2026年度末開始のセキュリティ対策(SCS)評価制度。事前に取り組める「SECURITY ACTION宣言」とは?
公開日:2025年9月5日
更新日:2026年5月13日
中小企業を標的としたサイバー攻撃やサプライチェーン攻撃が激化する中、2026年度末(2027年1月~3月)に経済産業省主導の「サプライチェーン強化に向けたセキュリティ対策(SCS)評価制度」がスタートする予定です。
制定の背景には、各企業が“自社なり”にセキュリティ対策を講じており、企業間での評価基準があいまいになっている点が挙げられます。
そこで経済産業省が統一的な基準を設け、企業間のやり取りを円滑にしようとしているのが「セキュリティ対策評価制度」です。
本記事では2026年3月に正式に公表された制度構築方針の概要や取り組みポイントについて解説します。
セキュリティ対策(SCS)評価制度とは?制定の背景や課題
「取引先のセキュリティ対策は大丈夫だろうか」「自社のセキュリティレベルをどう証明すればいいのか」こうした悩みを抱える企業のために経済産業省が新たな制度を開始します。
2026年度末から制度開始予定。セキュリティ対策(SCS)評価制度
経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました。セキュリティ対策(SCS)評価制度は、企業の立ち位置に応じたセキュリティ対策状況を5段階の★マークで見える化するものです。サプライチェーンにおける重要性や影響度に応じて★3、★4、★5に分けて評価します。
- ★3については、一般的なサイバー脅威に対処しうることを水準として規定。
- ★4は、初期侵入の防御にとどまらず、内外への被害拡大防止・目的遂行のリスク低減によって取引先のデータやシステム保護に寄与する点や、サプライチェーンにおける自社の役割に適合したサプライチェーン強靭化策が講じられていることを水準として想定。
- ★5については、より高度なサイバー攻撃への対応として、自組織のリスクを適切に把握・マネジメントした上で、システムに対する具体的な対策としては既存のガイドライン等も踏まえた上で現時点でのベストプラクティスに基づく対策を実行する形を想定(★3・4の精査も踏まえ、今後更に具体化)。
- 上位の段階はそれ以下の段階で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはならない。
| ★3※1 | ★4 | ★5※4 | |
|---|---|---|---|
| 想定される脅威 | ・広く認知された脆弱性等を悪用する一般的なサイバー攻撃 | ・供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃 ・機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃 |
・未知の攻撃も含めた、高度なサイバー攻撃 |
| 対策の基本的な考え方 | ・全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的な組織的対策とシステム防御策を中心に実施 | ・サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施(実地審査及び技術検証を含む評価によって対策実施状況の確認を行う。) | ・サプライチェーン企業等がさらに目指すべき高度な対策として、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施 |
| 脅威に対する達成水準(イメージ) | ・組織内の役割と責任が定義されている。 ・一般的なサイバー脅威への対処を念頭に、自社IT基盤への初期侵入、侵害拡大等への対策が講じられている。 ・インシデント発生時に、取引先を含む社内外関係各所への報告・共有に必要な最低限の手順が定義、実施されている。 |
取引先のシステムやデータを含む内外への被害拡大や攻撃者による目的遂行のリスクを低減する対策が講じられている。 ・事業継続に向けた取組や取引先の対策状況の把握など、自社の位置づけに適合したサプライチェーン強靭化策が講じられている。 |
組織において国際規格等に基づくマネジメントシステムが確立されている。 ・リスクを適宜適切に把握した上で、インシデントに対して迅速に検知・対応するなど、ベストプラクティスに基づくサイバーレジリエンス確保策が講じられている。 ・取引先等への指導や共同での訓練の実施など、自社サプライチェーン全体の対策水準向上に資する対策が講じられている。 |
| 要求事項数 | 26件 | 43件 | 今後検討することを想定 |
| 評価スキーム | 専門家確認付き自己評価※2 | 第三者評価※3 | 第三者評価※3 |
| 有効期間 | 1年 | 3年 | 今後検討することを想定 |
| ベンチマーク (対象企業やリスクが同様であり、対策項目を検討する上で参考) |
・自工会・部工会ガイドLv1 ・Cyber Essentials ⇒★3で対処する脅威等に照らして精査し、対策事項を抽出 |
・自工会・部工会ガイドLv2~3(Lv3については一部の項目) ・分野別ガイドライン等 ⇒★4で対処する脅威等に照らして精査し、対策事項を抽出 |
・ISO/IEC27001 ・自工会・部工会ガイドLv3 等 |
-
※1
★1・★2については、IPAが運営する「SECURITY ACTION」を参照されたい。
-
※2
★取得希望組織が自ら実施した評価の結果について、セキュリティ専門家による確認及び助言を経て、取得希望組織の評価結果として確定させることをいう。
-
※3
★取得希望組織が自ら実施した評価の結果について、★取得希望組織以外の組織(評価機関)による評価等を経て、評価結果として確定させることをいう。
-
※4
ISMS適合性評価制度との制度的整合性、★3・4との整合性も踏まえ、今後対策事項を検討
★3は、一般的なサイバー攻撃への対処を水準とし、組織内の役割・責任の定義や自社ITへの初期防御、インシデント時の対応フローの整備が中心です。一方の★4は、サプライチェーン全体への影響を意識した水準です。初期防御にとどまらず、取引先のデータ・システム保護に向けた被害拡大防止とリスク低減、さらに自社のサプライチェーン上の役割に応じた強靭化策まで求められます。
制度開始に向けた最近の動きをまとめると、2025年4月に経済産業省は制度構築に向けた中間取りまとめを発表しました。同年12月には制度構築方針(案)を公表し、一般から意見や情報を募集するパブリックコメントを実施。その内容を踏まえ、2026年3月に正式な制度構築方針を公表しました。
現時点では、2026年度末(2027年1月~3月)頃の制度開始を予定しています。ただし、整備状況によっては変更となるかもしれません。
制度の運用主体は、経済産業省所管の「独立行政法人情報処理推進機構(以降、IPA)」で、経済産業省・国家サイバー統括室が監督する体制となります。
評価項目は「ガバナンスの整備、取引先管理、リスクの特定、攻撃などの防御、攻撃などの検知、インシデントの対応・復旧」といった観点から構成され、米国NISTの「Cybersecurity Framework 2.0」などの国際基準に準拠しています。
2026年3月の発表では、★3・★4の要求事項と評価基準が決定しました。★4の要求事項は40項目を超えるため、多岐にわたる評価基準を満たさなければなりません。
-
NIST Cyber Security Framework(CSF)の機能に対応した6つの分類に、取引先管理に重点を置いた分類を加えた7つの分類において、それぞれレベルごと達成すべき対策を提案。詳細は別添を参照。要求事項・評価基準は、サイバーセキュリティの動向等を踏まえ今後定期的な見直しを想定。
[註]以下は必ずしも全要求事項を網羅しているわけではない点に留意されたい。[註][]内は要求事項No.を指す。
| 大分類 | ★3 | ★4 | NIST CSFにおける機能 |
|---|---|---|---|
| ガバナンスの整備 | 企業として最低限のリスク管理体制の構築 | 継続的改善に資するリスク管理体制の構築 | 統治(GV) |
| ・自社のセキュリティ担当の明確化[No.1-2-1] ・セキュリティ対応方針の策定[No.1-3-1] |
・定期的な経営層への報告、不備の是正等[No.1-4-1] | ||
| 取引先管理 | 取引先に課す最低限のルール明確化 | 取引先の管理・把握及び取引先との役割・責任の明確化 | |
| ・他社との機密情報の取扱い明確化[No.2-1-2] ・接続している外部情報サービスの把握[No.3-1-3] |
・機密情報共有先の把握[No.2-1-1] ・重要な取引先等の対策状況把握[No.2-1-3] ・インシデント発生時の他社との役割等の明確化[No.2-1-4] |
||
| リスクの特定 | 自社IT基盤や資産の現状把握 | 脆弱性など最新状況の把握と反映 | 識別(ID) |
| ・情報資産やネットワークの把握[No.3-1-1,3-1-2] ・外部情報サービスの管理[No.3-1-3] |
・脆弱性管理体制、管理プロセスの明確化[No.3-2-1] | ||
| 攻撃等の防御 | 不正アクセスに対する基礎的な防御 | 多層防御による侵入リスクの低減 | 防御(PR) |
| ・ID管理手続、アクセス権限の設定[No.4-1-1,4-1-2] ・パスワードの安全な設定及び管理[No.4-1-4,4-1-5] ・内外ネットワーク境界の分離・保護[No.4-5-1] |
・重要な保管データの暗号化[No.4-3-1,4-3-2] ・ログの収集・定期的な分析の実施[No.4-4-3] ・社内システムにおける適切なネットワーク分離[No.4-5-1] ・社外への不正通信の遮断(出口対策)[No.4-5-2] |
||
| 端末やサーバーの基礎的な保護 | |||
| ・適時のアップデート適用、不要ソフトウェアの削除[No.4-4-1,4-4-4] ・端末等へのマルウェア対策[No.4-4-1,4-4-4] |
|||
| 攻撃等の検知 | ネットワーク上の基礎的な監視等 | 迅速な異常の検知 | 検知(DE) |
| ・ネットワーク接続・データの監視[No.5-1-1] | ・情報機器等の状態、挙動の監視・対応や分析[No.5-1-1,5-1-2] | ||
| インシデントへの対応 | インシデント発生に備えた対応手順の整備 | 対応(RS) | |
| ・インシデント対応手順の作成[No.6-1-1] ※大分類「インシデントへの対応」において、★4での追加項目はなし |
|||
| インシデントからの復旧 | インシデント発生から復旧するための対策の整備 | インシデントからの復旧手順等の整備 | 復旧(RC) |
| ・インシデント発生から復旧するための対策の整備[No.7-1-1] | ・復旧ポイント、復旧時間を満たす手順等の整備[No.7-1-1] | ||
★3は、自社内の基礎的な対策を中心に構成されており、アクセス管理・ネットワーク管理・インシデント手順など、最低限の防御を整えることが主眼です。★4はここにサプライチェーンの視点が加わります。取引先の管理や責任の明確化、多層防御による侵入リスクの低減など、自社のみの防御から外部の関係管理、動的な対応へと要求水準が引き上げられます。
なお、実際に企業を評価する機関は2026年12月頃にIPAから公表される予定です。
なぜ今この制度が求められるのか?
サイバー攻撃が高度化・多様化している中で、自社はもちろん、取引先に対してもセキュリティ対策を求めることが今や当たり前になりつつあります。
しかし、セキュリティ対策の取り組み状況について客観的に評価、証明することが難しい状況が続いています。具体的には受注企業が自社のセキュリティレベルを証明する手段が限られており、一方の発注企業も取引先のセキュリティ状況を外部から把握することが難しいのが現状です。
特にサプライチェーンにおいては、受注企業が取引先ごとに異なるセキュリティ対策の基準に対応しなければならないという課題も浮き彫りになっています。
IPAの「情報セキュリティ 10 大脅威 2026」によると、「サプライチェーンや委託先を狙った攻撃」は2019年から8年連続8回目となりました。サプライチェーンにおけるセキュリティ対策の重要性は高いことがわかります。
制度導入による効果
では、セキュリティ対策評価制度を導入することで、どのようなメリットがあるのでしょうか?
中小企業においては、自社のリスクレベルに応じたセキュリティ対策を決定、実施できるようになります。また、制度を導入した企業はIPAのWebサイト上に掲載されるため、取引先への信頼獲得などの効果が期待されています。発注企業も受注企業に対して求めるセキュリティ水準を示しやすく、その対策を促すとともに実施状況を確認できるようになります。
なお、Webサイトへの掲載に関する詳細は、令和8年度の制度具体化後にIPAより公表される予定です。
評価制度の開始前から取り組める「SECURITY ACTION宣言」
サプライチェーン強化に向けたセキュリティ対策評価制度が本格的にスタートするのは2026年度末(2027年1月~3月)の見込みですが、外部に向けてセキュリティ基準を示すために、2026年までに取り組み始めることができる「SECURITY ACTION セキュリティ対策自己宣言(以降、SECURITY ACTION宣言)」というものがすでに2017年からスタートしています。
SECURITY ACTION宣言とは?背景や目的
この制度は、IPAが設けた自己宣言制度です。
IPAがセキュリティ基準を認定するものではなく、中小企業自らがセキュリティ対策に取り組むことを宣言することで、国内におけるセキュリティ対策の普及・啓発を図ることが主な目的です。
この制度は、企業が自社のセキュリティ対策を段階的に向上させるための入口として位置づけられています。セキュリティ対策評価制度は三つ星~五つ星を認定の対象としますが、SECURITY ACTION宣言はその前段階である一つ星~二つ星を補完するものです。三つ星以上と比べて初歩的なもので取り組みやすくなっています。
宣言するメリットの一つに、デジタル化やサイバーセキュリティ対策などを支援する補助金の申請要件になる点も挙げられます。
評価方式・申込み方法
SECURITY ACTION宣言の申込みは、IPAの専用フォームから行います。まず個人情報の取扱いとロゴマーク使用規約に同意し、一つ星または二つ星のいずれかを選択。続いて担当者情報と事業者情報を入力します。
申込み直後に受付確認メールが届き、約1週間後に自己宣言IDの通知、さらに1~2週間後にロゴマークの使用許諾とダウンロード用パスワードが送付されます。その後、宣言事業者一覧にも掲載されます。
-
※
この情報は、2026年3月末日現在のものです。内容が変更される可能性もございますので、詳しくは出典先の詳細ページをご確認ください。
- ※
SECURITY ACTION宣言の一つ星、二つ星とは?
どのような条件を満たす必要があるのか、それぞれ解説します。
SECURITY ACTION宣言「一つ星」とは?
一つ星では「情報セキュリティ6か条」への取り組みを宣言します。
-
OSやソフトウエアは常に最新の状態にしよう!
-
ウイルス対策ソフトを導入しよう!
-
パスワードを強化しよう!
-
共有設定を見直そう!
-
バックアップを取ろう!
-
脅威や攻撃の手口を知ろう!
これらは基本中の基本ともいえる対策ですが、意外にも完全に実施できている企業は多くありません。一つ星宣言は、まさにセキュリティ対策の土台固めといえます。
Windows Updateやソフトウエア・アップデートの実行、ウイルス対策ソフトの導入とウイルス定義ファイルの更新、パスワードの「長く・複雑に・使い回さない」ルールの徹底が求められます。
また、Webサービスやネットワーク接続の複合機・ハードディスクなどの共有範囲を限定し、従業員の異動・退職時の速やかな設定の変更・削除も欠かせません。なりすましによるウイルスメールの送付や偽サイトへの誘導など最新の手口を知ることも重要です。
SECURITY ACTION宣言「二つ星」とは?
二つ星では「5分でできる!情報セキュリティ自社診断」の実施と、「情報セキュリティ基本方針」の策定・外部公開をする必要があります。
情報セキュリティ自社診断は、25項目に回答することで、自社の現状把握ができるツールです。一つ星と同じ6項目に加え、従業員としての対策(11項目)、組織としての対策(8項目)の3パートで構成され、「実施している」「一部実施している」「実施していない」「わからない」の4段階で評価します。
続いて、自社の情報セキュリティに対する理念、指針、原則、目標などを明文化した方針書を作成し、ホームページや会社案内、パンフレットなどで外部に公開します。
ここでは、情報セキュリティ自社診断の25項目から、自社や外部サービスを活用することで取り組みやすい5項目をピックアップして紹介します。
特に、ウイルス対策や機密データのバックアップについては、それらを提供している外部サービスなどを活用することで、すぐに取り組むことが可能です。
SECURITY ACTION宣言をする企業が取り組んでいること
SECURITY ACTION宣言を検討している企業からは、次のような声も寄せられています。
「申請プロセスが複雑でどう進めたら良いかわからない」
「IT知識が不足していて自社分析や対策方法が検討しにくい」
「ポリシーを作成したけれど、作成方法が合っているか不安」
「セキュリティ対策のためにIT投資をするにも、選択肢が多く、どのように投資計画を立てればよいかわからない」
宣言できている企業は、これらの課題をどのように乗り越えているのでしょうか。
実は、社内リソースにも限界があるため、自社だけで完結しているケースは稀です。セキュリティの専門家によるヒアリング支援、ポリシー作成の指導、投資計画の立案といったサポートを外部から受けている企業が増えています。
一般的なサポート例
まず、二つ星宣言で必要な実施内容を手順なども踏まえて丁寧に説明し、申請プロセス全体をまるごと理解できるよう支援します。
自社診断については、25項目について専門家がヒアリングを実施。より正確な分析ができるようサポートし、報告会で診断結果から見えてきた改善策を案内します。
セキュリティポリシーの策定では、基礎から作り方を指導し、単なる書類作成にとどまらず、ポリシー作成を通じて社内のセキュリティ意識向上にもつなげています。
自社診断の結果をもとにセキュリティ対策のためのIT投資を行う際、今後の投資計画策定に役立つ具体的なアドバイスを提供。「IT投資の選択肢が多くて何から始めればいいかわからない」状態から、明確な行動計画を持てるようサポートしています。
このように専門家の支援を受けることで、中小企業でもSECURITY ACTION宣言を確実に達成できます。
SECURITYACTION二つ星宣言支援サービスサンプル資料ダウンロード
弊社で有償支援している『SECURITY ACTION ★★二つ星宣言支援サービス』にてご提供の「ガイダンスブック」と「ご報告書」のサンプルにご興味がございましたら下記よりダウンロードください。
オンデマンド動画「2026年 セキュリティ対策評価制度」解説セミナー~取引先から選ばれる企業へ!SECURITY ACTIONで備えるセキュリティ強化~
2025年12月19日(金)に開催されたセキュリティ対策評価制度セミナーのオンデマンド動画です。
いつでもご視聴いただけますので、ご参考に是非ご覧ください。
セキュリティ対策の検討や実施についてお気軽にご相談ください
2026年の本格的な制度開始に向けて、まずはSECURITY ACTION宣言から始めることで一歩ずつセキュリティ対策を強化していくことが重要です。SECURITY ACTION宣言に関わる取り組みだけでなく、企業全般のセキュリティ対策の検討や実施についてお悩みの方は、キヤノンマーケティングジャパンまでご相談ください。ヒアリングから対策、宣言までサポート致します。
2026年5月キヤノンマーケティングジャパン オンラインセミナー
2026年5月27日(水)には「サプライチェーンの関係者はどう見ている?リサーチで読み解く「セキュリティ対策評価制度」と現実的な備え方」というタイトルでオンラインセミナーを実施します。本記事に関連するセミナーとなっていますので、是非ご参加ください。
なお、お申し込み時には招待会社コード「DM0001」をご使用ください。
- セミナー
- サプライチェーンの関係者はどう見ている?リサーチで読み解く「セキュリティ対策評価制度」と現実的な備え方
- 開催日時
- 2026年5月27日(水)14:00-15:00(申込締切日:5月22日(金)まで)
- 会場
- オンラインセミナー会場(開催日前日にZoom視聴用URLをご案内致します。)
- 概要
-
セキュリティ対策評価制度は、サプライチェーンに関わる多くの発注企業・受注企業に影響を与える重要な制度です。
本セミナーでは、制度の基本的な考え方を分かりやすく整理するとともに、サプライチェーン企業が抱える制度への不安や課題について、最新のリサーチ結果をもとに読み解きます。
あわせて、今後の制度活用の方向性を見据えながら、企業として今から準備すべきポイントや、現実的かつ実践的な対応策をご紹介します。
本セミナーのご紹介動画はこちら
≪登壇者≫
キヤノンITソリューションズ株式会社 先進セキュリティ技術部 アセスメント課 中濱 禎夫
お申し込み時には招待会社コード「DM0001」をご使用ください。
2026年6月キヤノンマーケティングジャパン オンラインセミナー
2026年6月22日(月)には「いよいよ全貌が明らかに!経済産業省「SCS評価制度」の最新動向を徹底解説」というタイトルでオンラインセミナーを実施します。本記事に関連するセミナーとなっていますので、是非ご参加ください。
なお、お申し込み時には招待会社コード「DM0001」をご使用ください。
- セミナー
- いよいよ全貌が明らかに!経済産業省「SCS評価制度」の最新動向を徹底解説
- 開催日時
- 2026年6月22日(月)14:00-15:00(申込締切日:6月17日(水)まで)
- 会場
- オンラインセミナー会場(開催日前日にZoom視聴用URLをご案内致します。)
- 概要
-
もはや企業の価値は製品やサービスの利便性だけで測られる時代ではありません。
「あの会社は本当に信頼できるのか?」 その問いに客観的な指標で答える新基準、それが経済産業省の『SCS評価制度』です。
この制度は、自社のセキュリティ対策レベルを客観的に証明し、取引先との信頼関係を円滑にする強力なツールであり、ビジネス上の機会損失を防ぐだけでなく、新たな取引を呼び込むきっかけにもなります。
本セミナーでは、2026年3月27日に公表された制度構築方針を踏まえ、2025年時点の制度構築方針(案)からの更新点についても紹介します。
その上で、今年度末に予定する制度施行開始に向けて、必要となる具体的なアクションについて徹底解説します。
本セミナーのご紹介動画はこちら
≪登壇者≫
ニュートン・コンサルティング株式会社 木村 俊輔 氏
お申し込み時には招待会社コード「DM0001」をご使用ください。
こちらの記事もおすすめです
関連ソリューション
本コラムに関連のお問い合わせ
キヤノンマーケティングジャパン株式会社
Webサイトからのお問い合わせ
本コラムについてのご相談、お問い合わせを承ります。
受付時間:平日 9時00分~17時00分
※ 土日祝日・当社休業日は休ませていただきます。