経産省のサプライチェーン強化に向けたセキュリティ対策評価制度、2026年度開始前に決めるべき3つの準備

この制度は何のために作られるのか?

格付けではなく、発注側と受注側の共通言語になる

制度の出発点は、発注側には取引先の対策状況が見えにくく、受注側には取引先ごとに違う要求が届く、という二つの悩みです。経産省はこのずれを埋めるために、取引先に求める対策水準を段階で示し、その実施状況を見えるようにする仕組みを検討してきました。

制度の想定も、発注企業が受注側に適切な★を示し、必要な対策を促し、実施状況を確認する流れです。事業者同士を順位付けする制度ではないという点が重要で、認証バッジを飾る話ではなく、取引の現場で説明しやすくするための制度だと理解したほうが実態に近いです。¹²

実は5段階が一斉に始まるわけではない

この制度を分かりにくくしているのが、段階の見え方です。中間取りまとめでは、先行する自己宣言制度であるSECURITY ACTIONが一つ星と二つ星を持つため、新制度側は★3、★4、★5で整理すると示されました。

しかも、2026年3月時点で固まりつつあるのは★3と★4が先行する形で、更新された制度構築方針案では運用開始を2026年度下期に想定し、★5は同年度以降に具体化を続ける扱いです。

さらに、★3は専門家確認付きの自己評価で有効期間1年、★4は第三者評価で有効期間3年とされ、先に★3を取らなければ★4に進めない仕組みでもないため、自社がどちらの水準を現実的に目指すかを先に考える必要があります。¹³⁴²⁵

自社は★3と★4のどちらを見ればよいのか?

分かれ目は、事業継続リスクと情報管理リスク

経産省の整理では、★3と★4の分かれ目は企業規模そのものではなく、事業継続リスクと情報管理リスクです。取引先が止まると自社の重要業務に許容できない遅延が出るか、取引先が自社の重要な機密情報やシステムに触れられるか、といった点で見ます。

供給停止の影響が大きい取引先や、機密情報やネットワークへのアクセスがある取引先は、★4相当を求める方向に傾きやすい設計です。

逆に、すべての取引先に一律で同じ水準を当てる制度ではなく、市場で代替しやすい単発調達は対象外になり得る一方、★3では足りない相手には追加要求もできるため、なぜその相手にその水準が必要なのかを説明できるかが実務では重要です。²

まず、自社のどこを制度の対象にするかを決める

もう一つ、早めに確認したいのが対象範囲です。2026年3月の制度構築方針案では、直接の対象はサプライチェーン企業のIT基盤で、クラウド環境、公開サーバ、認証基盤、パソコンなどの端末、外部ネットワーク境界が含まれます。

反対に、一般的なIT基盤に当たらない製造設備を動かすOTシステムや、発注元に提供する製品そのものは、直接の対象から外し、別の制度やガイドラインで扱う想定です。²

この整理は、製造業やサービス業の現場で実務上の判断を分けます。たとえば工場を持つ企業が制度対応を始めるとき、最初に工場の制御系全体へ広げるのではなく、まずは社内IT、公開サーバ、認証、クラウド利用、取引先接続の境界を対象に据えるほうが制度の考え方に合っています。

ここまで定まると、準備は抽象論ではなく、誰が何を管理するのかという具体論に変わります。制度の直接対象と直接対象でない領域を分けておくと、情報システム部門、工場部門、調達部門の役割分担も決めやすくなります。²

2026年度前に準備すべきこと

最初に整えるのは、責任者と資産の見える化

制度案が求めているのは、製品の導入数を競うことではありません。要求事項は七つの分類で整理されており、ガバナンス、取引先管理、リスクの特定、攻撃等の防御、攻撃等の検知、インシデントへの対応、インシデントからの復旧まで含みます。

★3の例だけでも、セキュリティ担当の明確化、対応方針の策定、情報資産やネットワークの把握、外部情報サービスの管理、機密情報の取り扱い整理、ID管理、インシデント対応手順の作成が並びます。²

実務に落とすと、最初に必要なのは責任者と資産台帳です。役員レベルの責任の置き場を決め、社内の担当部署を明確にし、どのサーバや端末、クラウド型ソフト(SaaS)、認証基盤、外部接続が対象なのかを洗い出す。この土台がないままツールだけ入れても、評価時に何を守っているのか説明できません。次の段階で必要になる証跡も、結局はこの整理からしか作れないからです。²⁶

システム面は、更新とログの運用から逆算する

制度対応が紙の整備だけで終わらないことは、要求事項案の細部を見るとよく分かります。参考資料では、★3について、重大または高リスクの脆弱性修正や、CVSS v3という脆弱性の深刻度指標で7以上の更新は、公開後14日以内に適用する考え方が示されています。

さらに★4では、ファイアウォール、プロキシ、認証サーバのログを6カ月保管し、認証サーバのログは月1回以上モニタリングする案が置かれています。⁶

この二つだけでも、準備の重さは見えてきます。更新手順が担当者任せで、例外管理もなく、ログ保管の期間や保存先も決まっていない会社は、評価直前に間に合わせるのが難しいはずです。

クラウドを多用している会社も同じで、制度案は責任共有モデルを前提に、利用者側の実装だけでなく、サービス提供者側の対策状況確認も求めています。ここまで来ると、必要なのは買い足しより先に、運用を標準化して証跡を残すことだと分かります。²⁶

発注側企業はどう動けばよいのか?

一方的に求めるのではなく、支援と価格交渉まで設計する

この制度は、発注側が強い立場で条件を押しつけるための道具ではありません。経産省と公正取引委員会の整理では、SCS評価制度に基づく対策要請を行うケースでも、パートナーシップを築き、価格交渉を行い、円満に合意する流れが想定されています。

もともとの2022年整理でも、サイバーセキュリティ対策を要請すること自体が直ちに問題になるわけではない一方で、方法や内容によっては問題になり得ると示されていました。⁷

発注側の実務で必要になるのは、なぜその水準を求めるのか、いつまでに何を求めるのか、負担増をどう扱うのかを先に示すことです。

とくに★4相当を求めるなら、対策項目だけ送って終わりではなく、説明会、支援策、費用負担の考え方まで含めた設計が欠かせません。この姿勢がないと、制度が目指している標準化ではなく、取引先ごとのばらばらな要求をさらに増やす結果になってしまいます。²⁷

中小企業は、支援策を前提に進める

中小企業側は、全部を自力で抱え込む前提で考えなくて大丈夫です。経産省とIPAは、SCS評価制度に合わせたサイバーセキュリティお助け隊サービスの新類型を検討しており、★3、★4の取得時や更新時の評価、未達項目を埋める支援を組み込む方向を示しています。

既存のお助け隊サービスも、24時間の異常監視、緊急時の駆け付け支援、相談窓口、簡易保険をまとめて提供する仕組みとして整備されています。

つまり、中小企業が今やるべきことは完璧な内製体制を目指すことではなく、自社だけで対応する項目、外部サービスを使う項目、専門家の助言が必要な項目を分けておくことです。⁷⁸

いま動くなら、どんな順番が現実的か?

社内の責任者→対象範囲→証跡の順で固める

現実的な進め方は三段階です。まず、経営層を含めた責任の置き場を決め、窓口を一本化すること。次に、制度の対象にするIT基盤の範囲を決め、どの取引先に★3、どの取引先に★4を想定するのかを仮置きすること。

そして最後に、方針文書、資産台帳、外部サービス一覧、更新記録、ログ保管、インシデント対応手順のような証跡をそろえていくことです。²⁶

この順番が大事なのは、後ろの作業ほど前の判断に引きずられるからです。対象範囲が曖昧なままログを集めても、必要な保存対象が決まりません。責任者が曖昧なまま更新ルールを作っても、例外対応や取引先説明の担当が宙に浮きます。

評価制度の準備は、セキュリティ製品の比較より先に、社内の意思決定をそろえる作業だと考えたほうが進めやすいです。2026年3月時点では、制度構築方針の正式公表はまだ先ですが、骨格はかなり見えています。待って得をする局面はもう多くありません。

差がつくのは、制度開始後に慌ててチェックリストを埋める企業ではなく、いまのうちに自社の範囲と責任、運用記録を説明できる企業です。制度開始後の対話を円滑にするうえでも、この説明力は早めに整えておく価値があります。⁴²

出典・参考資料

1. 「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめを公表しました」経済産業省 ↩

2. 「資料4 サプライチェーン強化に向けたセキュリティ対策評価制度 に関する制度構築方針（案） 令和８年３月」経済産業省 ↩

3. 「サプライチェーン強化に向けたセキュリティ対策評価制度 構築に向けた中間取りまとめ」経済産業省 ↩

4. 「資料3 サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）及び★３・★４要求事項・評価基準（案）に対するパブリックコメントへの対応について」経済産業省 ↩

5. 「SECURITY ACTIONとは？ : SECURITY ACTION セキュリティ対策自己宣言」IPA ↩

6. 「【参考資料1】　★３・★４要求事項・評価基準案一覧」経済産業省 ↩

7. 「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」経済産業省 ↩

8. 「サイバーセキュリティお助け隊サービス（新類型）」経済産業省 ↩