こんな方におすすめ
・取引先のサイバーセキュリティ対応に漠然とした不安がある調達担当者
・社内でSCS評価制度を説明しなければならなくなった方
・取引先にセキュリティ対応を求めることが取適法上問題ないか知りたい方
サプライチェーン攻撃の被害が「他人事」でなくなった理由
2025年9月。アサヒグループホールディングスがランサムウェア攻撃を受け、生産・物流システムが広範囲にわたって停止した。流出リスクのある個人情報は約191万件。
公式調査報告書によると、攻撃者はグループ拠点のネットワーク機器を経由して侵入し、パスワードの脆弱性をついて管理者権限を奪取した。再発防止策にはVPN装置の全面廃止が含まれている。
「うちはメーカーだし、情報システム部門が対応するセキュリティの話でしょ? 調達部門は関係ないのでは…」
実はそれが落とし穴だよ。攻撃者は、防御の堅固な大企業より、セキュリティに手が回っていない中小の取引先を踏み台にするほうが「コスパがいい」と知っています。被害が出てからでは遅い話だよ。
数字で見ると、2025年上半期に国内で公表されたセキュリティインシデント247件中、不正アクセスに分類された145件のうち約3割(43件)がサプライチェーン経由の二次被害(トレンドマイクロ, 2025年)。
攻撃者の論理はシンプルだ。防御が堅固な大企業を正面から攻撃するより、セキュリティ対策にリソースを割けない中小の取引先を踏み台にするほうが、はるかにコスパがいい。
だからこそ、SCS評価制度の対象は「業種・規模を問わずサプライチェーン上の全企業」になった。OTシステム(インフラなど物理的な機器やプロセスを制御・運用する技術・システム)や取引先に提供する製品等は直接の対象外だが、情報系ITは全部対象だ。「うちは製造業だから関係ない」は通用しない。
SCS評価制度とは何か——★1〜★5の全体マップ
正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」、略してSCS評価制度。
2026年3月27日に経産省・内閣官房国家サイバー統括室が構築方針を確定させた。
目的は一言でいえば、「サプライチェーン全体のセキュリティ対策状況を★で可視化する」こと。取引先100社のセキュリティ対応状況を、バイヤーが外から判断するのはこれまで難しかった。この制度が浸透すれば、★何番かという共通言語で評価できるようになる。
★レベルの全体像はこんな感じだ:
| レベル | 位置づけ | 評価方法 | 有効期限 |
|---|---|---|---|
| ★1・★2 | 既存のSECURITY ACTION(自己宣言) | 自己宣言 | — |
| ★3 | 全企業が最低限実装すべきレベル | 専門家確認付き自己評価 | 1年 |
| ★4 | 標準的に目指すべきレベル | 第三者評価機関による審査 | 3年 |
| ★5 | 最高水準(高度インフラ・防衛等) | 第三者評価(2026年度以降に基準策定) | — |
CMMCとは米国国防省(DoD)のサプライチェーンセキュリティ基準で、2025年11月から段階的に調達要件として導入が始まった。日本でも防衛産業では2023年度から「防衛産業サイバーセキュリティ基準」が運用開始。
「防衛産業で先行し、2〜3年で製造業一般に波及する」というパターンは国内外で繰り返されており、SCS評価制度も例外ではないと見ておくべきだろう。
★3と★4、何がどう違うのか——費用・期間・審査方法を比較
「じゃあ★3でいいのか、★4を目指すべきなのか?」というのが、多くの調達担当者が気にするところだと思う。実務的な違いを比較すると、こうなる。
| 比較項目 | ★3 | ★4 |
|---|---|---|
| 評価方法 | 専門家確認付き自己評価 | 第三者評価機関による審査+脆弱性検査 |
| 要件数 | 26項目(評価基準83項目) | 44項目(評価基準157項目) |
| 対応期間の目安 | 1〜3ヶ月 | 3〜6ヶ月 |
| 費用の目安 | 数万〜数十万円 | 数十万円〜(規模・現状による) |
| 有効期限 | 1年 | 3年 |
| 主な追加要件 | 基礎的な防御・インシデント対応手順 | 取引先管理・脅威検知・継続的改善 |
(費用・期間は各社試算、2026年時点。企業規模・現状レベルで大きく変動する)
重要なのは「★3はすべての企業が最低限取るべきライン」という位置づけで、★4は「取引条件として求められる可能性が高い標準ライン」だという点だ。2027年度以降、大企業が取引先に★4の取得を求め始めるという予測が業界では出ている(NRIセキュア、2026年)。2026年度末の運用開始から逆算すると、★4を目指すなら今すぐ動き出す必要がある。3〜6ヶ月の対応期間を考えると、2026年4月の段階で動き始めてギリギリだ。
ISMSを持っていれば大丈夫?——「別制度」という現実
「うちはISO27001取得済みだから、SCS評価制度は大体カバーできてるんじゃないか?」
ISMS(ISO27001)を持っているんですが、SCS評価制度もほぼカバーできていると考えていいですよね?
有利なスタート位置にいるのは確か。
ただし「大体カバーできる」は誤解で、追加対応が必要な領域が明確に存在します。特に取引先管理・ネットワーク図・重要データ保管ルールは要注意。
★3の25項目・★4の41項目はISMS(ISO27001)の管理策と対応している(東京スタンダード、2026年)。だからISMS取得済み企業は、何も準備していない企業よりはるかに有利なスタート位置にいる。それは本当だ。
ただし、以下の2点では追加対応が必要になる:
- 「取引先管理」「ネットワーク図作成」「重要データの保管ルール」:
これらはISMS(ISO27001)の管理策を明示的に参照していない項目だ。★3では取引先管理の1項目のみだが、★4ではネットワーク図の作成・更新や、重要データをPC以外の安全な領域に保管するルールの策定なども加わり、計3分野が非参照となる。ISMSで「取引先のセキュリティは相手任せ」にしていた企業や、ネットワーク構成の可視化が不十分な企業は追加対応が必須になる - ISMSで管理策を「適用除外」にしていた場合:
ISMSでは「この管理策は自社に不要」として適用除外にすることができる。しかしSCS評価制度は共通基準ベースなので、除外したものが★3・★4で要求されていると追加実装が必要になる
ISMS未取得でも、もちろん★3・★4は取得できる。ISMS = SCS評価制度ではないし、ISMS取得は必須条件でもない。
ISMSは「リスクベース」、SCS評価制度は「共通基準ベース」——両制度の本質的な違いは設計思想にある。ISMSは自社でリスクを評価し、対応する管理策を自分で選ぶ。SCS評価制度は全員が同じ26項目(★3)か44項目(★4)を満たす。柔軟性と統一性の違い、と言えばわかりやすいかもしれない。
取引先にセキュリティ評価を求めることは取適法上OKか
「でも、取引先に★取得を求めることって、下請法や取適法に引っかからないんですか?」
法務部門からそう聞かれて、答えに詰まるバイヤーは多いと思う。実際、これは多くの調達担当者が動き出せない最大の理由のひとつだ。
結論を先に言う。経産省と公正取引委員会が、2025年12月26日に両者連名で整理文書を公表。
整理の骨子はこうだ:
- 「パートナーシップ型」はOK:
取引先と協議の上、対応コストを価格交渉で反映させながら★取得を求める形は問題なし - 「一方的な要求・コスト全押しつけ」はNG:
「★4を取得しなければ取引を打ち切る」かつ「対応費用は全部向こう持ち」という形は問題あり
要するに、「一緒に取り組む姿勢」で進める分には合法だ、ということだ。
調達担当者が今すぐやるべき3つのこと
制度の全体像が見えたところで、「じゃあ今週から何をすればいいのか」に絞って整理する。
まず手始めに、取引額や重要度の上位20社について、SECURITY ACTION(★1・★2)の取得状況を確認しよう。IPAの「SECURITY ACTION」公式サイトで宣言事業者一覧を確認できる。
次回の定期商談の議題に「SCS評価制度への対応予定はありますか?」を一問追加するだけでもいい。把握することが最初の一歩だ。
発注側として「取引先に何番を求めるか」と、受注側として「自社は何番を目指すか」の二つを同時に決める必要がある。これは調達部門だけで決まる話ではなく、経営判断が必要だ。
「2027年度から取引条件化される可能性がある」という時間軸を添えて、経営会議に議題として上げることを強く勧める。
経産省が2026年3月27日に公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」は、現時点での最も正確な一次情報だ。
A4で数十ページあるが、評価基準の概要(1ページ)と対象企業の定義部分だけ読むだけでも、現在の自社管理体制とのギャップが見えてくる。(URL)
地味な作業に見えるが、「何も知らない状態」から「全体像を把握している状態」に移行するだけで、取引先からの問い合わせに答えられるようになるし、社内への説明もできるようになる。
まとめ——2026〜2027年の「SCS対応ロードマップ」
この記事で伝えたかったことを3点に絞る。
1. SCS評価制度は調達担当者こそが主役
受注側(サプライヤー)が対応するだけでなく、発注側(バイヤー)が「取引先に何番を求めるか」を設計する責任がある。これはセキュリティの話でもあり、サプライヤー管理の話でもある。
2. ★3は最低ライン(1〜3ヶ月・数万〜数十万円)、★4は標準ライン(3〜6ヶ月・数十万円〜)
2026年度末に運用が始まり、2027年度以降に取引条件化が本格化する。今すぐ動ける状況にある。
3. 取引先への要求は独禁法・取適法上OKと整理済み
パートナーシップ型で進める分には合法。「法的リスク」を理由に動けない状況は、2025年12月をもって解消されている。
制度が走り出してから「知らなかった」と慌てるより、今の段階で全体像を把握し、準備の先手を打つほうが絶対にいい。それが長年の調達実務で学んだことのひとつでもある。
