経産省のサプライチェーン強化に向けたセキュリティ対策評価制度、2026年度開始前に決めるべき3つの準備
経産省が進めるサプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)は、名前が長いうえに制度図も複雑で、何から手をつければよいのか見えにくい制度です。
ですが、最初に押さえるべき点はシンプルです。これは新しい格付け制度ではなく、発注側と受注側が必要な対策水準をそろえるための共通言語です。
だからこそ、正式開始を待つより先に、自社の対象範囲、責任者、証跡の整理を始めた企業のほうが動きやすくなり、今どこから準備すべきかも見えやすくなります。
この制度は何のために作られるのか?
格付けではなく、発注側と受注側の共通言語になる
制度の出発点は、発注側には取引先の対策状況が見えにくく、受注側には取引先ごとに違う要求が届く、という二つの悩みです。経産省はこのずれを埋めるために、取引先に求める対策水準を段階で示し、その実施状況を見えるようにする仕組みを検討してきました。
制度の想定も、発注企業が受注側に適切な★を示し、必要な対策を促し、実施状況を確認する流れです。事業者同士を順位付けする制度ではないという点が重要で、認証バッジを飾る話ではなく、取引の現場で説明しやすくするための制度だと理解したほうが実態に近いです。12
実は5段階が一斉に始まるわけではない
この制度を分かりにくくしているのが、段階の見え方です。中間取りまとめでは、先行する自己宣言制度であるSECURITY ACTIONが一つ星と二つ星を持つため、新制度側は★3、★4、★5で整理すると示されました。
しかも、2026年3月時点で固まりつつあるのは★3と★4が先行する形で、更新された制度構築方針案では運用開始を2026年度下期に想定し、★5は同年度以降に具体化を続ける扱いです。
さらに、★3は専門家確認付きの自己評価で有効期間1年、★4は第三者評価で有効期間3年とされ、先に★3を取らなければ★4に進めない仕組みでもないため、自社がどちらの水準を現実的に目指すかを先に考える必要があります。13425
自社は★3と★4のどちらを見ればよいのか?
分かれ目は、事業継続リスクと情報管理リスク
経産省の整理では、★3と★4の分かれ目は企業規模そのものではなく、事業継続リスクと情報管理リスクです。取引先が止まると自社の重要業務に許容できない遅延が出るか、取引先が自社の重要な機密情報やシステムに触れられるか、といった点で見ます。
供給停止の影響が大きい取引先や、機密情報やネットワークへのアクセスがある取引先は、★4相当を求める方向に傾きやすい設計です。
逆に、すべての取引先に一律で同じ水準を当てる制度ではなく、市場で代替しやすい単発調達は対象外になり得る一方、★3では足りない相手には追加要求もできるため、なぜその相手にその水準が必要なのかを説明できるかが実務では重要です。2
まず、自社のどこを制度の対象にするかを決める
もう一つ、早めに確認したいのが対象範囲です。2026年3月の制度構築方針案では、直接の対象はサプライチェーン企業のIT基盤で、クラウド環境、公開サーバ、認証基盤、パソコンなどの端末、外部ネットワーク境界が含まれます。
反対に、一般的なIT基盤に当たらない製造設備を動かすOTシステムや、発注元に提供する製品そのものは、直接の対象から外し、別の制度やガイドラインで扱う想定です。2
この整理は、製造業やサービス業の現場で実務上の判断を分けます。たとえば工場を持つ企業が制度対応を始めるとき、最初に工場の制御系全体へ広げるのではなく、まずは社内IT、公開サーバ、認証、クラウド利用、取引先接続の境界を対象に据えるほうが制度の考え方に合っています。
ここまで定まると、準備は抽象論ではなく、誰が何を管理するのかという具体論に変わります。制度の直接対象と直接対象でない領域を分けておくと、情報システム部門、工場部門、調達部門の役割分担も決めやすくなります。2
2026年度前に準備すべきこと
最初に整えるのは、責任者と資産の見える化
制度案が求めているのは、製品の導入数を競うことではありません。要求事項は七つの分類で整理されており、ガバナンス、取引先管理、リスクの特定、攻撃等の防御、攻撃等の検知、インシデントへの対応、インシデントからの復旧まで含みます。
★3の例だけでも、セキュリティ担当の明確化、対応方針の策定、情報資産やネットワークの把握、外部情報サービスの管理、機密情報の取り扱い整理、ID管理、インシデント対応手順の作成が並びます。2
実務に落とすと、最初に必要なのは責任者と資産台帳です。役員レベルの責任の置き場を決め、社内の担当部署を明確にし、どのサーバや端末、クラウド型ソフト(SaaS)、認証基盤、外部接続が対象なのかを洗い出す。この土台がないままツールだけ入れても、評価時に何を守っているのか説明できません。次の段階で必要になる証跡も、結局はこの整理からしか作れないからです。26
システム面は、更新とログの運用から逆算する
制度対応が紙の整備だけで終わらないことは、要求事項案の細部を見るとよく分かります。参考資料では、★3について、重大または高リスクの脆弱性修正や、CVSS v3という脆弱性の深刻度指標で7以上の更新は、公開後14日以内に適用する考え方が示されています。
さらに★4では、ファイアウォール、プロキシ、認証サーバのログを6カ月保管し、認証サーバのログは月1回以上モニタリングする案が置かれています。6
この二つだけでも、準備の重さは見えてきます。更新手順が担当者任せで、例外管理もなく、ログ保管の期間や保存先も決まっていない会社は、評価直前に間に合わせるのが難しいはずです。
クラウドを多用している会社も同じで、制度案は責任共有モデルを前提に、利用者側の実装だけでなく、サービス提供者側の対策状況確認も求めています。ここまで来ると、必要なのは買い足しより先に、運用を標準化して証跡を残すことだと分かります。26
発注側企業はどう動けばよいのか?
一方的に求めるのではなく、支援と価格交渉まで設計する
この制度は、発注側が強い立場で条件を押しつけるための道具ではありません。経産省と公正取引委員会の整理では、SCS評価制度に基づく対策要請を行うケースでも、パートナーシップを築き、価格交渉を行い、円満に合意する流れが想定されています。
もともとの2022年整理でも、サイバーセキュリティ対策を要請すること自体が直ちに問題になるわけではない一方で、方法や内容によっては問題になり得ると示されていました。7
発注側の実務で必要になるのは、なぜその水準を求めるのか、いつまでに何を求めるのか、負担増をどう扱うのかを先に示すことです。
とくに★4相当を求めるなら、対策項目だけ送って終わりではなく、説明会、支援策、費用負担の考え方まで含めた設計が欠かせません。この姿勢がないと、制度が目指している標準化ではなく、取引先ごとのばらばらな要求をさらに増やす結果になってしまいます。27
中小企業は、支援策を前提に進める
中小企業側は、全部を自力で抱え込む前提で考えなくて大丈夫です。経産省とIPAは、SCS評価制度に合わせたサイバーセキュリティお助け隊サービスの新類型を検討しており、★3、★4の取得時や更新時の評価、未達項目を埋める支援を組み込む方向を示しています。
既存のお助け隊サービスも、24時間の異常監視、緊急時の駆け付け支援、相談窓口、簡易保険をまとめて提供する仕組みとして整備されています。
つまり、中小企業が今やるべきことは完璧な内製体制を目指すことではなく、自社だけで対応する項目、外部サービスを使う項目、専門家の助言が必要な項目を分けておくことです。78
いま動くなら、どんな順番が現実的か?
社内の責任者→対象範囲→証跡の順で固める
現実的な進め方は三段階です。まず、経営層を含めた責任の置き場を決め、窓口を一本化すること。次に、制度の対象にするIT基盤の範囲を決め、どの取引先に★3、どの取引先に★4を想定するのかを仮置きすること。
そして最後に、方針文書、資産台帳、外部サービス一覧、更新記録、ログ保管、インシデント対応手順のような証跡をそろえていくことです。26
この順番が大事なのは、後ろの作業ほど前の判断に引きずられるからです。対象範囲が曖昧なままログを集めても、必要な保存対象が決まりません。責任者が曖昧なまま更新ルールを作っても、例外対応や取引先説明の担当が宙に浮きます。
評価制度の準備は、セキュリティ製品の比較より先に、社内の意思決定をそろえる作業だと考えたほうが進めやすいです。2026年3月時点では、制度構築方針の正式公表はまだ先ですが、骨格はかなり見えています。待って得をする局面はもう多くありません。
差がつくのは、制度開始後に慌ててチェックリストを埋める企業ではなく、いまのうちに自社の範囲と責任、運用記録を説明できる企業です。制度開始後の対話を円滑にするうえでも、この説明力は早めに整えておく価値があります。42
執筆者:補助金検索Flash 士業編集部
補助金・助成金の活用法からAI導入、業務の生産性向上まで、中小企業の経営に役立つ情報を士業の専門家チームがわかりやすく解説します。
こちらもおすすめ
事業承継の後継者はどう選ぶべきか? 肩書きより先に決めたい役割、育成方法、期間の目安
事業承継の相談では、まず誰に継がせるかに話が集まりがちです。ですが実務では、名前を決めるより前に、何を任せて、どこまで経験させるかを決めたほうがうまく進みます。後継者選びは、家族会議や人事の話ではなく、会社を止めないための準備だからです。 この記事では、後継者の選定軸、育成の順番、準備期間の目安を、公的資料をもとに実務に沿って整理します。
事業承継ガイドラインとは?中小企業庁が提唱する事業承継の進め方
事業承継を考え始めると、税制、補助金、社外への引継ぎ(M&A)の情報が先に目に入ります。ですが、最初の一冊としては中小企業庁の事業承継ガイドラインから入るほうが、全体の流れをつかみやすいです。理由は、親族内承継、従業員承継、社外への引継ぎを一つの流れで整理し、何をどの順番で考えるべきかを見せてくれるからです。 この記事では、ガイドラインのどこが起点になるのか、関連資料との使い分けも含めて整理します。
事業承継・引継ぎ支援センターは何をしてくれるのか? 利用方法や費用、メリット・デメリット
M&Aを考え始めたとき、最初に仲介会社を探す人は少なくありません。ただ、**まだ売ると決めていない段階**や、規模の小さい事業承継では、先に事業承継・引継ぎ支援センターへ相談した方が進めやすい場面があります。国の公的窓口なので、相談やマッチングは原則無料で、親族内承継、従業員承継、第三者承継(M&A)まで一つの窓口で整理できます。 この記事では、利用方法、費用、メリットとデメリットを、実務の流れに沿ってまとめます。
持株会社を活用した事業承継は本当に有利か? 仕組みとメリット、デメリットを整理
後継者は決まっているのに、株をどう渡すかで事業承継が止まる会社は少なくありません。持株会社は、その問題をまとめて解く候補ですが、**節税になるから作る**という発想だけで進めると失敗しやすい仕組みです。 実際には、株の集約、資金調達、将来のグループ経営をどう設計するかが中心で、税効果は方法次第でプラスにもマイナスにも振れます。 この記事では、持株会社を活用した事業承継の仕組みとメリット、デメリットを、導入前に確認すべき順番で整理します。
合資会社の事業承継はどこで失敗するのか? 定款で先に決めたいポイントと注意点
古くから続く合資会社では、社員が亡くなってから定款を開き、持分承継の条項がないことに気づく場面が少なくありません。問題は、相続が起きた後の手続が難しいことではなく、**相続が起きる前に何を決めていたかで結果が大きく変わる**ことです。 合資会社の事業承継では、相続人の話し合いより先に、定款、社員構成、税務の扱いを一体で見ておく必要があります。読み終える頃には、どこを先に点検すべきかがはっきりします。
合同会社の事業承継はどう進める? 定款、持分、税務の注意点
合同会社は設立しやすく、身軽に始められる会社形態です。ただ、事業承継になると話は変わります。**相続だけで会社がそのまま続くとは限りません。** 定款、後継者、税務を生前にそろえておかないと、承継が退社扱いになって会社の継続や納税にまで影響します。 この記事では、合同会社で先に決めておきたい項目を、法律と税務の両面から整理します。読み終える頃には、今の定款で足りるのか、何を専門家に確認すべきかが見えてきます。