※本稿は2026年4月時点で公表されている資料に基づいています。SCS評価制度は、★3・★4の制度開始が2026年度末頃に予定されており、★5は2026年度以降に要求事項や評価スキームの具体化が進められる段階です。したがって、この最終回では、現時点で公表済みの範囲に絞って、何から着手すべきかを整理します。
この連載では、SECURITY ACTION、SCS評価制度、自工会・部工会ガイドライン、医療系ガイドライン、ISMSの関係を順番に見てきました。結論から言うと、多くの中小企業・零細企業では、まずSECURITY ACTIONと中小企業の情報セキュリティ対策ガイドライン第4.0版のSTEP1・STEP2で土台を作り、取引先への説明が必要になった段階でSTEP3とSCS★3、さらに事業継続や重要情報の管理リスクが高い会社でSTEP4とSCS★4を見に行く、という順番が最も無理が少ない進め方です。これは、IPAのガイドラインがSTEP1からSTEP4までを段階的に整理し、SCSの公表資料が★3・★4をサプライチェーン企業向けの共通基準として位置付けているためです。
まず押さえたいのは、SCSの役割です
SCS評価制度は、サプライチェーンを構成する企業のセキュリティ対策状況を、共通の基準で評価・可視化する仕組みです。委託元企業と委託先企業の双方の負担を軽減しつつ、サプライチェーン全体の水準を引き上げることが目的で、制度そのものは格付け制度ではありません。対象は企業等のIT基盤で、クラウド環境も含まれますが、製造設備などのOTや、委託元に提供する製品は直接の対象外です。つまり、SCSは重要ですが、SCSだけで会社のセキュリティ全体を言い切れる制度ではありません。
入口としてのSECURITY ACTIONは軽く見ない方がよい
IPAによると、SECURITY ACTIONの★一つ星は、これから「情報セキュリティ6か条」に取り組むことを宣言する段階で、対策実施前でも申し込めます。★二つ星は、「5分でできる!情報セキュリティ自社診断」を行い、「情報セキュリティ基本方針」を策定して外部公開したうえで取り組む段階です。ガイドライン第4.0版でも、STEP1は6か条による必要最低限の対策、STEP2は自社診断と基本方針による組織的な取り組みの開始として整理されています。
このため、社長や担当者が最初に決めるべきなのは、「うちはもうSCSの書類を考える段階か」ではなく、「まだ6か条と自社診断の段階なのか、それとも取引先説明まで求められる段階なのか」です。対策が属人的で、文書や役割分担がまだ弱い会社であれば、★1や★2を飛ばしてSCSに進むより、先に土台を固めた方が後戻りが少なくなります。これは制度上の義務ではありませんが、公表されている段階構成に沿った実務上の整理です。
取引先に説明する段階に入ったら、SCS★3・★4を考える
SCS★3は、広く認知された脆弱性等を悪用する一般的なサイバー攻撃を想定し、基礎的な組織的対策とシステム防御策を中心に実施する段階です。公開済みの概要では、要求事項は26件、有効期間は1年、評価スキームは専門家確認付き自己評価です。
SCS★4は、供給停止や大きな情報漏えいにつながるような、より影響の大きい攻撃を想定した段階で、組織ガバナンス、取引先管理、システム防御・検知、インシデント対応を含む包括的な対策が求められます。公開済みの概要では、要求事項は43件、有効期間は3年、評価スキームは第三者評価です。 ★3が共通の最低ラインだとすれば、★4は「自社だけでなく取引先への影響まで見て運用しているか」を問う水準と理解すると、実務上のイメージをつかみやすくなります。
業界固有の要求がある会社は、SCSだけでは足りません
自動車業界では、自工会・部工会ガイドラインを外せません。SCSの制度構築方針では、★3・★4は自工会・部工会ガイドラインのLv1・Lv2と対応づけられ、★5ではISMSとの整合に配慮しつつ、Lv3など実績あるガイドラインを参照する考え方が示されています。さらに、自工会・部工会は2026年4月16日に工場領域版1.0を公開しており、こちらはOT環境を対象とした自己評価基準です。SCSがIT基盤を対象とし、OTを直接対象外としていることを踏まえると、自動車関連企業では「SCSか自工会・部工会か」ではなく、IT基盤はSCS、業界要求は自工会・部工会、工場OTは工場領域版という整理が最も自然です。
医療系も同じです。厚生労働省は、医療機関・薬局・事業者共通のチェックリストマニュアルを案内しており、医療情報システムの安全管理に関するガイドライン第6.0版を参照して対応するよう示しています。これに加え、経済産業省は、医療情報を取り扱う情報システム・サービスの提供事業者向けの安全管理ガイドライン第2.0版を公表し、対象事業者の明確化や、医療機関等との合意内容、リスクコミュニケーションの実効化を改定の柱にしています。したがって、医療分野の会社も、SCSだけで足りるとは読めません。医療機関側なのか、提供事業者側なのかで、まず見るべき文書が変わります。
ISMSは、SCSの代わりではなく別の軸です
ISMS適合性評価制度は、ISMS(JIS Q 27001)認証を中心とする第三者適合性評価制度です。SCSの制度構築方針では、ISMS適合性評価制度は、組織が運用する情報セキュリティマネジメントシステムが国際規格に基づいて適切に運用管理されていることを第三者が審査し証明する枠組みとして整理されています。一方で、SCS★3・★4は、インターネットに接続している自社IT基盤と取引先管理を対象に、代表的な脅威を参考に効果の高い管理策を抽出するベースラインアプローチです。公表資料でも、両者は相互補完的な制度として整理されています。
そのため、「ISMSを取っているからSCSは不要」とも、「SCSがあればISMS相当のマネジメントを示せる」とも、現時点の公表資料だけでは言えません。ISMSは仕組みを継続的に回していることの証明に向き、SCSはサプライチェーン向けに共通の対策水準を示すことに向いています。何を取るべきかは、取引先から何を求められているかで決まります。
では、社長と担当者は今月何を決めるべきか
ここからは、公開資料を踏まえた実務上の整理です。まず決めるべきなのは、どこを自社の守る範囲とするかです。SCSの直接対象はIT基盤なので、社内サーバー、PC、クラウド、ネットワーク機器、主要な外部サービス、重要な委託先まで含めて、守る対象を見える化しておく必要があります。ガイドライン第4.0版でも、STEP3以降は資産管理、攻撃等の防御、検知、インシデント対応体制、取引先・外部情報サービス管理まで含めて整理されています。
次に決めるべきなのは、今年の到達目標です。まだ基本対策が弱いならSECURITY ACTION★1または★2、取引先への共通説明が必要ならSCS★3を見据えたSTEP3、供給停止や重要情報の観点で一段高い管理が必要ならSCS★4を見据えたSTEP4、というように、1年単位で目標を置いた方が動きやすくなります。 ★5は今後検討段階なので、現時点で経営計画に入れるとしても「将来の高度化目標」として扱うのが安全です。
さらに、誰が責任を持って進めるかも決める必要があります。社内だけで難しい場合、IPAの「中小企業向けサイバーセキュリティ対策支援者リスト」は、支援対象地域、得意業界、指導テーマなどで絞り込めるようになっており、登録セキスペ等の支援先を探す入口として使えます。中小企業では、制度を知って終わるより、相談相手を早めに決めた方が前に進みやすいケースが少なくありません。
最後に、何を証跡として残すかを決めることです。SCSは対策の有無を外から分かりやすく示す制度なので、口頭説明だけでは弱くなります。規程、台帳、点検記録、是正履歴、委託先確認結果、インシデント対応手順など、後から説明できる形にしておくことが、★3・★4だけでなく将来の★5準備にもつながります。
★5を待つべきか
現時点の公表資料に基づけば、多くの会社は待たない方がよい、というのが妥当な結論です。★5は、未知の攻撃も含めた高度なサイバー攻撃を想定し、リスクベースの改善プロセスと、現時点のベストプラクティスに基づく対策を組み合わせる方向で示されていますが、要求事項や評価スキームの具体化は2026年度以降です。これに対し、★3・★4はすでに水準と大枠が示され、制度開始時期も見えています。したがって今は、★5を待つより、STEP3・STEP4で無駄にならない基盤を整える方が合理的です。
まとめ
全8回を通じて見えてきたのは、SECURITY ACTIONは入口、SCSはサプライチェーン向けの共通基準、自工会・部工会や医療系ガイドラインは業界固有要求、ISMSはマネジメントの第三者認証という役割分担です。中小企業・零細企業にとって大切なのは、最初から全部を追うことではなく、自社の業界、取引先からの要請、守るべき情報や業務の重さに応じて、順番に重ねていくことです。今の時点で最も現実的なのは、「どの制度が正しいか」を比べることではなく、「うちは今年、どの段階まで行くのか」を決めることだと思います。
