※本稿は2026年4月19日時点で確認できる公表資料に基づいています。SCS評価制度は、現時点で制度開始時期が示されているのは★3・★4で、★5は2026年度以降に具体化を進める段階です。FAQも、現時点の回答であり、今後の制度詳細化に当たって内容が変更される可能性があると明記しています。
この連載の最後に、一番よく出る質問に答えます。
「将来は★5があるなら、今は待った方がよいのか」。現時点の公表資料だけで判断するなら、待つより、★3・★4につながる準備を先に進める方が現実的です。理由は単純で、制度開始が予定されているのは★3・★4であり、★5はまだ“将来像”の段階だからです。
現時点で分かっている★5の輪郭
制度構築方針の概要資料では、★5は**「未知の攻撃も含めた、高度なサイバー攻撃」**を想定し、対策の基本的な考え方として、国際規格等におけるリスクベースの考え方に基づいて、自組織に必要な改善プロセスを整備した上で、システムには現時点のベストプラクティスに基づく対策を実施する方向で示されています。達成水準のイメージとしては、国際規格等に基づくマネジメントシステムの確立、リスクの適切な把握、迅速な検知・対応、取引先等への指導や共同訓練など、サプライチェーン全体の水準向上に資する取組まで含まれています。ベンチマークの欄には、ISO/IEC 27001 や自工会・部工会ガイドラインLv3等も挙げられています。
一方で、ここは慎重に読む必要があります。概要資料の表では、★5の評価スキーム欄に「第三者評価」と置かれている一方、公式リリース本文では、★5については要求事項・評価基準や評価スキームの具体化を2026年度以降に進めるとされています。FAQでも、制度の詳細は今後の具体化の中で公表するとされており、現時点の回答は将来変わり得ると明記されています。つまり、★5の方向性は見えていても、制度の詳細はまだ確定していません。
まだ分かっていないこと
現時点で未確定なのは、★5の細かな要求事項だけではありません。提出様式、受付開始時期、詳細な評価方法、どこまでを評価対象に含めるかといった運用面も、今後の制度具体化で公表される予定です。FAQでは、在宅勤務者や社外常駐者の業務環境をどこまで含めるかといった詳細な評価対象範囲も、制度開始までにIPAから公表するとされています。★3・★4でさえ詳細な評価方法はガイダンス資料として2026年秋頃の公表予定なので、★5はそれより後の議論になると見るのが自然です。
また、SCSは特定の製品導入を義務付ける制度ではありません。FAQは、EDRや資産管理システムなど、特定のセキュリティ製品の導入を求めるものではないと明記しています。したがって、★5対策を考えるときも、今の段階で「この製品を入れれば将来安心」と断定するのは正確ではありません。
ここから先は実務上の整理
ここから先は、公表資料を踏まえた実務上の整理です。
中小企業や零細企業の経営者・担当者にとって、今の最適解は「★5待ち」ではなく、★3・★4で無駄にならない基盤を先に作ることだと考えます。理由は、IPAの「中小企業の情報セキュリティ対策ガイドライン 第4.0版」がSCS評価制度を受けて改訂されており、STEP3・STEP4に、体制整備、資産管理、防御、検知、インシデント対応、取引先管理、リスク分析など、将来の高度化にもつながる内容が整理されているからです。
ガイドラインの整理では、STEP3は、必要に応じて外部専門家を交え、セキュリティ体制を整備し、基本的な組織的対策や技術的防御対策を実施する段階です。STEP4は、より強固で広範囲な対策のために、外部専門家を交えてリスク分析を行い、技術的対策を強化して包括的な対策を実施する段階です。取引先から高度な対策を求められた企業や、外部監査・基準達成への対応が必要な企業が想定されています。
今から準備しておきたいこと
1. まず、自社の適用範囲と情報資産を見える化する
将来の★5を考える前に、今の自社で「何を守るのか」が曖昧なままでは前に進みません。ガイドライン第4.0版は、付録として**資産管理台帳(サンプル)を用意しており、情報資産、ネットワーク機器、ソフトウェア、ハードウェアを一覧化する土台を示しています。IPAの支援者リストでも、支援テーマの一つとして「情報資産の洗い出しとリスク分析」**を用意しています。まずはサーバーやPCだけでなく、クラウド、回線機器、委託先が管理する主要システムまで含めて洗い出すところから始めるのが安全です。
2. ルールと役割を、口約束ではなく文書にする
★5のイメージには、マネジメントシステムの確立が入っています。だからといって、いきなりISMS認証を取る話から始める必要はありませんが、少なくとも基本方針、社内規程、役割分担、従業員向けルールは文書化しておいた方がよいです。ガイドライン第4.0版には、情報セキュリティ基本方針、情報セキュリティ関連規程、ハンドブックのサンプルが付録として用意されています。IPAの支援メニューでも、情報セキュリティ規程の整備や従業員向け教育がテーマ化されています。
3. クラウド・外部サービス・取引先管理を後回しにしない
★5の方向性がリスクベースとサプライチェーン全体の強靭化を含む以上、外部サービスと取引先管理は早めに整えるべきです。ガイドライン第4.0版は、取引先とのルール設定、セキュリティ対策状況の把握、クラウドサービスなど外部サービスの利用状況や安全性の把握が、情報漏えいや不正アクセスのリスク低減に極めて重要だとしています。具体的には、取引先との契約内容やセキュリティ要件、確認先を明確にし、取引先の対策状況を定期的に評価し、是正と再確認を計画的に実施して結果を記録すること、さらにクラウドなど外部情報サービス利用時のセキュリティ要件を定めて利用状況を把握することを求めています。クラウド安全利用の手引きも付録として用意されています。
4. インシデント対応と復旧を「手順+訓練」までやる
高度な段階ほど、侵入を防ぐだけでなく、起きた後にどう検知し、どう止め、どう戻すかが重要になります。ガイドライン第4.0版は、インシデント対応手順、役割分担、報告事項、連絡体制を定めること、事故の事例と対応策を定期的に共有すること、さらに事業上重要なシステムについてはRTO(目標復旧時間)とRPO(目標復旧時点)に合わせてバックアップ取得や手順整備を行い、訓練で実効性を検証することを求めています。付録には「中小企業のためのセキュリティインシデント対応の手引き」もあります。
5. 証跡を残す運用に変える
これは実務上とても大きいポイントです。SCSは、対策の有無を外から分かりやすく示すための制度です。将来の★5も、マネジメントシステムと具体的対策実装の両方を見に行く方向で示されています。そうであれば、**「やっています」と口で言う運用」より、「規程、台帳、契約、点検結果、是正記録、訓練記録が残る運用」**に変える方が無駄になりにくいと考えられます。実際、ガイドラインも、取引先対策状況の評価結果を記録することを求めています。
6. 社内だけで抱え込まず、外部支援を使う
人手が足りない会社ほど、外部支援を前提にした方が進みます。IPAは、中小企業向けサイバーセキュリティ対策支援者リストを公開しており、登録セキスペの得意分野や支援地域を可視化しています。支援テーマとしては、規程整備、情報資産の洗い出しとリスク分析、クラウド安全利用、インシデント対応、従業員教育が整理されています。あわせて、経済産業省は**「サイバーセキュリティお助け隊サービス(新類型)」**を創設し、★3・★4取得支援を目的とした実証事業を進めています。FAQでも、この新類型はセキュリティポリシー策定などの組織的対策の支援をサービス内容とする予定だとされています。
ISMSをどう見るか
★5を考えると、ISMSが気になる会社も多いはずです。ここで言えるのは、ISMSとの整合は意識されているが、現時点で「ISMSを取れば★5」とは言えないということです。制度構築方針の比較資料は、★5段階では、組織におけるリスクベースの改善プロセスを整備した上で、システムへの具体的な対策実装が必要であり、ISMS適合性評価制度との整合に配慮しつつ具体化を検討するとしています。したがって、ISMSの考え方であるリスク把握と継続的改善は参考になりますが、現時点では“将来の整合”が示されている段階にとどまります。
まとめ
現時点の公表資料から安全に言えるのは、★5は将来の目標像であり、今すぐ申請や取得を前提に動く段階ではない、ということです。今の中小企業・零細企業にとって現実的なのは、SCSに対応して改訂されたガイドライン第4.0版を使って、STEP3・STEP4に沿って、資産管理、規程整備、クラウド・取引先管理、インシデント対応、証跡化を進めることです。★5の具体像は今後の公表を待つ必要がありますが、そこに向かう準備として何をしておくべきかは、すでにかなり見えています。
