制度概要・評価段階
簡易版もあります
このページの概要を1分で読みたい方は 簡易版 をご覧ください。
SCSは Supply Chain Security の略称であり、正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」です。経済産業省が主導し、NISC(内閣サイバーセキュリティセンター)/ 国家サイバー統括室も関与しています。
制度の目的
企業のセキュリティ対策状況を共通基準で評価・可視化することで、サプライチェーン全体のセキュリティ水準を引き上げることを目的としています。
| 項目 | 内容 |
|---|---|
| 主管 | 経済産業省(+ NISC / 国家サイバー統括室) |
| 目的 | 取引先経由のサイバー攻撃、不正侵入、サービス停止等のサプライチェーンリスクを低減する |
| 手段 | 取引先企業のセキュリティ対策を一定の基準で評価し、発注側・受注側の双方で対策水準を確認しやすくする |
| 正式名称 | サプライチェーン強化に向けたセキュリティ対策評価制度 |
| 略称 | SCS評価制度、SCS |
制度の背景
サプライチェーン攻撃(取引先経由のサイバー攻撃)が増加しており、大企業がセキュリティを強化しても、取引先の中小企業が攻撃の入口となるケースが相次いでいます。SCS制度は、サプライチェーン全体のセキュリティ水準を底上げするために設計されました。
サプライチェーンリスク構造図
(セキュリティが弱い)
評価段階の概要
SCS評価制度は星付きの段階制で整理されています。★1・★2は既存のSECURITY ACTION(IPA運営)に接続し、★3〜★5がSCS側の新しい評価層です。
評価段階フロー
一つ星
二つ星
| 段階 | 位置づけ | 運営 | 対象企業の目安 |
|---|---|---|---|
| ★1 | SECURITY ACTION 一つ星 | IPA | すべての企業(自己宣言) |
| ★2 | SECURITY ACTION 二つ星 | IPA | すべての企業(自己宣言+取組み) |
| ★3 | SCS評価制度(基本) | 経産省(新制度) | 中小企業の最初の目標 |
| ★4 | SCS評価制度(標準) | 経産省(新制度) | 取引先要求に対応する企業 |
| ★5 | SCS評価制度(高度) | 経産省(新制度) | 高度なセキュリティ体制を求められる企業 |
段階別の詳細
★1 SECURITY ACTION 一つ星
自己宣言 / 有効期間: なし
「情報セキュリティ5か条」に取り組むことを宣言。IPA運営。
★2 SECURITY ACTION 二つ星
自己宣言+取組み / 有効期間: なし
自社診断を実施し、基本方針を策定・公開。SCS制度の入口。
★3 SCS 基本
専門家確認付き自己評価 / 有効期間: 1年
26要求事項・83評価基準。中小企業の最初の目標。
★4 SCS 標準
第三者評価機関による審査 / 有効期間: 3年
44要求事項(26+18)・157評価基準。取引先要求対応。
★3 評価プロセス(4ステップ)
-
対策状況評価シートの記入
要求事項に対する自社の対応状況を自己評価
-
専門家による確認
情報処理安全確保支援士等の専門家が評価内容を確認
-
経営層の適合宣言
経営者が対策状況を確認し、適合を宣言
-
登録機関への提出
所定の登録機関に申請・登録
★3 要求事項の概要
- 要求事項数: 26項目
- 評価基準数: 83基準
- 評価基準の分類: NIST CSF準拠の7分類(ガバナンス、取引先管理、リスク特定、防御、検知、対応、復旧)
本サイトの「管理策42項目」は、上記26要求事項/83評価基準を中小企業が理解しやすい形に独自に再構成したものです。公式の要求事項とは項目数・分類が異なります。
★4: SCS評価制度(標準)
取引先からより高い水準のセキュリティ対策を求められる企業向けの段階です。
- 要求事項数: 44項目(★3の26項目+18項目)
- 評価基準数: 157基準
- 評価方法: 第三者評価機関による実地審査・技術検証
- 有効期間: 3年間
★5: SCS評価制度(高度)
- 位置づけ: リスクベースの考え方に基づく改善プロセスの整備+ベストプラクティスに基づく対策
- 要求事項・評価基準: 2026年度以降に検討予定(詳細未定)
- 対象: 高度なセキュリティ体制を求められる企業
注意
★5の詳細は2026年3月時点で未公開です。要求事項・評価基準は今後策定される予定です。
公式7分類と本サイトの独自10カテゴリの対応
SCS制度の公式評価基準はNIST CSF(Cybersecurity Framework)準拠の7分類を採用しています。本サイトでは中小企業の理解しやすさを優先し、独自の10カテゴリに再構成しています。
| 公式7分類 | 本サイトの独自カテゴリ |
|---|---|
| ガバナンス | 1. 組織・体制 |
| 取引先管理 | 8. 委託先管理 |
| リスク特定 | 2. 情報資産管理 |
| 防御 | 3. アクセス制御、4. ネットワーク、5. ソフトウェア管理、6. データ保護、10. 物理セキュリティ |
| 検知 | 5. ソフトウェア管理(一部) |
| 対応 | 7. インシデント対応 |
| 復旧 | 6. データ保護(バックアップ復元部分) |
SCSという略称について
SCSは業界全体で唯一の意味ではありません。英語圏ではSecurity Control Systemsの略として使われる例もあります。日本国内で企業のセキュリティ対応や取引先評価の文脈でSCSと出てきた場合は、Supply Chain Securityと理解してください。
免責事項
本サイトは、経産省SCS評価制度の非公式な解説サイトです。制度の正式な内容・解釈については、経済産業省の公表資料を参照してください。掲載内容は2026年3月時点の情報に基づいています。