ジェネラル

2026年開始のSCS評価制度とは：新時代のデータ保護戦略を解説

2026 March 20Mayuko Yoshitome

サプライチェーンを狙ったサイバー攻撃が増加するなか、経済産業省は企業のセキュリティ対策レベルを可視化・評価する新制度「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の構築を進めています。2026年度下期の運用開始を目指す本制度は、将来的には、取引先選定時の参考指標や調達要件の一部として参照される可能性もあります。本記事では制度の概要から実務上の対応指針まで、わかりやすく解説します。

なぜ今、新たなセキュリティ評価制度が必要なのか？

サイバー攻撃の巧妙化により、企業単体での対策だけではリスクを抑えきれない時代になっています。ここでは、新たな評価制度が求められるようになった背景を整理します。

激化するサプライチェーン攻撃の現状

近年、企業を標的にしたサイバー攻撃の手口として、サプライチェーンを経由した侵害が深刻化しています。攻撃者はセキュリティの堅固な大企業を直接狙う代わりに、セキュリティ対策が相対的に手薄な取引先や委託先を「踏み台」として侵入し、最終的なターゲット企業への不正アクセスや機密情報の窃取を図ります。

こうした攻撃の被害は、単独の企業にとどまらないことも大きな問題です。自動車部品メーカーへの攻撃が部品の供給停止を招いたり、ITベンダーへの侵害が発注元の内部システムへの不正アクセスにつながったりと、一社の被害がサプライチェーン全体の事業継続に波及するリスクが現実のものとなっています。

従来の「チェックリスト」が抱える限界

サプライチェーンを通じたリスクへの意識が高まる一方、企業のセキュリティ対策状況は外部から正確に把握しにくいという根本的な課題もあります。取引の現場では、発注企業が仕入先のセキュリティ対策を確認する場面も少なくありませんが、その際に各社が独自のチェックリストを用いているのが実態です。

この結果、発注側は確認内容の妥当性を担保しにくく、受注側は取引先ごとに異なる要求事項への対応を迫られ、とりわけリソースが限られる中小企業を中心に過度な負担が生じています。こうした状況を打開するために、業界横断で参照できる「共通言語」としての評価指標が必要とされており、それが今回の制度検討の背景となっています。

SCS評価制度の5段階と評価スキーム

SCS評価制度では、企業のセキュリティ対策レベルを★1から★5の5段階で評価します。ここでは実務上の中核となる★3・★4を中心に、各レベルの内容を詳しく見ていきます。

既存制度と連携した5段階の評価体系

SCS評価制度では、セキュリティ対策のレベルを★1から★5の5段階で評価します。全体像を整理すると以下の通りです。

★1・★2はIPAが運営する既存の「SECURITY ACTION」制度を流用する位置づけであり、本制度の実質的な評価の中核は★3から★5の3段階となります。なお、上位レベルが下位レベルを包括する構造のため、★3を事前に取得していなければ★4を取得できないという関係にはなりません。

★3（Basic）：一般的な攻撃から自社を守る

★3は、広く認知された脆弱性を悪用する一般的なサイバー攻撃を想定しており、すべてのサプライチェーン企業が最低限実装すべき対策水準として位置づけられています。評価項目は83項目で、主な要求内容は基礎的な組織的対策とシステム防御策です。

評価スキームは「専門家確認付き自己評価」で、取得希望組織が要求事項に基づき自己評価を行い、一定のセキュリティ資格を持つ専門家の確認・助言を経て登録機関に申請する流れとなります。有効期間は1年で、年次の更新が必要です。

★4（Standard）：サプライチェーンを支える信頼の証明

★4は、サプライチェーンに大きな影響をもたらす攻撃や機密情報の漏えいを想定し、サプライチェーン企業が標準的に目指すべき水準として設定されています。評価項目は157項目に及び、組織ガバナンスの整備、取引先管理、多層防御による侵入リスク低減、ログ収集・分析、迅速な異常検知、事業継続に向けたサプライチェーン強靭化策など、包括的な対策が求められます。

評価スキームは「第三者評価」で、指定を受けた評価機関によるヒアリングや規程の確認に加え、インターネット公開機器（VPN装置、ルータ等）を対象とした脆弱性検査を含む技術検証の実施も求められます。有効期間は3年ですが、期間内は年次での自己評価の実施と評価機関への提出が必要です。

★5：高度な脅威に立ち向かう最高水準の対策

★5は、未知の攻撃も含めた高度なサイバー攻撃への対処を想定した、到達点として目指すべき最高水準の対策レベルです。ベンチマークとしてはISO/IEC 27001や自工会・部工会ガイドラインLv3などが想定されており、ISMS適合性評価制度との整合にも配慮した設計が進められています。

ただし具体的な要求項目・評価スキーム・開始時期については、令和8年度（2026年度）以降に実証事業で収集した意見・要望も踏まえながら具体化が進められる予定とされ、現時点では詳細が未確定です。

ビジネスへの影響：評価制度がもたらす「取引の新たな基準」

SCS評価制度の導入は、セキュリティ対策の強化にとどまらず、企業間の取引構造そのものに変化をもたらす可能性があります。ここでは、各企業に波及する影響について説明します。

取引先選定における「セキュリティの可視化」

本制度が導入されると、各企業の対策レベル（★3、★4など）が公表され、取引の場においてセキュリティ対策状況を客観的に示すことができるようになります。これは、発注側の企業にとって、サプライチェーンに起因するリスクの低減につながるメリットです。

一方、受注側の企業にもメリットがあります。自社の対策レベルを明らかに示すことで、スムーズな商談につながる可能性があるためです。さらに、制度取得によって対策への投資を可視化できることは、ビジネス上の差別化や信用向上にも寄与します。セキュリティ対策に積極的に取り組む姿勢を客観的な形で示せることは、企業の競争力強化にも直結する要素といえるでしょう。

政府調達や大手企業取引への波及

将来的には、本制度が政府の調達要件として位置づけられる可能性が検討されています。また、大手企業がサプライヤーに対して特定の★レベルの取得を取引条件として求めるケースも想定されます。

こうした動きが加速すれば、求められる対策レベルを満たせない企業はビジネス機会を失うリスクに直面しかねません。制度への対応は単なるコストではなく、今後のビジネスチャンスを確保するための先行投資といえるでしょう。

★4要件をクリアするWasabiのデータ保護戦略

SCS評価制度が求めるセキュリティ対策の多くは、クラウドストレージの適切な活用によって効率的に実現できます。なかでもデータのバックアップ・暗号化・不変性の確保は、★4の具体的な要求事項と直結する領域です。ここでは、Wasabiがこれらの要件にどう応えるかについて解説します。

「インシデントからの復旧」要件への対応

★4の要求事項のひとつに、「復旧ポイント・復旧時間を満たす手順等の整備」があります。サイバー攻撃やシステム障害が発生した際に、いつのデータまで復元できるか（復旧ポイント）、どれだけの時間で業務を再開できるか（復旧時間）を事前に定め、実際に対応できる体制を整えることが求められています。

この要件への対応において、クラウドへのバックアップは有効な手段のひとつです。

オンプレミス環境のみに依存したバックアップは、ランサムウェア攻撃などで同時に被害を受けるリスクがあります。Wasabiのクラウドストレージにバックアップデータを保管すれば、オンプレミス環境とは独立した形でデータを保護し、インシデント発生時の迅速な復旧とビジネス継続（BCP）に貢献します。

重要な保管データの暗号化と不変性

★4では「重要な保管データの暗号化」も具体的な要求事項として明示されています。機密情報や重要業務データを暗号化して保管することは、情報漏えいリスクの低減において基本的かつ重要な対策です。

Wasabiは保存データおよび転送データの暗号化に標準対応しており、この要件への適合を技術的に支援します。

さらに、Wasabiが提供するObject Lock（オブジェクトロック）機能は、保存したデータを一定期間変更・削除不可にするイミュータブルストレージを実現します。これはランサムウェアによるデータの暗号化・改ざん・消去を防ぎ、NIST CSFが求めるサイバーレジリエンスを高めるうえで有効な機能です。

コスト低減とセキュリティの両立

SCS評価制度の制度趣旨のなかには、「セキュリティサービスの標準化による選択肢拡大や中長期でのコスト低減」という受注企業へのメリットが明記されています。制度への対応をきっかけにセキュリティ投資を見直す企業にとって、コストパフォーマンスは重要な判断軸です。

Wasabiは、大手クラウドプロバイダーと比較して低コストなストレージ料金を実現しながら、エンタープライズグレードのセキュリティ機能を提供しています。データ転送料金が発生しないため、セキュリティ水準を落とさずにストレージコストを最適化したい企業にとって、SCS評価制度への対応コスト全体を抑えるうえでの有力な選択肢となります。

制度運用開始に向けたタイムラインと準備

2026年度下期の制度運用開始を見据えると、現時点から約1年強が企業にとっての実質的な準備期間となります。スケジュールを把握したうえで、自社がどのレベルを目指すべきかを早期に判断し、計画的な対応を進めることが重要です。

2026年度の運用開始に向けたスケジュール

経済産業省が公表した制度構築方針（案）によると、★3・★4については2025年度下期（2025年10月～2026年3月）に要求事項・評価基準（案）を確定し、2026年度上期から制度の詳細化および運用開始準備を進め、2026年度下期の運用開始を目指すスケジュールが示されています。運用開始後は取得企業が順次公表される見通しです。

つまり現在から約1年強が、企業にとって対応方針の検討と準備を進める重要な準備期間となります。制度開始後に慌てて対応を始めるのではなく、今のうちから自社の現状を把握し、必要な対策を計画的に進めておくことが得策です。

自社のリスク評価とレベル選定のステップ

自社がどのレベルに対応すべきかを判断する際の基準となるのは、「事業継続リスク」と「情報管理リスク」の2軸です。取引先の事業中断が自社の重要業務に許容できない遅延をもたらす可能性がある場合、または取引先へのサイバー攻撃が自社の機密情報管理に重大な影響をもたらす可能性がある場合は★4が、そうでない場合は★3が基本的な判断の目安となります。

対応すべきレベルの選定ステップは、おおまかに以下の通りです。