SCS評価制度が計画された背景として、主に二つの課題が挙げられる。

サプライチェーンや委託先を狙った攻撃の増加

IPA（独立行政法人情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威」の2026年組織編で、サプライチェーン攻撃が2位に挙げられている。

攻撃者から見ると、標的がエンタープライズ企業の場合、セキュリティが堅くて侵入しにくい。そこで、脆弱性がある国内外の関連会社、業務委託先などを攻撃し、そこから標的企業の機密情報などを窃取するほか、つながっているネットワークから標的企業に侵入を行う。こういった被害の対策が求められていた。

セキュリティ対策の「見える化」

各企業のセキュリティ対策を外部から判断するのは困難だ。これまで関連企業や取引先のセキュリティ対策を確認するためには、ヒアリングやアンケート、チェックシートへの記入などで回答を求めるなどの手段を講じるほかなかった。そのため、各企業のセキュリティ対策状況を可視化する仕組みも急務となっている。

本制度では、各企業の立ち位置に応じた必要なセキュリティ対策を提示できるように、複数のセキュリティ対策の段階を設けている。

これにより、受注側や関連企業などは客観的に自社のセキュリティレベルを提示できるようになる。発注側や本社などは、取引先、子会社といった関連企業のセキュリティレベルを統一基準で把握できるようになり、サプライチェーン全体でのリスク管理を効率的に行えるようになる。

関連記事：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」とは

対象となる企業は「サプライチェーンを構成する企業等」となっており、★を提示するのは受注側となる。

対象となるシステムは、IT基盤と外部ネットワーク境界。オンプレミス環境、クラウド環境を含む公開サーバー、認証基盤のほか、エンドポイント機器であるPCやスマートフォンなど、原則として自社ネットワークに接続されたIT基盤を構成するシステム、機器は全て評価対象となる。

また、外部ネットワークと社内ネットワークの接続点にあるファイアウォール、ルーター、VPN装置なども対象に含まれる。

反対に、ネットワークに接続されていない機器は対象外となるため、万一、評価基準に満たない機器を使用する必要があっても、スタンドアロンであれば問題ない。

サポート期間切れのソフトウェアなどの本制度の要求基準を満たすことが困難なIT機器やソフトウェアは例外的に適用範囲に含めないことが許容され得る。その場合、具体的な除外理由を明記し、セキュリティ専門家または評価機関から妥当性を評価される必要がある。

また、製造環境などの制御（OT）システム、発注元などに提供する製品などは、他の制度やガイドラインなどに基づいて対策を行うことが想定されている。

まず自社のセキュリティレベルがどこにあるかを確認し、目標とするレベルに達するには何をすればいいのかを洗い出す。そのうえで、運用体制を整備して対策を行う。

★1は、IPAが公開している「情報セキュリティ6か条」に取り組むことを宣言すれば取得できる。

★2は、IPAの「中小企業の情報セキュリティ対策ガイドライン」の付録3「5分でできる！情報セキュリティ自社診断」で自社の状況を把握し、付録2「情報セキュリティ基本方針（サンプル）」を定めて外部に公開する。

★3は、セキュリティ専門家による確認を経た取得希望組織（以下、組織）による自己評価が求められる。

★4は、第三者評価と技術検証の実施が求められる。

★5は、ISMS適合性評価制度との整合に配慮し、システムの具体的な対策は、実績のあるガイドライン（例：自工会ガイドライン＜Lv3＞）などから選定することが想定されている。対策基準や評価スキームのあり方などは令和8年度以降に検討される予定だ。

ソフトウェアベンダーやネットワーク機器ベンダーなどは、SCS評価対策に準拠した製品をリリースし始めている。
そういった製品を導入することも対策の一つだ。

制度が開始する2026年度末までに改訂が入る可能性もあるため、都度情報を確認する必要があるが、今年度予算に組み込み、早めに準備をスタートすることが大切だ。