取引先から「★3」を求められる日が来る。SCS評価制度、大分の下請け企業が今週やるべき3つの準備
「セキュリティなんて、大企業やIT企業の話でしょう」——そう思っている社長のもとにも、遠くない将来、取引先から「★3は取れていますか」という問い合わせが届くかもしれません。経済産業省と内閣官房国家サイバー統括室は、サプライチェーンを構成する企業のセキュリティ対策状況を星(★)で可視化する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の制度構築方針を固めており、2026年度末頃の運用開始を目指しています。大分の製造業・下請け企業にとって、これは「対岸の火事」では済まない可能性があります。
SCS評価制度とは何か
SCS評価制度は、発注元企業が委託先企業に求めるセキュリティ対策のレベルを「★3」「★4」「★5(検討中)」という共通のものさしで示し、対策状況を確認できるようにする仕組みです。これまでは発注元ごとにバラバラの基準や質問票が送られてきて、複数の取引先を持つ中小企業側の負担が大きいという課題がありました。この制度は、その負担を軽減しつつ、サプライチェーン全体のセキュリティ水準を底上げすることを狙っています。
制度の要点は次のとおりです。
| 項目 | 内容 |
|---|---|
| 正式名称 | サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) |
| 運営 | 経済産業省・内閣官房国家サイバー統括室の監督のもと、IPA(情報処理推進機構)が運営 |
| 対象範囲 | 企業のIT基盤(クラウド環境を含む)。製造設備などの制御系(OT)システムは対象外 |
| 評価段階 | ★3(全企業が最低限実装すべき対策)、★4(標準的に目指すべき対策)、★5(今後検討) |
| ★3の取得方法 | 自己評価+セキュリティ専門家による確認(専門家確認付き自己評価) |
| ★4の取得方法 | 自己評価に加え、評価機関による第三者評価・技術検証 |
| 制度開始時期 | ★3・★4は2026年度末頃、申請受付開始を目標 |
| 直近の動き | 中小企業向け支援サービス「サイバーセキュリティお助け隊サービス(新類型)」の提供事業者公募が6月26日に始まり、7月7日に公募説明会が予定されている |
なぜ大分の中小企業にも関係するのか
「うちは大分の小さな製造業だから関係ない」——その感覚も、半分は正しく、半分は危ういかもしれません。
制度が直接対象とするのは、あくまで発注元と委託先の「2社間の取引」です。つまり、大企業や中堅企業から仕事を受けている大分の製造業・部品加工業・システム開発の下請け企業は、いずれ取引先から「★3の取得状況を教えてほしい」と聞かれる側になり得ます。実際、経済産業省のFAQでも、★を取得していないことを理由に委託契約が打ち切られるのかという質問が想定問答として用意されており、今後の企業間取引の条件に組み込まれていく可能性が意識されています。
一方で、経済産業省側は「★の取得を競わせる格付け制度ではない」と説明しており、制度開始後すぐに全ての取引先が★取得を必須条件にするわけでもありません。まずは「自社のセキュリティ対策が、どの段階にあるのか」を把握しておくことが、焦って対応する事態を避ける一番の近道です。
| よくある誤解 | 実際のところ |
|---|---|
| SCS評価制度=大企業・IT企業向けの認証 | サプライチェーンを構成する企業であれば、業種を問わず対象になり得る |
| 高額なセキュリティ機器を買わないと★は取れない | 特定製品の導入は必須要件ではなく、組織的な対策(規程・体制づくり)が中心 |
| 制度が始まってから準備すればいい | ★3は約25項目、★4は約44項目の対策状況の棚卸しが必要で、直前準備は難しい |
製造業・下請け企業の社長が今週確認すべき3つのこと
セキュリティ機器のカタログを見る前に、次の3点を社内で確認しておくことをおすすめします。
1. 自社が「委託先」としてどの取引先とつながっているか
まず、自社が大企業・中堅企業のサプライチェーンにどのくらい組み込まれているかを整理してください。取引先の中に、自動車・電機・防衛関連など、すでに独自のセキュリティガイドラインを持つ業界があれば、SCS評価制度の★要求が早く来る可能性があります。
2. IT基盤の基本対策が「棚卸しできる状態」か
★3の要求事項は、パッチ管理、ID・アクセス管理、多要素認証、インシデント発生時の復旧対策など、基本的なIT運用の話が中心です。まず「自社のPC・サーバー・クラウドサービスが何台・何個あり、誰が管理しているか」を一覧にできるかどうかを確認してください。ここが曖昧なままでは、自己評価シートの記入すら始められません。
3. 公的支援策の情報を、今のうちに押さえているか
経済産業省とIPAは、中小企業が★3・★4を安価に取得できるよう「サイバーセキュリティお助け隊サービス(新類型)」を新設する方向で準備を進めています。2026年6月26日にはサービス提供事業者の公募が始まり、7月7日には公募説明会が予定されています。また、IPAの「中小企業の情報セキュリティ対策ガイドライン」もSCS評価制度に対応する形で改訂済みです。制度が本格化してから調べるのではなく、今のうちに情報を追いかけておくと、いざという時の対応スピードが変わります。
今週できるチェックリスト
- 主要な取引先のうち、独自のセキュリティ要求を出している(または出しそうな)企業を書き出した
- 社内のPC・サーバー・クラウドサービスの利用状況を、誰が把握しているか確認した
- 退職者・異動者のアカウントが放置されていないか確認した
- IPAの「中小企業の情報セキュリティ対策ガイドライン」改訂版の存在を社内で共有した
中小企業が取るべき選択肢
SCS評価制度は、すべての中小企業に「今すぐ★3を取得しろ」と言っているわけではありません。現実的な進め方は、だいたい次のいずれかです。
選択肢A:自己診断から始める
IPAが公開しているガイドラインや評価基準をもとに、まずは自社の対策状況を棚卸しする。投資はほぼゼロで、取引先から聞かれたときにも慌てずに済みます。
選択肢B:公的支援策の実証事業を注視する
「サイバーセキュリティお助け隊サービス(新類型)」の実証事業は、参加企業がサービスを試験的に受けられる仕組みです。詳細な募集開始時期を継続してチェックし、参加を検討する選択肢もあります。
選択肢C:外部のディレクション力を借りて要件を整理してから動く
「何から手をつければいいか分からない」まま機器メーカーやベンダーに相談すると、必要以上に高額な提案だけが返ってくることがあります。社内のIT資産・体制の整理から、優先順位づけまでを一緒に整理してくれる相手を挟む方法もあります。
まとめ:★3は「いつか来る質問」への備え
SCS評価制度は、中小企業にとって「今すぐ星を取れ」というメッセージではありません。ただし、取引先から星の取得を聞かれる日は、思っているより早く来る可能性があります。まずは自社のIT資産とアカウント管理を棚卸しし、公的支援策の情報を追いかけておくことが、一番コストのかからない準備です。
大分の製造・下請け企業でも、取引先からのセキュリティ要求は確実に強まっています。今日のうちに、チェックリストの1項目だけでも社内で確認してみてください。
参考:経済産業省・内閣官房国家サイバー統括室「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(2026年3月27日公表)、経済産業省「サイバーセキュリティお助け隊サービス(新類型)」ページ(2026年6月26日更新情報)