IPAがSCS評価制度のメールニュースを開始|経産省・IPAが進める新制度と、いま押さえたい注意点

「その認証、今のうちに取っておかないと取引を切られますよ」——もし電話口でそう言われたら、いったん受話器を置いて深呼吸してほしいのです。国が旗を振る新しいセキュリティの仕組みが、いよいよ動き出そうとしています。取引先を経由して被害が広がるサイバー攻撃が珍しくなくなった今、「うちの発注先は本当に守れているのか」という不安は、大企業だけが抱えるものではなくなりました。その不安に、共通のものさしで応えようというのがこの制度です。ところが、本番のスタートはまだ先。にもかかわらず、その名前を借りた不穏な営業が、もう街を歩き始めています。


2026年7月7日、IPA(独立行政法人 情報処理推進機構)は、2026年4月21日に公開したサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)のサイトにて、公式のメールニュース登録を開始した。本制度は、2026年3月27日に経済産業省と内閣官房国家サイバー統括室が公表した制度構築方針に基づき構築され、IPAが運営する。委託先へのサイバー攻撃に起因するリスクに対し、基準を満たした企業がマークを取得することで、サプライチェーン全体のセキュリティ対策水準の向上を図る任意の制度である。

対策の段階は★3・★4に区分され、★3の要求事項は26件で専門家確認付き自己評価、有効期間1年、★4は43件で第三者評価と技術検証を伴い、有効期間3年とされる。★5は今後検討される。★3・★4の申請受付開始は2026年度末頃を目指す。

From: 文献リンクサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

【編集部解説】

まず、この制度がどんな困りごとから生まれたのかを押さえておきましょう。話の出発点は、「取引先を経由した攻撃」が当たり前になった、という現実です。

攻撃者は、守りの堅い大企業を正面から狙うのではなく、比較的手薄になりがちな下請けや協力会社を「踏み台」にして、本命の元請けや政府機関へと侵入します。IPAが毎年公表している「情報セキュリティ10大脅威」でも、サプライチェーンの弱点を悪用した攻撃は近年、継続して上位に挙げられています。もはや一過性の流行ではなく、構造的な脅威として定着しているわけです。

ここで発注する側・受ける側の双方に、やっかいな悩みが生じます。発注する側は「うちの取引先、ちゃんと守れているのか」が外から見えません。受ける側は、取引先ごとにバラバラのチェックリストを渡され、その対応に忙殺されます。SCS評価制度は、この「見えない」と「バラバラ」を、共通のものさしで一気に解こうという発想から出発しています。

制度の骨格は、★の段階分けです。ざっくり言えば、★3が「すべての企業が最低限やるべき基礎」、★4が「侵入されても被害を広げない、取引先まで守る総合力」という位置づけになります。ここで一つ、誤解されやすいポイントを補っておきます。★4は「侵入を防ぐこと」だけを見る段階ではありません。侵入された後に被害をどう食い止め、取引先のデータやシステムをどう守り、事業をどう継続するか——そこまで含めた、いわば「打たれ強さ」を問う設計になっています。

技術面で私がもっとも注目したのは、★4に「技術検証」が組み込まれた点です。これは、インターネットに公開されているVPN装置やルーターといった、侵入の入口になりやすい機器に対して、実際に既知の弱点を突く検査をおこなうものです。書類上の自己申告だけでなく、実機で確かめる。近年のVPN機器を起点とした侵入事案の多発を思えば、この「実機で確かめる」工程が加わった意味は小さくありません。

では、この制度で何が変わるのでしょうか。最大の恩恵を受けるのは、おそらく中小企業です。これまで「何を、どこまでやればいいのか」という地図がないまま、限られた人手と予算でセキュリティに向き合ってきた現場に、共通の到達点が示される。しかも国は、中小企業が安価に★3・★4を取得できるよう「サイバーセキュリティお助け隊サービス」の新類型を用意し、支援の実証も進めています。取引先ごとの重複対応が減るだけでも、負担はかなり軽くなるはずです。

一方で、見落とせないリスクもあります。むしろ、今この記事でいちばんお伝えしたいのはここです。制度はまだ本格始動していません。申請の受付開始は2026年度末頃、つまり2027年の1〜3月頃を目指している段階です。にもかかわらず、その名前を悪用した勧誘がすでに動き始めています。

具体的には、「評価を取得していないと商取引が規制される」「今すぐ取得しないと入札から除外される」といった触れ込みで、製品やサービスを売り込む営業活動です。あまりに目に余ったのか、経済産業省と内閣官房国家サイバー統括室は2026年4月27日、異例とも言える注意喚起を出しました。要点はシンプルです。この制度は任意であり、商取引を規制するものではない。特定のセキュリティ製品を買わなければ達成できない、というものでもない。正しい情報はIPAから入手してほしい——そう明言しています。

ここは制度の性格を正しく理解すると、惑わされずに済みます。SCS評価制度は、企業のセキュリティ対策を「見える化」する仕組みであって、優劣を競わせる格付けでも、強制力を持つ規制でもありません。取得を求められるかどうかは、あくまで取引先との契約の中で決まる話です。だからこそ、営業トークの「今すぐ」「取らないと切られる」という煽りには、まず落ち着いて距離を置くのが賢明でしょう。

長期的な視点も添えておきます。現時点では任意ですが、政府調達や重要インフラ分野での活用は「今後検討する」と経産省が明言しています。将来的に、公共事業の入札などで実質的な条件になっていく可能性は、頭の片隅に置いておいてよいと思います。焦って飛びつく必要はありませんが、いずれ避けて通れないテーマになるかもしれない——その温度感で眺めておくのが、ちょうどよい構えではないでしょうか。

最後に、既存の認証との関係にも触れておきます。「ISMS(ISO/IEC 27001)を取っているのに、また対応が必要なのか」と感じる方もいるでしょう。両者は競合ではなく、補い合う関係と位置づけられています。ISMSが組織全体の情報セキュリティ管理を幅広く見るのに対し、SCS評価制度はサプライチェーン上の取引に絞って、共通言語で対策状況を示すための仕組みです。すでにISMSがあれば対応の一部は流用できますが、SCS固有の要求には別途向き合う必要がある、と考えておくとよいでしょう。

制度の全体像は、これから1年ほどかけて少しずつ輪郭が固まっていきます。解説書は2026年10月頃、評価ガイドは2026年秋頃、評価機関の公表は2026年12月末頃——こうした節目が控えています。今はまだ、地図の下書きを眺めている段階です。だからこそ、公式の一次情報を追いながら、便乗の波に足をすくわれないように歩を進めていきたいですね。

【関連記事】

SCS評価制度 適合診断サービス「SCS Navi」——可視化の射程と、制度の外側
制度開始前に民間の支援サービスが先行する構図を追った一本。便乗商法への注意という本記事の論点と地続きの内容である。

「CISOaaS」がSCS評価制度に対応|専任担当者なしでサプライチェーンセキュリティ要件を満たすAI+専門家フローの設計思想
専任担当者を置けない企業が★3・★4にどう向き合うか、実務対応の設計思想を掘り下げた記事である。

アーリーアダプターの生存戦略|サプライチェーン強靱化とSCS評価制度を追い風に変える方法
経済安全保障の視点から、SCS評価制度を早期導入者の事業機会として捉え直した特集記事である。

【編集部後記】

この制度の資料を最初に開いたときは、★の数や要求事項の件数といった「仕組みの話」にばかり目が向いていました。けれど読み進めるうちに、いちばん胸に残ったのは、経済産業省と内閣官房国家サイバー統括室がわざわざ出した、あの注意喚起のほうでした。まだ受付も始まっていない制度の名前を持ち出して、「今すぐ取らないと入札から外される」と迫る——そんな営業が、すでに現実に動いている。新しい技術やルールが生まれる場所には、必ずと言っていいほど、その隙間を突く動きがくっついてくるのだな、と改めて感じさせられます。

この制度がやろうとしているのは、誰かを脅すことでも、企業に順位をつけて競わせることでもありません。「何を、どこまでやればいいのか分からない」——多くの中小企業がずっと抱えてきたその迷いに、一枚の共通の地図を手渡すこと。私はそう受け止めています。人手も予算も限られた現場にとって、取引先ごとにバラバラな要求へ応じ続けることが、どれほど重い荷物だったか。そこを軽くしようという発想には、素直に希望を感じます。

だからこそ、その希望が便乗商法の道具にされてしまうのは、あまりにもったいない。この制度は任意ですし、特定の製品を買わなければ達成できるものでもありません。そして2026年7月7日、IPAは公式のメールニュース登録を始めました。ささやかな動きに見えるかもしれませんが、私はここに小さな意味を感じています。慌てて誰かの営業に急かされるのではなく、正しい情報が自分のもとへ届くルートを、先に確保しておく。全体像がまだ固まりきっていない今だからこそ、その一歩が、いちばん確かな守りになるはずです。営業電話の「今すぐ」より、公式からの「お知らせ」を待つ。順番を、そう決めておくだけでいいのだと思います。

私自身は、新しい技術やルールに触れるときの「最初の窓口」でありたいと思っています。心が高鳴る話も、足をすくわれないための注意も、どちらも同じ熱量で届けていくつもりです。この制度がこれから形になっていく道のりを、よければこれからも一緒に追いかけていけたら嬉しいです。


【用語解説】

SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)
サプライチェーンを構成する企業のセキュリティ対策状況を、共通の基準で評価・可視化する任意の制度である。★の段階で対策水準を示し、取引の場面で活用されることを想定している。2026年度末頃の申請受付開始を目指す。

サプライチェーン攻撃
守りの堅い本命企業を直接狙わず、対策が手薄になりがちな取引先や下請けを「踏み台」にして、最終標的へ侵入する攻撃手法を指す。近年、構造的な脅威として定着している。

★3・★4・★5
SCS評価制度で対策水準を表す段階。★3は全企業が最低限実装すべき基礎、★4は侵入後の被害拡大防止まで含む総合的な水準、★5はより高度な攻撃への対応として今後具体化される。上位段階は下位段階の要求を包括するが、★3を取得していなければ★4を取れないという順序制限はない。

専門家確認付き自己評価
★3で採用される評価方式。取得を目指す組織が自ら評価を記入し、要件を満たすセキュリティ専門家がその内容を確認・助言したうえで、事務局へ提出する仕組みである。

第三者評価・技術検証
★4で求められる評価方式。評価機関が文書確認と実地審査をおこなうことに加え、インターネット公開機器に対して既知の弱点を突く技術的な検査を実施する。

技術検証(★4)
取得希望組織がインターネットに公開している機器のうち、VPN装置やルーターなど侵入リスクの高い機器を対象に、既知脆弱性の悪用など一般的な攻撃パターンを試行する脆弱性検査を指す。書類確認だけでなく実機で確かめる工程である。

制度構築方針
2026年3月27日に経済産業省と内閣官房国家サイバー統括室が公表した、SCS評価制度の設計図にあたる文書。制度の目的、運用体制、要求事項・評価基準、評価スキームなどが盛り込まれている。

セキュリティ専門家(本制度における)
★3の自己評価結果の確認・助言や、★4での評価責任者を担う人材。情報処理安全確保支援士、公認情報セキュリティ監査人、CISSP、CISM、CISA、ISO27001主任審査員などの資格保持者のうち、所定の研修を受講した者が想定されている。

サイバーセキュリティお助け隊サービス(新類型)
中小企業がSCS評価制度の★3・★4を安価かつ簡便に取得できるよう、国が新設する支援策。セキュリティポリシー策定などの組織的対策の支援を内容とする予定である。

ISMS(ISO/IEC 27001)
組織全体の情報セキュリティ管理体制を対象とする国際規格。幅広い情報資産をリスクベースで管理する。SCS評価制度とは競合ではなく、相互補完的な関係と位置づけられている。

【参考リンク】

IPA SCS評価制度 公式サイト(外部)
制度のスキームオーナーであるIPAの公式ページ。制度概要や詳細情報、要求事項が集約された一次情報である。

経済産業省 SCS評価制度 特設サイト(外部)
制度を主導する経産省の特設ページ。目的・対象範囲・スケジュール・支援策・FAQが体系的にまとめられている。

経済産業省 SCS評価制度に関する注意喚起(外部)
制度名を悪用した勧誘への注意喚起。任意制度で特定製品の導入は不要と明示した公式文書である。

IPA 情報セキュリティ10大脅威(外部)
毎年公表される脅威ランキング。サプライチェーン攻撃が近年上位を占め、制度創設の背景を裏づける資料である。

IPA SECURITY ACTION 自己宣言者サイト(外部)
中小企業が情報セキュリティ対策への取り組みを自己宣言する制度。SCS評価制度と関連づけて語られることが多い。

【参考記事】

「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」を公表しました(経済産業省)(外部)
制度の設計図を公表した経産省のプレスリリース。検討経緯や制度全体の位置づけを示す一次情報である。

SCS評価制度の詳細情報(IPA)(外部)
★3・★4の評価スキームや要求事項数、有効期間、技術検証の対象機器を図表で解説した公式ページである。

SCS評価制度 特設サイト(経済産業省)(外部)
対象範囲、任意制度である旨、申請開始時期、FAQを掲載。制度の性格と注意点の確認に中心的に参照した。

サプライチェーン強化に向けたセキュリティ対策評価制度とは?(Codebook)(外部)
制度の背景を10大脅威と結びつけて整理した記事。背景理解のために参照した。

サプライチェーン強化に向けたセキュリティ対策評価制度の概要(ZUNDA)(外部)
★3・★4の違いやスケジュール、SECURITY ACTION活用状況を実務目線で整理した記事である。

【2026年最新】SCS評価制度とは何か(kreuz-corp)(外部)
運営体制の各役割や、★4が事業継続・検知対応まで含む総合的水準である点を実務的に解説した記事である。

Googleで優先するソースとして追加するボタン
投稿者アバター
山本 達也
『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。