セキュリティ対策評価制度対応支援サービス

経済産業省および内閣官房国家サイバー統括室によるサプライチェーン評価制度

サプライチェーン強化に向けたセキュリティ対策評価制度とは

サプライチェーン強化に向けたセキュリティ対策評価制度（以下、SCS評価制度）は、経済産業省および内閣官房国家サイバー統括室が進める、サプライチェーン全体のサイバーセキュリティ強化に向けた新たな評価制度です。制度開始は2026年度末頃が予定されており、評価対象は企業のIT基盤を中心に、クラウド環境を含む情報システム全般とされています。対策水準は、求められるセキュリティ対策の程度に応じて、★3から★5までの段階で整理されます。

SCS評価制度は、サプライチェーン全体で求められるセキュリティ対策を共通の指標で可視化し、対策水準の底上げを図ることを目的としています。近年増加するサプライチェーン起因のセキュリティインシデントを背景に、情報漏えい、製品・サービスの提供停止、取引ネットワークを通じた不正侵入などのリスクへの対応に向けて、企業に適切なセキュリティ対策の実施を促すものです。

本サービスは、SCS評価制度の段階的な指標のうち、すべてのサプライチェーン企業が最低限実装すべきセキュリティ対策（専門家確認付き自己評価）である「★3」の取得を目指す企業を支援するものです。現時点で公表されている評価基準案に基づき、企業の現状と要求事項とのギャップを分析し、推奨される対応を提示します。

また「★4」の取得を目指す企業向けに個別相談の受付も同時に開始いたします。お気軽にご相談ください。

専門家確認付き自己評価

★3　基礎的な対策

すべてのサプライチェーン企業に求められる基礎的な対策水準です。基本的なセキュリティ対策を着実に整備・実施していることを示す段階であり、評価は専門家確認付き自己評価により行われます。

第三者評価・技術検証

★4　標準的な対策

供給停止や情報漏えいなどが発生した際に、サプライチェーン全体へより大きな影響を及ぼすおそれのある企業に求められる水準です。取引先管理、リスク把握、防御、検知、対応、復旧までを含む、より包括的な対策が求められます。評価は第三者評価により行われます。

※ ★5の詳細な要求事項や評価方法については、現時点では制度上、今後検討される予定です。

★5　高度な対策

未知の脅威を含む高度なリスクに対応し、継続的な改善まで実践できる高い成熟度を備えた水準です。こちらも第三者評価が前提とされていますが、具体的な要求事項や運用の詳細については、今後さらに整理される予定です。

ー SCS評価制度と ISMS の相互補完的な関係ー

SCS評価制度は、サプライチェーン上で求められる具体的な対策の実装状況を可視化する制度であり、ISMS適合性評価制度は、組織として情報セキュリティを継続的に運用・改善する仕組みを第三者が認証する制度です。両者は目的やアプローチが異なりつつも、相互に補完し合う関係にあります。

比較項目	SCS評価制度（★3・★4）	ISMS適合性評価制度
主な目的	サプライチェーン全体のサイバーレジリエンス向上	組織のISMSが国際規格に基づき適切に運用されていることの証明
採用する管理策	効果の高い管理策を制度側で指定（★3：83項目 / ★4：157項目）	リスクアセスメント結果に基づき、組織が管理策を自ら決定
審査の観点	指定された具体的なセキュリティ対策が実装されているか	ISO/IEC 27001の要求事項に適合したマネジメント体制か
主な特徴	具体的対策が決まっているため、何をするか迷いにくい	自由度が高く、個別のリスクに合わせた柔軟な管理が可能
アプローチ	ベースラインアプローチ	リスクベースアプローチ
考え方	代表的な脅威に基づき、業界横断的な「やるべき具体的対策」が指定されている	組織自らがリスクアセスメントを行い、必要な管理策を選択・適用する
主な評価対象	IT基盤を主な対象として評価	組織単位を主な対象として評価
制度同士の関係	両制度は排他的ではなく相互補完的な関係にあり、ISMSで体制を整え、新制度で足元の対策を固める「両輪」の発展を目指す

ISMS／Pマークのマネジメントシステム運用改善サービスの詳細はこちら＞

本サービスは、「★3」の取得を目指す企業向けに、★3要求事項（自己評価ガイド）への対応状況を確認し、不足事項を明確化するための支援サービスです。現状把握（ギャップ分析）を実施し、その結果をもとに、要求事項および評価基準に基づく評価報告書を作成・ご報告します。
ギャップ分析では、現時点で経済産業省が公表している「別添 ★3・★4要求事項及び評価基準案」を使用し、7つの大分類で整理された★3のセキュリティ要求事項・評価基準（自己評価ガイド）に基づいて評価を行います。
取得にあたっては、原則としてすべての評価基準への適合が求められることから、評価取得に向けた現状把握と、今後取り組むべき対策の整理を支援します。

チェックリスト

GRCSよりチェックリストのご説明を行い、その後、貴社にてご記入いただきます。

チェックリスト説明
チェックリスト記入
質問・問い合わせ

情報収集

ご記入いただいたチェックリストをもとに、GRCSにて内容を確認。必要に応じてヒアリングや関連資料のご提供をお願いする場合がございます。

チェックリストヒアリング
セキュリティ対策情報
ドキュメント情報

報告書作成

GRCSにて現状を評価し、不足箇所に対する推奨対応を整理した報告書を作成します。

収集した情報分析
報告書作成

報告・Q&A

★3要求事項・評価基準評価報告書を提出し、評価結果、不足事項、推奨対応をご説明するとともに、報告内容に関するご質問にも対応します。

報告書の提出
報告の説明

ガバナンスの整備：責任体制と基本方針を整備
取引先管理：取引先を含めた情報保護を徹底
リスクの特定：自社IT基盤、利用サービス、守るべき情報資産の把握
攻撃等の防御：不正アクセスや端末やサーバー、ネットワークの基礎的な保護・監視
攻撃等の検知：ネットワーク接続およびデータ転送の監視
インシデントへの対応：インシデント発生に備えた対応手順・体制の整備
インシデントからの復旧：事業継続で重要なシステムについて、目標復旧レベルに沿う必要な対策整備

◾️ ドキュメント整備支援サービス

新規および改善するドキュメント作成に関する支援を行います。

▫️ ガイドライン
▫️ 組織・体制役割
▫️ プロセス・フロー
▫️ 手順書

◾️ セキュリティソリューション整備支援サービス

新規および改善するセキュリティソリューションに関する支援を行います。導入ソリューションの選定、設計、構築、運用など、ご要望に応じた支援を行います。

▫️ ネットワーク
▫️ デバイス
▫️ 脆弱性対策
▫️ 脅威インテリジェンス

Q. 取引先から「セキュリティ認証」の取得を求められましたが、自社がどの評価制度（基準）を目指すべきか分かりません。

はい、その段階からご相談可能です。貴社の事業内容や取引先からの要求事項、今後のビジネス展開などを総合的にヒアリングした上で、ISMS（ISO27001）やNIST、PCI DSSなど各種セキュリティ評価制度の中から、最も取得効果が高く現状に即した制度を選定しご支援します。

Q. 評価制度の対応を開始してから完了（審査通過）までに、どのくらいの期間を見込んでおけばよいですか？

目指す制度や貴社の現在のセキュリティ水準によりますが、一般的にはキックオフからギャップ分析、規程の整備、運用テストを経て実際の審査を迎えるまで「約6ヶ月〜1年程度」を見込むプロジェクトが多いです。期限が決まっている場合は、そこから逆算した最適なスケジュールをご提案します。

Q. 評価基準を満たすために、高額なセキュリティシステムやツールを新たに購入する必要がありますか？

必ずしも必要ではありません。GRCSでは、まずは「現在ご利用中のシステム設定」や「既存の業務フロー（運用ルール）の工夫」で要件をクリアできないかを優先的に検討します。どうしてもツール導入が必要な場合のみ、最適なソリューションをご提案します。

Q. 評価（認証）を無事に取得できた後、翌年以降の継続的な維持・更新審査のサポートもお願いできますか？

はい、対応しております。評価制度は「取得して終わり」ではなく、毎年の運用と改善（PDCA）が求められます。当社では、負担になりがちな「定期的な内部監査の代行」や「従業員への教育・研修」、次年度の更新審査対応など、社内にルールを定着させるための継続的なサポートもご提供しています。

タスク	1ヶ月				2ヶ月
タスク	1W	2W	3W	4W	1W	2W	3W	4W
チェックリストの記載
情報収集
報告書作成
報告・Q&A

製品紹介

コンサルティング

セキュリティ対策評価制度対応支援サービス