※本稿は2026年4月時点で公表されている経済産業省・IPAの資料に基づきます。SCS評価制度の★3・★4の申請受付開始は2026年度末頃が予定されていますが、詳細な提出様式や評価方法は2026年度に具体化される予定です。ガイダンス資料は2026年秋頃、★4の評価機関の公表は2026年12月頃が目安とされており、現時点では評価機関の指定・公表は行われていません。
前回はSCS評価制度★3を取り上げました。★3が「全てのサプライチェーン企業が最低限実装すべき対策」だとすると、★4は「サプライチェーン企業等が標準的に目指すべき対策」です。想定するのは、供給停止などでサプライチェーンに大きな影響をもたらす企業への攻撃や、情報漏えいによって大きな影響をもたらす資産への攻撃で、要求事項は43件、有効期間は3年、評価スキームは第三者評価です。
SCS評価制度★4は何を示すのか
制度構築方針では、★4は初期侵入の防御だけではなく、内外への被害拡大防止や攻撃者による目的遂行リスクの低減によって、取引先のデータやシステムの保護に寄与する点までを含んでいます。さらに、サプライチェーンにおける自社の役割に応じた強靭化策が講じられていることを水準として想定しています。つまり、★4は「ウイルス対策や更新をしている会社」ではなく、自社だけでなく取引先への影響まで見据えて対策を運用している会社を示す段階です。
また、上位段階は下位段階で求められる事項を包含するため、★3を先に取得していなければ★4を取得できない、という関係ではないとされています。一方で、SCSの直接対象は企業のIT基盤であり、クラウド環境は含まれますが、工場のOTや委託元に提供する製品は直接の対象ではありません。製造業の読者は、★4を取れば工場OTや製品セキュリティまで全部終わるわけではない、という点を押さえておいた方が安全です。
★3との違いは、対策項目だけでなく「確認のされ方」にある
★3と★4の違いを一言で言えば、対策が広がるだけでなく、確認の深さが変わることです。★3は26件・1年・専門家確認付き自己評価ですが、★4は43件・3年・第三者評価です。しかも★4では、実地審査と技術検証を含む評価で対策実施状況を確認する考え方が示されています。
公開済みの概要資料では、★4で追加的に重くなる内容として、定期的な経営層への報告と不備の是正、重要な取引先の対策状況の把握、他社との役割・責任の明確化、脆弱性管理体制や管理プロセスの明確化、重要な保管データの暗号化、ログの収集と定期的分析、社内ネットワークの適切な分離、社外への不正通信の遮断、情報機器の状態や挙動の監視・分析、復旧ポイントや復旧時間を満たす手順の整備などが挙げられています。
ここから先は実務上の整理ですが、★3が「基本的な対策を説明できるか」を問う段階だとすると、★4は「対策を運用し、他社との関係まで含めて証跡で示せるか」を問う段階だと考えると分かりやすいです。製品を1つ導入したから届く、というより、運用ルール・記録・監視・復旧・取引先管理まで含めて見られる段階です。
第三者評価と技術検証では、何を確認されるのか
制度構築方針で示されている★4の流れは、まず指定委員会が評価機関と技術検証事業者を指定し、取得希望組織が★4要求事項・評価基準に基づいて自己評価を記入し、そのうえで評価機関へ検証・評価を依頼する、というものです。評価機関は検証・評価を実施し、評価報告書を交付し、取得希望組織はそれを踏まえて事務局に登録申請を行います。問題がなければ台帳に登録・公開される想定です。
評価の実施内容としては、★4では文書確認に加えて、実地審査と技術検証が想定されています。実地審査では、取得希望企業へのヒアリング、規程の確認、操作画面などの証跡確認による評価を行い、リモート実施も可能とされています。確認事項の例としては、脆弱性の管理体制・管理プロセス、セキュリティインシデント対応手順、事業継続要件に沿った復旧準備などが示されています。
技術検証では、取得希望組織がインターネットに公開している機器のうち、脆弱性を悪用された場合に内部侵入のリスクが高い機器を対象に、一般的な攻撃パターンを試す脆弱性検査を行う考え方が示されています。例としてVPN装置やルータが挙げられています。なお、制度構築方針では、直近の脆弱性検査結果など相当する証跡の提出・確認で検証の代替とみなすことも検討するとされており、この点は現時点で確定事項ではありません。
合格基準は、★3・★4ともに原則として全ての評価基準への適合です。ただし、★4でも不適合事項があった場合に、一定期間内の是正報告を提出し、内容について了承が得られれば取得可能とする考え方が示されています。概要資料では例として、指摘事項の通知から1か月以内の是正報告が挙げられています。
評価機関はどこなのか
ここは現時点ではまだ決まっていません。FAQでは、★4の第三者評価における評価機関は令和8年12月頃を目途にIPAから公表予定であり、現時点では指定・公表されていないと明記されています。つまり、今の段階で「SCS★4の正式な評価機関です」と名乗る先があったとしても、少なくとも公表済みの制度資料だけでは確認できません。
ただし、どのような機関になるかの要件は示されています。評価機関は、指定委員会から指定を受けた組織で、少なくとも1名以上のセキュリティ専門家を雇用し、その専門家を第三者評価の責任者として配置し、情報保護や品質管理の仕組みを持つことが求められる想定です。技術検証事業者については、脆弱性診断サービスに関する「情報セキュリティサービス基準適合サービスリスト」の登録要件を満たすことが前提として示されています。
どんな取引で★4を求められやすいのか
制度構築方針の例では、取引先に★3か★4を求めるかを考える際、事業継続リスクと情報管理リスクを見る考え方が示されています。たとえば、その取引先の事業中断により自社の重要業務に許容できない遅延が生じ得る場合、あるいは取引先への攻撃によって自社の重要な機密情報やシステム、ネットワークの管理に重大な影響が生じ得る場合は、★4が視野に入ります。直近のインシデント状況や、重要な再委託先の有無も判断材料の例に挙げられています。
一方で、SCSは任意制度です。★取得を契約上どう扱うかは当事者同士で合意されるべきものとされており、制度自体が直ちに何らかの規制を課すものではありません。したがって、「★4を持っていないから即取引停止」と制度が自動的に決めるわけではありません。ただし、契約の中でどう位置付けるかは現実の問題になるため、取引先からの要請が強まりそうな会社ほど、先に準備しておく意味があります。
概要資料の想定事例では、発注側企業が受注側企業に対して講ずべき対策や国の支援策を説明し、費用負担の考え方や、セキュリティ対策が価格交渉の対象になることを周知したうえで、受注側が対策コストについて価格交渉を行う流れも示されています。これは義務ルールではなくあくまで想定事例ですが、★4が単なる設定変更ではなく、契約・費用・再委託先管理まで含むテーマであることは読み取れます。
再委託先まで関係するのか
★4では、重要な取引先のセキュリティ対策状況の把握が要求事項に含まれています。具体例として示されているのは、自社の重要な機密情報を提供・共有する先、自社の事業継続にとって重要な位置づけを持つ先、その環境から発注者の内部システムにアクセスできる先です。こうした先について、年1回以上の頻度で対策状況を把握することが求められる考え方です。
把握方法の例としては、SCSの★取得状況の回答を受ける、制度運用主体のWebサイト等で確認する、訪問点検を行う、チェックシートに回答してもらう、といった方法が示されています。つまり、★4を求められる会社は、自社だけ整えれば終わりではなく、自社が使っている重要な外部委託先や再委託先をどう見るかまで考える必要があります。中小企業にとっては、ここが★3との大きな差になりやすいところです。
中小企業が今やっておきたい準備
IPAの「中小企業の情報セキュリティ対策ガイドライン 第4.0版」では、STEP4を、より強固で広範囲なセキュリティ対策の段階として位置付けています。そこでは、資産ベースのリスク分析、技術的対策、セキュリティサービスの活用、ウェブサイト、クラウド、テレワーク、インシデント対応まで扱っており、必要に応じて外部専門家の知見も活用して進める考え方が示されています。★4を見据えるなら、まずこの範囲を「実施している」だけでなく、「証跡として説明できる」状態にしていくのが現実的です。
また、同ガイドラインは、取引先や外部情報サービスの管理について、取引先とのビジネス・システム上の関係を把握し、契約内容やセキュリティ要件、確認先を明確にし、自社に影響を及ぼす可能性のある取引先の対策状況を定期的に評価し、是正と再確認を計画的に実施して結果を記録するよう求めています。★4の準備という意味では、規程を作ることと同じくらい、誰を重要な取引先とみなすかを決め、どう確認し、どう記録するかを決めることが重要です。
FAQでは、EDRや資産管理システムなど、特定の製品の導入を求める制度ではないことも明記されています。したがって、今の段階で中小企業がやるべきことは、「何を買うか」を先に決めることではなく、要求事項に照らして自社の運用・証跡・外部委託先管理に抜けがないかを確認することです。あわせて、FAQではサイバーセキュリティお助け隊サービス(新類型)が★3・★4の取得支援を目的とし、セキュリティポリシー策定などの組織的対策の支援を予定していると案内されています。社内に人手が足りない会社は、こうした支援策も視野に入れてよいでしょう。
まだ未確定の点もある
ここで注意したいのは、★4の大枠は公表されていても、細かな実務はまだすべて固まっていないことです。FAQでは、詳細な提出様式、受付開始時期、評価対象範囲の細部は2026年度の具体化の中でIPAから公表するとされています。たとえば、在宅勤務者や社外常駐者の環境をどこまで評価対象に含めるかといった詳細は、現時点では公表待ちです。
そのため、今の時点で最も安全な読み方は、制度の方向性はもう見えているが、申請実務の細部はまだ待つ必要があるというものです。取引先から「★4を取ってください」と言われた場合でも、現時点でできるのは、公開済みの要求事項と評価の考え方に沿って準備を進め、IPAの追加公表を待つことです。
まとめ
SCS評価制度★4は、★3の延長線上にあるものの、実態はかなり違います。43件の要求事項、3年の有効期間、第三者評価、実地審査、技術検証、重要な取引先の対策状況把握まで含むため、自社の設定確認ではなく、自社と取引先を含めた運用管理の段階だと考えた方が実務に合います。中小企業が今やるべきなのは、IPAガイドライン第4.0版のSTEP4や取引先管理の考え方を使って、資産、ネットワーク、外部サービス、取引先、監視、復旧の証跡を整えていくことです。次回は、自工会・部工会、医療系、ISMSとの関係を整理します。
