2026 年 07 月 14 日
2026 年度末開始予定の「SCS 評価制度」対象事業者に求められる対策とは?【中編】
~ 7 つの評価領域の概要、各領域で求められる主な対策 ~
前編【制度策定の背景と概要解説】はこちら
対象事業者に求められる具体的な対策
7 つの評価領域の概要
SCS 評価制度の要求事項は、米国国立標準技術研究所(NIST)が策定したサイバーセキュリティフレームワーク(CSF)をベースに、日本固有の「取引先管理」を加えた7 つの評価領域で構成されています。
| 評価領域 | 内容 |
|---|---|
| ① ガバナンスの整備 | 経営層のコミットメントとセキュリティ管理体制の整備 |
| ② 取引先管理 | サプライチェーン上の取引先に関するセキュリティ管理(SCS 評価制度独自の領域) |
| ③ リスクの特定(識別) | 自社の IT 資産やリスクを把握し、守るべき情報・システムを特定する |
| ④ 攻撃等の防御 | 不正アクセスやマルウェア感染を防ぐ技術的・物理的対策 |
| ⑤ 攻撃等の検知 | サイバー攻撃や異常を早期に検知する仕組み |
| ⑥ インシデントへの対応 | インシデント発生時の初動対応・影響範囲の特定・復旧手順 |
| ⑦ インシデントからの復旧 | 事業継続計画(BCP)と迅速なシステム復旧対策 |
★3(三つ星)で求められる対策
★3 は「全ての企業が最低限実装すべきセキュリティ対策」として位置付けられています。評価方法は「専門家確認付き自己評価」であり、有効期間は 1 年です。
各領域で求められる主な対策は以下のとおりです。
① ガバナンスの整備(★3)
- セキュリティ対策の責任者を明確にし、経営層が自社の対策状況を把握していること
- セキュリティインシデント発生時に経営層が迅速に意思決定できる体制の整備
- 「社長がセキュリティの最終責任者である」ことの明文化と、年 1 回程度の状況報告受領(中小企業の場合、これで要件を満たせる可能性あり)
② 取引先管理(★3)
- 自社が重要な情報を提供している取引先・委託先の把握
- 委託先との契約において、セキュリティに関する要件の明記(NDA やセキュリティ要件を含む契約書の確認)
③ リスクの特定(識別)(★3)
- 社内で使用している IT 機器(PC、サーバー、ネットワーク機器)、ソフトウェア、クラウドサービスの一覧(IT 資産台帳)の整備
- 脆弱性情報を収集し、自社への影響を確認する仕組みの構築
④ 攻撃等の防御(★3)
- 多要素認証(MFA)の導入やパスワード管理の強化
- VPN 機器・リモートアクセス機器の脆弱性管理とパッチ適用
- ネットワークのセグメンテーション(子会社・グループ会社間のネットワーク分離)
- エンドポイント保護(マルウェア対策ソフト等)の導入
⑤〜⑦ 検知・対応・復旧(★3)
★3 では、2025 年に実施された実証事業での企業からの意見(「サイバー攻撃を受けた経験から、業務継続のための対策を用意することが重要」)を踏まえ、サイバーインシデント発生時の復旧対策が必須要件となりました。バックアップの取得と定期的な復旧テスト、インシデント発生時の連絡体制の整備が求められます。
★4(四つ星)で求められる追加対策
★4 は「サプライチェーン企業が標準的に目指すべきセキュリティ対策」として位置付けられており、★3 の内容をすべて包含した上で、より包括的な対策が求められます。評価方法は第三者機関による審査(文書確認・実地審査・技術検証)であり、有効期間は 3 年(ただし期間中も毎年自己評価が必要)です。
★4 で追加される主な要件
- CISO(最高情報セキュリティ責任者)等の責任者の正式な任命
- セキュリティ方針・規程の体系的な整備と PDCA サイクルの運用
- 取引先のセキュリティ対策状況を定期的に確認する仕組みの構築
- 委託先に対して SCS 評価制度の★取得を促すなど、サプライチェーン全体の底上げへの取り組み
- IT 資産台帳の最新維持と定期的なリスクアセスメントの実施
- インターネット公開資産に対する脆弱性検査(ペネトレーションテスト等)の実施
- 24 時間 365 日対応の異常検知・監視体制の整備
評価取得の流れ
★3 取得の流れ
| Step 1 | 取得希望組織が★3 の要求事項に基づき自己評価を実施し、対策状況評価シートに記入 |
|---|---|
| Step 2 | セキュリティ専門家(情報処理安全確保支援士、CISSP、CISM、CISA、公認情報セキュリティ監査人、ISO27001 主任審査員等の資格保持者)が評価内容を確認・助言し、署名 |
| Step 3 | 経営層による自己適合宣誓書の作成 |
| Step 4 | 制度事務局(IPA)に評価結果を提出し、問題がなければ台帳に登録・公開 |
★4 取得の流れ
★4 は上記★3 の流れに加え、指定された第三者評価機関への評価依頼が必要となります。評価機関は書類確認(1〜2 日)、実地審査(1〜2 日)、技術検証(1〜2 日)の 3 つのプロセスを経て審査を実施します。
後編では、SCS 評価制度が策定された背景を具体的に理解するために、実際に発生した主なサプライチェーン攻撃の事例を紹介します。
サイバートラストが提供する対策ソリューション
SCS 評価制度の要求事項は、NIST CSF をベースに構成されています。サイバートラストでは、「統治(Govern)」「識別(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」のそれぞれのレベルに対応可能なソリューションを提供しています。

SCS 評価制度に対応可能な具体的なソリューションについては、「SCS 評価制度対策ガイド」をご参照ください。
SCS 評価制度対策ガイド 資料ダウンロード
本記事に関連するリンク









