自社のIT環境を、
取引先へ
説明できる
状態に。

SCS評価制度で問われるのは、チェックシートの回答だけではありません。IT資産・外部接続・委託先アクセス・証跡・責任分界を、事実に基づいて示せること。ここでいう「説明できる」とは、何を管理し、誰が責任を持ち、どの証跡で確認できるかを取引先へ示せる状態です。

IT Infrastructure Consulting & Engineering Management

SCROLL
01
INFORMATION

SCS評価制度の全体像

正式名称
サプライチェーン強化に向けた
セキュリティ対策評価制度
(SCS評価制度)

経済産業省が主導する制度です。★3以上が対象、運用開始は2026年度末頃。ご存じの点も多いと思いますので、要点だけ。

★3
専門家確認付き自己評価有効期間 1年・毎年更新
取得
更新
更新
★4
第三者評価+技術検証有効期間 3年・毎年自己評価
取得
自己評価
自己評価
更新
7評価分類(NIST CSF 2.0 ベース)— ★3 は 26 項目、★4 は 43 項目
01
ガバナンス
セキュリティ方針・体制・リスク管理プロセスの確立
02
取引先管理
委託先・サプライチェーン全体のセキュリティ確保
03
リスク特定
資産・脆弱性・脅威の把握と整理
04
技術対策
アクセス制御・脆弱性管理・設定管理
05
検知
セキュリティ異常・インシデントの検知体制
06
インシデントへの対応
発生時の対応手順・報告・封じ込め計画
07
インシデントからの復旧
事業継続・復旧計画・教訓の反映

★3は、セキュリティ専門家による確認を経た取得希望組織による自己評価(専門家確認付き自己評価)を求めます。

経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(2026年3月27日)p.13

出典:IPA「SCS評価制度 詳細情報」(2026年5月) — ipa.go.jp/security/scs

出典:経済産業省「SCS評価制度 制度構築方針」(2026年3月27日)/IPA SCS評価制度サイト(2026年4月)。

SCS 評価を前に

こんな状況ではないですか。

正式名称や評価区分を理解しても、実務では「何を確認し、どこから手をつけるか」が残ります。証跡・責任分界・毎年の維持まで見据えて、多く寄せられる声を整理しました。

こんなご相談、ありませんか
  • 取引先からSCS(★3/★4)対応を求められたが、何から手をつけるか分からない
  • 制度対応の提案を受けているが、自社環境に本当に合うか判断できない
  • 認証の取得自体が目的化し、取得後の毎年の維持まで描けていない
  • いまのIT環境を活かして、棚卸しからやり直さずに最短で整えたい
02
INFORMATION

なぜ「準備」が必要か

SCS評価への準備は「チェックシートを埋める話」ではありません。IT資産・外部接続・委託先アクセス・証跡・更新管理が、実環境として整っていることが求められます。

背景 — サプライチェーンリスク

攻撃は、防御の強い大企業より、相対的に弱い取引先・委託先を経由して取引網へ入る傾向があります。

SCS評価で確認が必要な範囲
  • IT資産機器・ソフトウェア・契約の把握
  • 外部接続インターネット・クラウドへの接続管理
  • 委託先アクセス外部への権限・アクセス経路の整理
  • 証跡設定変更・操作ログの記録
  • 更新・変更管理差分の記録と運用への反映
  • 毎年の維持評価後も続く継続管理
評価後も証跡の継続更新が必要です。★3は毎年更新、★4は3年ごと(毎年自己評価付き)。

出典:IPA「情報セキュリティ10大脅威 2026」(2026年1月)/小島プレス工業・トヨタ自動車に関する記述は2022年3月の各社報道に基づく事実の要約であり、特定記事の転載ではありません。

READINESS LENS

制度項目を、実環境の証跡へ落とす。

SCSの確認項目は、紙の回答では完結しません。台帳、構成、設定、ログ、契約、運用手順、委託先アクセスの実態がつながって、初めて取引先へ説明できる状態になります。

01 / ASSET & CONNECTION

資産・接続の現在地

IT資産、外部接続、クラウド、VPN、委託先アクセスを、FactとUnknownに分けて整理します。

02 / RULE & EXCEPTION

例外・許可の判断基準

許可している通信、固定IP、例外運用、権限付与が、なぜ必要なのかを説明できる基準へ落とします。

03 / OWNER & UPDATE

責任分界と継続更新

誰が管理し、誰が承認し、障害時に誰が動くか。毎年の更新に耐える運用として残します。

03
INFORMATION

一社のシステム障害が、国内14工場・28ラインを止めた

事実として、静かに置きます。ただし、ここから引くべき教訓は「チェックリストを揃えること」ではありません。

経済・産業面2022年3月/各紙報道より(事実の要約)

小島プレス工業への
サイバー攻撃
トヨタ、国内全14工場が停止

一次取引先1社のシステム障害が、自動車メーカー国内全工場の生産を止めた。

2022年2月26日、トヨタの一次取引先である樹脂部品メーカー・小島プレス工業のサーバーがランサムウェアに感染。部品の受発注システムが使用できなくなった。

影響は委託先1社にとどまらず、3月1日にはトヨタ国内全14工場28ラインが稼働を停止した。グループの日野自動車・ダイハツ工業にも波及した。

同社は従業員約1,600名・売上約1,400億円の中堅企業。規模の大小にかかわらず、サプライチェーンの一点が止まれば全体に及ぶ。

14
停止した国内工場(28ライン)
13,000台超
生産遅延が生じた車両
事実出典:2022年3月の各社報道(NHK・朝日新聞・読売新聞ほか)/本枠は事実の要約であり、特定記事の転載ではありません。
攻撃者
委託先
(踏み台)
取引網
全体へ
供給停止
信用毀損
4年連続
IPA「情報セキュリティ10大脅威」でサプライチェーン関連攻撃が2位で推移。1位ランサムウェアと並んで固定化。
教訓
守りの本質は、製品の数ではありません。見えていない一点が、全体を止める。だからこそ、自社のIT環境を「取引先へ説明できる状態」にしておくことが、最初の防御になります。

出典:IPA「情報セキュリティ10大脅威 2026」(2026年1月)/小島プレス工業・トヨタ自動車に関する記述は2022年3月の各社報道に基づく事実の要約であり、特定記事の転載ではありません。

04
OUTPUT

SCS評価に向けて残すべきもの。

取得のための回答だけではなく、翌年も使える証跡、責任分界、更新課題を残します。ここで整えた情報は、ITインフラ標準化アセスメントの入口にもなります。

Fact/Unknown一覧

確認済みの情報と、権限・時間・環境制約により未確認の情報を分けて残します。

資産・外部接続棚卸

IT資産、外部接続、委託先アクセス、契約・保守情報の現在地を整理します。

責任分界メモ

所有者、管理者、承認者、既存ベンダ、障害時の動き方を確認課題として明確にします。

継続更新ロードマップ

毎年の更新、台帳差分、証跡管理、保守期限、改善テーマを継続運用へ接続します。

05
VALUE

進め方

まず現在地を確認し、Unknownを隠さず、評価準備・継続整備・標準化の順番を決めます。

01

現在地確認

IT資産、外部接続、委託先アクセス、証跡、管理主体をFact/Unknownで整理します。

02

未確認領域の明示

構成・接続、運用基準、管理責任・判断主体の未確定部分を、推測で埋めず確認課題として残します。

03

対応順序の設計

影響範囲、判断基準、責任分界の順に、取得・更新・継続整備へつながる優先順位を置きます。

04

継続整備・アセスメントへ

SCS評価に向けて整えたFact/Unknownを、台帳整合、EoL、変更管理、標準化アセスメントへ接続します。

NEXT ACTION

自社のIT環境を
「取引先へ説明できる状態」に。

SCS評価制度をきっかけに、IT資産・外部接続・委託先アクセス・証跡・責任分界を、取引先へ示せる情報として整理します。

相談する
SCS は入口。本丸は、その先。

評価に向けて整えた環境を、
経営資産に育てる。

SCS評価への準備はゴールではありません。取引先へ説明するために整えた資産・外部接続・責任分界・証跡は、そのまま更改、EoL対応、BCP、投資判断の土台になります。標準化アセスメントでは、IT環境全体をFact/Unknownで整理し、判断できる状態へ移します。

ITインフラ標準化アセスメントを見る →

出典:IPA「情報セキュリティ10大脅威 2026」(2026年1月)/IPA「SCS評価制度」サイト(2026年4月) ipa.go.jp/security/scs /経済産業省「SCS評価制度 制度構築方針」(2026年3月27日) /小島プレス工業・トヨタ自動車に関する記述は2022年3月の各社報道に基づく事実の要約であり、特定記事の転載ではありません。