドラインの範囲で整理します。
前回のSECURITY ACTION★2は、「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」を通じて、会社として対策を回し始める段階でした。これに対してIPAは、SCS評価制度を、SECURITY ACTIONの一つ星・二つ星よりも一歩進んだ対策を含む仕組みとして案内しています。今回は、その入口であるSCS評価制度★3を見ていきます。
SCS評価制度★3は、何を示すのか
SCS評価制度は、取引先ごとにばらつきがちなセキュリティ要求を、共通の基準で評価・可視化するための仕組みです。★3は、その中でも「全てのサプライチェーン企業が最低限実装すべきセキュリティ対策」と位置付けられており、広く認知された脆弱性等を悪用する一般的なサイバー攻撃を想定し、基礎的な組織的対策とシステム防御策を中心に実施する段階とされています。公開済みの概要では、★3は26件の要求事項、有効期間1年、専門家確認付き自己評価です。
対象になるのは、企業等のIT基盤で、クラウド環境で運用するものも含まれます。一方で、製造環境等の制御システムであるOTや、委託元等に提供する製品は、直接の対象とはされていません。また、この評価は取得や更新の時点で定められた水準を満たしていることを示すもので、完全なセキュリティの確保を保証するものではありません。 制度そのものも格付け制度ではなく、法令上の義務を直接課すものでもありません。
「最低限の実装」は、どこまでを指すのか
ここで誤解しやすいのは、「最低限」といっても、単にウイルス対策ソフトを入れていればよい、という意味ではないことです。制度構築方針では、★3・★4の要求事項を、NIST CSFの6機能に対応した分類に、取引先管理を加えた7つの大分類で整理しています。★3の代表例として示されているのは、自社のセキュリティ担当の明確化、セキュリティ対応方針の策定、情報資産やネットワークの把握、外部情報サービスの管理、他社との機密情報の取扱い明確化、ID管理手続やアクセス権限設定、パスワード管理、内外ネットワーク境界の分離・保護、アップデート適用と不要ソフトウェア削除、端末等のマルウェア対策、ネットワーク接続やデータの監視、インシデント対応手順、復旧対策の整備などです。なお、この表は代表例であり、全要求事項を網羅したものではないと明記されています。
IPAのSECURITY ACTIONメールニュースでも、SCS評価制度の基準には、SECURITY ACTION一つ星・二つ星より一歩進んだ対策として、ネットワーク境界の防御や不正アクセスの検知などが含まれると説明されています。つまり★3は、「パソコンの更新をしているか」を答える段階ではなく、組織、資産、アクセス、境界防御、監視、対応、復旧を一つの運用として説明できるかが問われる段階だと読んだ方が実務に合います。
★3があれば、どの取引先にも十分なのか
ここも大事な点です。制度構築方針では、取引先に★3と★4のどちらを求めるかを考える際、事業継続リスクと情報管理リスクを見て判断する例が示されています。たとえば、その取引先が停止すると自社の重要業務に許容できない遅延が生じる場合や、取引先が自社の重要な機密情報、自社システム、自社ネットワークにアクセスできる場合は、★3ではなく★4を求めたり、必要な対策を上乗せしたりすることも想定されています。したがって、★3は共通の最低ラインではあっても、あらゆる取引で万能の合格証ではありません。
★3の評価は、どう進むのか
現時点で既に公開されているのは、★3・★4の要求事項と評価基準です。一方で、具体的な判定方法や記載例まで含んだ詳細な評価方法は、IPAが今後公表する予定です。★3については、制度構築方針上、取得希望組織が★3要求事項・評価基準に基づいて自己評価を記入し、必要に応じて社内外のセキュリティ専門家から支援を受け、その内容を専門家が確認・助言し、最終的に了承したうえで署名する流れが想定されています。さらに、経営層による自己適合宣誓を含めて事務局へ提出し、申請内容に問題がなければ台帳に登録・公開される想定です。
評価の実施内容として想定されている★3は、文書確認中心です。制度構築方針では、セキュリティ専門家が取得希望組織の作成した書類を確認し、自己評価結果に矛盾がないか、評価基準から見て十分な事項が記されているかを確認するとされています。所要期間の想定は1日から2日程度で、★4のような実地審査や技術検証は★3では実施しない前提です。合格基準は原則として全ての評価基準への適合ですが、不適合が見つかっても、適切に是正し、その是正について専門家の了承が得られれば★3を取得可能とされています。
有効期間は1年です。更新のためには、年次で対策状況を点検し、基準全体の遵守を改めて確認していることが求められます。制度構築方針では、更新時に、セキュリティ専門家の確認・助言を経た自己評価の更新版を事務局に提出する想定が示されています。また、社内規程・手順書の大幅な変更、端末やサーバーの大規模なリプレイス、クラウド基盤への大規模移行、ネットワーク構成の顕著な変更など、適用範囲や遵守状況に影響する変更がある場合は、再度確認・評価を受けるとされています。
取得後の扱いについては、FAQで、★3や★4を取得した企業はIPAのウェブサイトで公開する予定だとされています。制度構築方針でも、取得企業名、所在地、適用範囲などを含む台帳を作成し、検索・開示できる仕組みを構築予定とされています。他方で、取得後にどのようにマークやラベルを社外周知に使うかといった詳細は、令和8年度の制度具体化の中でIPAから公表するとされています。
「専門家」とは、誰のことか
FAQは、★3の確認を行う「専門家」は、単なる社内の情報システム担当者であればよいわけではないと明記しています。想定されているのは、情報処理安全確保支援士、公認情報セキュリティ監査人、CISSP、CISM、CISA、ISO27001主任審査員などの資格保持者のうち、本制度で定める研修を受講した者です。制度構築方針でも、セキュリティ専門家には力量の保持・維持と、制度が定める研修受講の要件を課す考え方が示されています。
一方で、社内にそのような専門家がいない中小企業でも、現時点の想定では対応余地があります。制度構築方針の★3スキームでは、社内にいない場合は社外のセキュリティ専門家に確認を依頼し、適宜助言を得ることが明記されています。また、専門家の管理の下で確認作業を別の要員に担わせる場合は、その作業従事者に研修受講を求める考え方も示されています。つまり、★3は「必ず社内に専任の有資格者を抱えていないと何もできない」制度として設計されているわけではありません。
中小企業は、何から整えると進めやすいか
経済産業省は、IPAが改訂した「中小企業の情報セキュリティ対策ガイドライン」第4.0版のSTEP3で、SCS評価制度の要求事項を踏まえた対策の考え方を整理し、規程類のサンプルやひな形もSCS対応の形で拡充したと説明しています。IPAのガイドラインでも、STEP3は、必要に応じて外部専門家を交えつつ、セキュリティ体制を整備し、基本的な組織的対策や技術的な防御対策を実施する段階とされています。
公開資料に沿って順番を付けるなら、まず整えるべきなのは、責任者や連絡先、方針の明確化です。そのうえで、情報資産、ネットワーク、外部サービスの把握に進み、ID・権限・パスワード・アップデート・マルウェア対策・境界防御を規程と運用に落とし込み、最後に監視、報告、復旧の手順を証跡付きで回せるようにする、という流れになります。IPAのガイドラインは、SCS★3・★4を見据えた準備として、付録5の規程サンプルに要求事項との紐づけを掲載しているので、ゼロから考えるより、公開されたひな形を土台に自社の実情へ落とし込む方が進めやすいでしょう。
もう一つ重要なのは、特定のセキュリティ製品の導入が必須ではないことです。経済産業省もFAQも、EDRや資産管理システムなど、特定製品の導入を求めるものではないと明記しています。中小企業が★3を考えるときに大切なのは、「何を買うか」より、「自社の環境で、この要求事項をどう満たしているかを説明し、必要な証跡を出せるか」です。ここを履き違えると、★3が“買い物リスト”になってしまいます。
まとめ
SCS評価制度★3は、サプライチェーン企業に求められる共通の最低ラインですが、その「最低ライン」は、組織体制、取引先管理、資産やネットワークの把握、アクセス制御、境界防御、監視、インシデント対応、復旧までを含んでいます。しかも評価は、社内の担当者だけで完結する簡易チェックではなく、自己評価、専門家確認、経営層の宣誓、1年ごとの更新までを前提にしています。現時点で中小企業が最も安全に進めるなら、IPAのガイドライン第4.0版STEP3と付録のひな形を土台にして、公開済み要求事項へ自社運用を寄せていく進め方が現実的です。次回は、SCS★4で何が変わるのかを整理します。
