>
>
最終更新日
近年のサイバー攻撃は、セキュリティ対策が強固な大企業を直接狙うのではなく、そのサプライチェーン上に存在する、相対的に防御が脆弱な中小企業や委託先を足がかりにする「サプライチェーン攻撃」が深刻化しています。これに対応するため、国が主導して企業のセキュリティ対策を「見える化」する統一基準として『SCS評価制度』が始動しました。本記事では、実務の中心となる★3(専門家確認付き自己評価)の取得に向け、情シス部門が押さえるべき83項目のチェックリストと、具体的な導入手順を徹底解説します。
SCS評価制度とは:2026年最新の制度概要とスケジュール
本記事のポイント
SCS評価制度は2026年度末(2027年3月頃)の本格運用開始に向け、経済産業省とIPAが主導して整備を進めている新制度である。
★3は「専門家確認付き自己評価」であり、83項目の評価基準を満たした上で、登録セキスペ等の有資格者による客観的な検証と署名が必要となる。
単にツールを導入するだけでなく、日々のアクセス管理やログ監視、資産の棚卸しといった「継続的な運用証跡(エビデンス)」の提示が合否を分ける。
ISMSやPマークを取得している企業であっても、SCS独自の「取引先管理」や「サプライチェーンリスク」への対策において差分対応が必要である。
SCS評価制度は全企業を対象にサプライチェーン全体の安全性を統一基準で可視化する国の新制度である。
経済産業省および内閣官房国家サイバー統括室は、2026年3月27日に「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」を正式に公表・確定しました。さらに、2026年4月21日には、本制度の運営主体(スキームオーナー)である独立行政法人情報処理推進機構(IPA)によって公式ウェブサイトが公開され、運用体制が明確になりました。
2026年度(2026年4月〜2027年1月頃)は、評価機関の指定や申請システムの整備、試行的な実施検討などの準備期間として位置づけられています。そして、2026年度末(2027年3月頃)から★3(基礎レベル)および★4(標準レベル)の申請受付・本格運用が開始されるタイムラインとなっています。
制度全体の背景や評価項目の詳細は「SCS評価制度の全体像と評価項目」を参照してください。
SCS評価制度★3 完全対応チェックシート v2026.5 を無料ダウンロードする
SCS評価制度における★3と★4の比較と選定基準
★3は83項目におよぶセキュリティ専門家確認付き自己評価であり、★4は157項目の第三者評価を伴う厳格な基準である。
自社のビジネスモデルや取引先から求められるセキュリティ要件に合わせて、適切なレベルを選択する必要があります。闇雲に高いレベルを目指すと、審査コストの膨張や運用の負荷により現場が疲弊するリスクがあるため、推奨基準を正しく見極めることが重要です。
★3と★4の徹底比較表
まずは、★3と★4の実務的な差異を、5つの軸で整理した比較表で確認しましょう。
比較項目 | ★3(基礎レベル) | ★4(標準レベル) |
|---|---|---|
要求事項数 | 26要求事項・83評価基準 | 43要求事項・157評価基準 |
評価方式 | 専門家確認付き自己評価 | 評価機関による第三者評価 |
想定コスト感 | 数十万〜150万円程度(外部専門家の署名費用等) | 数百万円〜(第三者機関による現地監査・技術検証費用含む) |
想定取得期間 | 3ヶ月〜6ヶ月 | 6ヶ月〜1年程度 |
推奨企業像 | 一般的な部材調達、BtoBの通常業務委託を受ける企業 | 重要インフラ(電力、金融、通信等)のサプライチェーン構成企業、機密データ取扱企業 |
★3は、一般的なサイバー攻撃(ランサムウェアなど)から自社を防御し、万が一の感染時にもサプライチェーン全体への被害拡大を最小限に抑える水準を定めています。有資格の「セキュリティ専門家」が自己評価の妥当性をレビューして署名を行う仕組みになっており、企業側の負担と客観性の担保のバランスを取った設計です。
一方、★4は国家的な攻撃や高度な標的型攻撃を想定した非常に厳格な基準です。外部の認定された「評価機関」が実地監査や技術的な検証を伴う審査を行うため、費用と手間の両面でハードルが高くなります。
自社はどちらを取るべきか?判断フロー
情シス部門として、自社がどちらのレベルを目指すべきかを選択するための判断フローは以下の通りです。
STEP 1:取引先からの指定要請の有無を確認する
主たる発注元や取引先から「★4の取得」を明確に義務付けられている、または近い将来の取引条件と提示されている場合は、有無を言わさず★4の取得に向けたプロジェクトを立ち上げます。特に指定がない場合はSTEP 2へ進みます。STEP 2:自社事業の「重要インフラ」への関連度を評価する
自社が提供する部材やITサービスが、政府の指定する「重要インフラ15分野(電力、ガス、水道、金融、通信、鉄道など)」の基幹システムや重要電子計算機に直接関わるものである場合は、サプライチェーンの途絶が社会的な大混乱を招くため、★4の取得が強く推奨されます。これに該当しない場合はSTEP 3へ進みます。STEP 3:取り扱うデータの機密性を確認する
取引先から受託するデータに、極めて機密性の高い未公開技術情報、国防に関連するデータ、大規模な個人情報データベース等が含まれる場合は、★4の基準(高度なアクセス制御やログ監視)が必要です。一般的なBtoBの業務データや部材の受発注情報が中心である場合は、★3を選択するのが最も現実的かつ費用対効果に優れた選択肢となります。
多くの日本企業(特に中小・中堅のサプライチェーン企業)にとって、現実的な第一ゴールとなるのは★3のクリアです。まずは★3の確実な取得を目指し、社内のセキュリティ運用のベースラインを整えるアプローチを強く推奨します。★3用の完全対応チェックシートはこちらからダウンロードしてご活用いただけます。
★4 の第三者評価は誰が行うのか
★4で要求される第三者評価は、経産省および指定委員会が認定した「評価機関」が実施します。評価機関には、高度な情報セキュリティ監査の能力を持つ企業や団体が指定され、技術検証(ペネトレーションテストやシステムの脆弱性スキャン等)については「技術検証事業者」と連携して審査を行います。2026年現在、制度開始に向けて評価機関の公募・指定作業が進行中であり、経産省のガイドライン最新動向によれば、認定された評価機関のリストはIPAの特設サイトで随時公開・アップデートされる予定です。第三者による厳格な監査となるため、事前のアセスメントや事前準備に万全を期す必要があります。
★3 の専門家確認とは
★3の「専門家確認付き自己評価」とは、自社で作成したセキュリティ要求事項への自己評価結果について、客観的な第三者である「セキュリティ専門家」が妥当性を検証する仕組みです。単なる「自己宣言」で終わらせず、専門家がチェックシートの各項目に対する運用実態(ルール、ツール、エビデンス)を確認し、最終的に署名をすることで評価結果の公的な信頼性を担保します。想定される実施者としては、外部のコンサルタントや、社内の有資格者(一定の資格要件を満たし、国が指定する研修を修了した者)が挙げられます。
7つの評価領域と準備チェックリスト
★3取得に向けた83の評価基準はNIST CSFに準拠した7領域で構成され、組織的対策と技術的対策の両面で運用証跡が求められる。
SCS評価制度の★3は、NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワーク(CSF)をベースに、「取引先管理」を加えた独自の7領域に整理されています。要求事項(26項目)をさらに細分化した「83の評価基準」をすべて満たす必要があります。
評価基準における2つの重点領域
83項目におよぶ評価基準の中でも、特に「攻撃等の防御(アクセス制御、MFA、ネットワーク分離など)」と「リスクの特定(情報資産の洗い出しなど)」の2領域に対策の重点が集中しています。★3の取得を成功させるためには、まずこの2大領域の対策に情シスのリソースを集中させることが最短ルートとなります。
しかし、日本企業のセキュリティ対策の現状は極めて深刻です。USEN ICT Solutionsが2024年から2025年にかけて全国の情報システム担当者1,932人を対象に実施した調査データによると、サイバー攻撃の事後対策に不可欠なEDR(Endpoint Detection and Response)の導入率はわずか19%にとどまり、未導入が68%に上っています。さらに、ゲートウェイセキュリティ機器のファームウェアを常に最新にアップデートしている企業は55.4%であり、残りの44.6%はファームウェアの更新が適切に行われていないか、把握すらできていません。さらに、IPAの中小企業実態調査によれば、サイバー攻撃を受けた中小企業の約7割が「取引先にまで影響が及んだ」と回答しています。それにもかかわらず、従業員300名以下の企業の約7割がセキュリティ専任担当者を配置していないのが現実です。この厳しい状況の中で、83項目を自力でクリアするのは極めて困難な挑戦であると言わざるを得ません。
7つの評価領域別の実務解説と対策
以下に、7つの評価領域ごとの「代表的な要求項目」「典型的な未対応ポイント」「SaaS・IT資産の可視化が寄与する範囲」を詳述します。
① ガバナンス(体制・ルールの整備)
組織全体のセキュリティ方針を定め、経営層がコミットする体制を構築する領域です。
代表的な要求項目:経営層が承認した情報セキュリティ基本方針が全社に周知されていること、セキュリティインシデントへの責任者が明確に任命されていること。
実務上の典型的な未対応ポイント:「基本方針はあるが、10年以上前に作られたきり現在のクラウド利用の実態に合っておらず、形骸化している」「形だけの委員会は置かれているが、実質的な意思決定フローが稼働していない」といったケースです。
SaaS / IT資産可視化が寄与する範囲:ポリシーの中で「利用を許可するクラウドサービス(SaaS)」を定義する際、社内で稼働しているすべてのシステム(シャドーITを含む)を可視化・網羅できていなければ、実態に即したガバナンスルールを定義することは不可能です。
② リスクの特定(資産管理)
自社が保有する情報資産(ハードウェア、ソフトウェア、データ、SaaS等)をすべて把握し、その重要性とリスクを評価する領域です。
代表的な要求項目:組織が保有するIT資産およびクラウドサービスが台帳等で網羅的に管理されていること、定期的にリスク評価が実施されていること。
実務上の典型的な未対応ポイント:「情シスが把握しているのは社給PCの台数だけで、各部署が個別に契約・利用しているSaaSの状況や、不要になったアカウントが放置されているリスクを把握できていない」という状況です。資産管理は、セキュリティ防御のすべての土台となります。
SaaS / IT資産可視化が寄与する範囲:AdminaなどのSaaS・IT資産管理ツールを導入することで、社内で利用されている数多くのSaaSのアカウント発行状況やライセンス、利用デバイスを自動で一元化・可視化できます。手動のExcel台帳による管理から脱却し、常に最新の「客観的な資産台帳」を自動生成・保管することが、評価時の最も強力なエビデンスとなります。詳細な手順については、「SaaS・IT 資産の可視化で ★3 要求事項を満たす方法」をご参照ください。
③ 取引先管理(サプライチェーンセキュリティ)
委託先や再委託先のセキュリティ対策状況を評価し、適切な契約や監督を行う領域です。
代表的な要求項目:業務委託先を選定する際のセキュリティ評価基準が定義されていること、定期的に委託先のセキュリティ状況を監査・確認していること。
実務上の典型的な未対応ポイント:「契約時に一回チェックシートを送っただけで、その後何年間も状況を再確認していない」「委託先が勝手に再委託をしているかどうかを管理できていない」という点です。SCS評価制度の核心部分であり、最も対策が遅れがちなポイントです。
SaaS / IT資産可視化が寄与する範囲:委託先とのやり取りに利用している外部共有フォルダやコラボレーションツールのアクセス権限(誰が、どのデータを、いつ閲覧できるか)を可視化することで、取引先経由の情報漏えいリスクをリアルタイムに検知し、管理を高度化できます。
④ 攻撃等の防御(アクセス制御・脆弱性管理)
サイバー攻撃による侵入や不正アクセスを未然に防ぐための技術的対策を施す領域です。
代表的な要求項目:重要なシステムへの接続における多要素認証(MFA)の導入、不要なネットワーク通信の遮断(ファイアウォール・VPNの適切管理)、デバイスのパッチ適用(脆弱性対策)。
実務上の典型的な未対応ポイント:「MFAは導入しているが、一部の役員や外部パートナーのアカウントが『面倒だから』という理由で対象から除外されている」「VPN機器の脆弱性(パッチ)が放置されたまま運用されている」といったケースです。
SaaS / IT資産可視化が寄与する範囲:各SaaSやデバイスのアクセス権限を一元管理し、「どのアカウントにMFAが強制されていないか」「不要な特権アカウントが残っていないか」を瞬時に可視化し、一括で制御する体制を整えることができます。
⑤ 攻撃等の検知(ログ監視)
システムやネットワーク内の不審な挙動、マルウェア感染などを早期に検知する領域です。
代表的な要求項目:PCやサーバー等のエンドポイントに対するウイルス対策・EDRの導入、各種サーバーやクラウドサービス、ネットワーク機器における監査ログの継続的な取得と保管。
実務上の典型的な未対応ポイント:「ウイルス対策ソフトは入っているが、ログの集中監視が行われておらず、アラートに誰も気づいていない」「クラウドサービスの管理者ログがデフォルトの保存期間(30日間など)を過ぎて消失している」という事態です。
SaaS / IT資産可視化が寄与する範囲:散在するSaaSやIT資産の監査ログを一元化して監視し、アカウントの不審なログインや、深夜の大量データダウンロードといった異常検知をリアルタイムに一元監視できる体制を構築する際に極めて大きな役割を果たします。
⑥ インシデントへの対応(インシデントハンドリング)
インシデント発生時に迅速に初期対応を行い、被害を最小限に抑える体制を整える領域です。
代表的な要求項目:インシデント発生時の社内連絡フローおよび外部機関(JPCERT/CC、IPA、個人情報保護委員会等)への報告ルートの確立、対応マニュアルの整備と定期的な訓練。
実務上の典型的な未対応ポイント:「緊急連絡網はあるが、休日や夜間にシステム管理者が不在の場合の代替連絡先が定まっていない」「マニュアルはあるが一度も訓練をしておらず、実際にウイルスを検知した際に誰がネットワークを遮断すべきかの判断が遅れた」という失敗パターンです。
SaaS / IT資産可視化が寄与する範囲:インシデント発生時に、「どのデバイスが、どのSaaSに、どのアカウントで接続していたか」という利用関係の履歴を一瞬で追跡(フォレンジック)できる体制を整えることで、調査時間を劇的に短縮し、迅速な原因特定を可能にします。
⑦ インシデントからの復旧(BCPとバックアップ)
インシデントによって機能停止に陥ったシステムや業務を、あらかじめ定められた目標時間内に復旧させるための対策です。
代表的な要求項目:ランサムウェアに感染しない形式(オフラインまたはイミュータブル等)でのシステムバックアップ、バックアップデータを用いたリストア(復旧)テストの定期的実施、事業継続計画(BCP)の策定。
実務上の典型的な未対応ポイント:「バックアップは毎日自動で取得しているが、同じネットワーク上に保存していたためランサムウェアによってバックアップデータごと暗号化されてしまった」「復旧テストを一度もしたことがなく、有事の際にリストアしようとしたらデータが破損していて復旧できなかった」という致命的な運用不備です。
SaaS / IT資産可視化が寄与する範囲:各重要SaaSやクラウドサービスのバックアップ設定状況、重要データの保管場所を網羅的に把握・監視することで、「復旧対象から漏れている重要データ」をあらかじめゼロにする体制を構築できます。
「ツール導入=認定」ではない!客観的な運用証跡(エビデンス)の重要性
評価制度において最も多い失敗(不認定)パターンは、「高価なセキュリティツール(EDRやMFA、IT資産管理ソフトなど)を導入しただけで、適切な運用証跡(エビデンス)が残っていない」というケースです。
★3の専門家確認において、専門家は「ツールを買ったかどうか」だけを見るのではありません。「そのツールが本当に全社に適用されているか」「ルール通りに日々運用され、検知されたアラートに対して適切なアクションが取られているか」を裏付ける「客観的な証拠(ログ、構成管理台帳、アカウント申請書の承認履歴、研修の受講率データなど)」の提出を厳格に求めます。例えば、MFAを導入していても、一部の役員や開発者アカウントの適用ログが確認できなければ、「未対応」と判断されるリスクがあります。日々の運用業務の中で、いかに「自動的かつ継続的に証跡(ログ)が記録される仕組み」を作れるかが、情シスが不認定を避けるための最大の鍵です。
SCS評価制度★3 完全対応チェックシート v2026.5 を無料ダウンロードする
制度対応に向けた情シスの具体的な進め方
SCS評価制度の準備は、現状のシステムおよび運用の棚卸しから始め、段階的な改善実装を経て専門家確認へ進むのが最も効率的である。
場当たり的なツール選定や、ルールの一斉導入は現場の猛反発を招きます。情シス部門が主導し、全社的なプロジェクトとして段階的に、かつ確実に対応を進めるステップと作業見積もりは以下の通りです。
現状の棚卸しとギャップ分析
プロジェクトの最初の1〜2ヶ月は、自社のセキュリティレベルの「正確な現在地」を把握する期間に充てます。まずは既存の社内セキュリティポリシー、ネットワーク構成図、利用中のシステム・SaaSの契約一覧、アカウント管理ルールなどをすべて机上に並べ、83項目の評価基準と突き合わせる「ギャップ分析」を実施します。
【50〜300名規模の企業における想定作業ボリューム】
・棚卸し・現状分析:約0.5人月〜1人月
自力での制度解釈が難しい場合は、最初からコンサルタントの「初期アセスメントサービス」や、後述する無料の簡易AI診断ツールを活用して、差分を早期に洗い出すことが、全体のスケジュール遅延を防ぐ最大のポイントとなります。経産省のフォーマット等を参考にしながら進めるのが良いでしょう。詳細なセキュリティチェックシートの作成方法については、「経産省テンプレートに沿ったセキュリティチェックシートの作り方」を参照してください。
運用ルールの文書化と体制構築
ギャップ分析により、技術的な対策はある程度できていても、「運用の明文化(マニュアル化)」や「証跡の管理ルール」が全く存在しないことが浮き彫りになるケースが非常に多いです。
・アカウントの追加・変更・削除の承認フロー
・退職者のSaaSアカウント即時剥奪ルール
・システムパッチ(OS・アプリ)の定期適用手順
・インシデント発生時のエスカレーション体制
これらを、情シスが運用できる現実的なマニュアルとして文書化します。単に「絵に描いた餅」にするのではなく、総務や人事、各部門の部門長とも調整を行い、実質的なガバナンスとして機能させることが重要です。この文書化と現場の調整には約1〜2人月の工数を想定しておきましょう。
対策ツールと外部支援の活用
自社で不足している技術的な対策(MFAの強制適用、EDRの未導入、SaaSの利用状況の不可視化など)について、ツールの選定・導入、およびセキュリティ運用のアウトソーシング(MSPやセキュリティ専門企業の活用)を実行します。
・ツール選定・要件定義:約0.5人月
・テスト・全社導入・運用定着:約1.5人月〜3人月
ツール選定において、最も注力すべきなのは「運用の自動化」と「ログの取得」です。手動での運用の手間を最小限にしつつ、評価時のエビデンスとして役立つデータを自動的に記録・収集できる製品を優先して採用しましょう。自社に高度なセキュリティ監視・運用のリソースがない場合は、外部のマネージドサービス(MDR/MSS)を併用することで、情シスの監視負荷を劇的に削減できます。サプライチェーン攻撃に対する危機感を社内で共有し、経営層からの予算確保をスムーズにするための事例共有も必要です。サプライチェーン全体の脅威や実際のインシデント事例は「サプライチェーン攻撃の脅威と被害事例」を社内調整に役立ててください。
「内製で進める / 外部委託する」の判断軸
制度対応をすべて自社(内製)でやり切るか、コンサルタント等の外部リソースを借りるかの判断は、主に「情シスの専任人員の有無」と「有資格者の有無」に依存します。
自力(内製)で進めるべき企業:社内に「セキュリティ専任の担当者」が1名以上存在し、かつ情報処理安全確保支援士などの資格保有者が在籍している、またはISMSの構築・運用を社内で直接リードした経験がある場合。
外部委託を強く検討すべき企業:情シス担当者が1名(いわゆる「ひとり情シス」)や他業務との兼務で日々のトラブル対応に追われている企業、またはNIST CSFなどの高度なセキュリティ基準や技術的要件(ログの一元管理やEDRの最適設定など)を読み解き実装できる専門知識が不足している場合。外部の伴走型コンサルティングや、後述する政府推奨の「お助け隊サービス」を活用することで、短期間かつ低コストで確実な対応が可能となります。
★3取得スケジュールのテンプレート(半年・1年プラン)
以下は、企業規模や準備状況に応じた標準的な★3取得プロジェクトのタイムラインです。2026年度末の申請受付開始に遅れないよう、今すぐのスタートが推奨されます。
【半年(短期集中)プラン】対象:ISMS等を取得済み、または専任の情シスが在籍
・1ヶ月目:現状のIT資産の棚卸し、ガイドラインとのギャップ分析、外部専門家(またはお助け隊サービス等)の選定・契約
・2〜3ヶ月目:運用ルールの文書化、足りないセキュリティツール(EDR、MFA、SaaS管理等)の選定と検証
・4〜5ヶ月目:ルールの全社適用、ツールの本番運用開始、従業員教育の実施、運用ログ(証跡)の収集
・6ヶ月目:自己評価シートの記入、セキュリティ専門家による確認・署名、登録申請手続き
【1年(着実)プラン】対象:ひとり情シス・兼務、これまで本格的なセキュリティ投資を行ってこなかった企業
・1〜2ヶ月目:全社IT資産の棚卸し、シャドーIT(各部門が独自利用するSaaSなど)の可視化、初期アセスメントの実施
・3〜5ヶ月目:セキュリティ基本方針・運用ルールの策定、社内セキュリティ体制の構築
・6〜8ヶ月目:ギャップのある領域(EDR未導入、MFA未設定等)の対策ツール導入、ネットワークセキュリティの改善
・9〜10ヶ月目:ルールの適用・定着、運用ログやパッチ管理の自動化プロセス稼働、従業員教育の実施
・11ヶ月目:自己評価のプレテスト、外部コンサルタントによる予備評価と運用証跡の最終調整
・12ヶ月目:自己評価の確定、セキュリティ専門家による本確認・署名、IPAへの登録・公表
★3における「専門家確認付き自己評価」の要件と外部支援
★3の自己評価結果は、情報処理安全確保支援士などの厳格な資格を持つ専門家による確認と署名を経て初めて正式なものとなる。
★3は、企業が勝手に「対応できている」と自己主張するだけの『自己満足の宣言』ではありません。経済産業省が定めた「専門家確認付き自己評価」のスキームにおいては、国が認めた適格な専門家が客観的な立場でチェックシートの83項目とその裏付けエビデンスを検証し、署名(サイン)を行うことで初めて公認されます。
評価における「セキュリティ専門家」の厳格な資格要件
自己評価シートの妥当性を確認し、署名できる「専門家」は誰でもよいわけではありません。制度構築方針によれば、以下の国家資格・国際資格を保有し、かつ制度が指定する「評価実務等に関する研修」を修了した者に厳格に限定される見込みです。
情報処理安全確保支援士(登録セキスペ):経済産業省が認定するサイバーセキュリティの国家資格保有者。
公認情報セキュリティ監査人:セキュリティ監査の専門的な知識と豊富な実務経験を持つ者。
CISSP(Certified Information Systems Security Professional):グローバルで認知されている、極めて高度なセキュリティプロフェッショナル資格。
CISM(公認情報セキュリティマネージャー) / CISA(公認情報システム監査人):ISACA(情報システムコントロール協会)が認定する高度国際資格。
ISO/IEC 27001(ISMS)主任審査員:ISMS適合性評価制度において、企業のセキュリティ管理を厳格に審査する主任資格を持つ者。
自社の社内に上記いずれかの資格を保有し、指定の研修を修了した社員が在籍している場合は、自社内の専門家として自己評価の確認・署名を行うことが認められます。しかし、資格保有者が社内にいない企業(日本企業の大半)は、必然的に「外部のセキュリティコンサルティング会社」や、国が指定する専門サービスを利用して、第三者の立場から確認をしてもらう必要があります。
外部支援サービスの特徴と規模別コスト目安
外部のセキュリティ専門家リソースをどのように活用し、どの程度の予算を確保すべきか、主要な4つのアプローチと比較表を整理しました。
副業・フリーランスの有資格者(登録セキスペ等)契約
支援サービス・アプローチ | 特徴 | コスト目安(月額換算) | 推奨企業規模・対象 |
|---|---|---|---|
サイバーセキュリティお助け隊サービス(新類型) | 経産省・IPAが中小企業向けに創設した新類型サービス。★3・★4の安価な取得を主眼とした安否確認や簡易対処等をパッケージ化。 | 5万円〜15万円程度 | 10〜100名規模の小規模企業・コスト最重視企業 |
伴走型アセスメント・コンサルティング(例:ソフトクリエイト等) | 「SCSmart SCS評価制度アセスメント」など、ギャップ分析から改善ロードマップ策定、セキュリティ製品(AD/Entra ID、EDRなど)の実装までを専門コンサルタントが徹底伴走。確実に取得まで導く。 | 30万円〜80万円程度(※プロジェクト一括契約が基本) | 50〜300名超規模で、期限内に確実な★3取得を目指す中堅企業 |
AI診断ツール+スポットコンサル(例:フーバー・クロステクノロジーズ等) | AIを用いた「簡易SCS★評価診断(無償)」で自社の立ち位置を即座に判定し、課題分析。必要に応じて専門資格保有者の署名・コンサルを個別契約。 | スポット対応:10万円〜 | 30〜150名規模で、コストを抑えつつ専門知識を補強したい企業 |
週に1〜2日程度、有資格者をアドバイザーとして個別契約し、規程のレビューや自己評価の確認、署名だけを委託する。 | 10万円〜30万円程度 | 50〜200名規模で、自社の技術力はあるが、資格保有者の署名だけが必要な企業 |
専任担当者や社内リソースが限られている企業ほど、自社単独で悩むのではなく、実績のある企業のソリューションを賢く取り入れてアセスメントを進めることが、総合的な時間とトータルコストの節約に直結します。
よくある質問
Q:SCS評価制度はいつから始まりますか?
A:2026年度末頃(2027年3月頃)にかけて★3および★4の本格的な申請受付・運用が開始される予定です。それ以降に、さらに対策が高度な★5の要件具体化や、運用開始の検討が段階的に進められます。制度スケジュールの詳細は「SCS評価制度の全体像と評価項目」を参照してください。
Q:★3と★4のどちらを取得すべきですか?
A:サプライチェーンを構成する一般的な部材調達企業や、BtoBの業務委託を受ける通常の中小・中堅企業は、まず83項目の評価基準に対応する「★3」の取得を目指すことをお勧めします。重要インフラに関わる基幹システムの開発を行っている、あるいは取引先から厳密な個別監査の代替として求められている場合は、157項目の第三者評価を伴う「★4」が対象となります。
Q:ISMSを取得していれば ★3 は満たせますか?
A:ISMS(ISO27001)を取得している場合、ガバナンスや情報管理体制など、多くの要求事項が重複しているため、★3の準備を非常に有利に進められます。しかし、SCS評価制度はサプライチェーン特有のセキュリティ対策(委託先の契約・監督状況など)に焦点を当てた厳格な基準があるため、追加の差分(ギャップ)対応が必要です。ISMSがあるからと油断せず、差分を確認してください。詳細については、「SCS評価制度の全体像と評価項目」にてISMSとの違いを解説しています。
Q:★3の自己評価結果を署名する「専門家」は、自社の人間でもよいですか?
A:はい、要件を満たしていれば自社の社員でも可能です。具体的には、情報処理安全確保支援士(登録セキスペ)やCISSP、ISO27001主任審査員などの指定のセキュリティ資格を保有しており、かつ国が指定する「評価実務に関する研修」を修了している者であれば、社内の専門家として自己評価の確認と署名を行うことができます。そのような有資格者が自社内にいない場合は、外部のコンサルタントや専門のお助け隊サービス、またはアセスメント支援事業者などの「外部の専門家」へ確認業務を委託する必要があります。
Q:★3 取得にはどの程度の費用がかかりますか?
A:自社のセキュリティ対策の成熟度や外部支援の活用度合いによって大きく異なりますが、数十万円から150万円程度が相場となります。社内のシステムがすでにMFAやEDRなどを完備している場合、外部コンサルタントによる確認・署名の手数料(十数万〜数十万円)のみで済みます。一方、技術的なギャップが大きく、外部に改善実装の支援(伴走型コンサルティングなど)を依頼する場合や、ツールの新規ライセンス導入費が追加となる場合は、初期費用として総額100万円〜250万円程度が必要になるケースが一般的です。中小企業であれば「サイバーセキュリティお助け隊サービス(新類型)」を活用することで、月額数万円〜15万円程度のランニングコストに抑えて対策をパッケージ化することも可能です。
Q:★3 取得までの標準的なスケジュール・期間は?
A:一般的には、対策の準備開始から実際の登録取得(専門家確認完了)まで「3ヶ月〜6ヶ月」を標準的な期間として見込む必要があります。最初の1〜2ヶ月で自社の現状棚卸しとギャップ分析を行い、3〜4ヶ月目に不足しているセキュリティ運用のルール文書化や技術的なツールの導入・定着を図り、5〜6ヶ月目で専門家の最終確認・署名を経て申請する、というフェーズ別の進行が無理のないアプローチです。全くのセキュリティ未対策の状態から開始する場合は、社内ルールの浸透や従業員の教育、さらにはツールの運用エビデンス(証跡)を数ヶ月分蓄積する必要があるため、約1年間のプロジェクト期間を想定して早めに準備へ着手する必要があります。
Q:★3 の専門家確認は誰が実施するのですか?
A:経済産業省および内閣官房が認定した「セキュリティ専門家」が実施します。具体的には、前述の情報処理安全確保支援士(登録セキスペ)などの専門資格を持ち、かつ本制度専用の研修を修了した者が対応します。具体的には、フーバー・クロステクノロジーズやソフトクリエイトなどのSCS評価制度支援サービスを提供する事業者に所属する有資格コンサルタントや、個別に契約したフリーランスの有資格プロフェッショナルが、客観的な第三者(または社内専門家)としてチェックを行います。専門家は、企業の回答内容がシステム設定や各種規程、運用ログなどの『客観的な証拠(エビデンス)』によって正しく裏付けられているかを一項目ずつ丹念に精査・評価します。
まとめ
SCS評価制度の★3取得は、単なるコンプライアンス対応ではなく、自社のIT統制を強化し取引先との強固な信頼関係を築く絶好の機会である。
本制度への対応は、取引条件としての要求をクリアするだけにとどまらず、自社のセキュリティレベルを統一基準で客観的に証明し、サプライチェーンの一翼を担う企業としての競争力を大きく引き上げる強力な武器となります。2026年度末の本格運用に向けて、今日からまず取り組むべき最初のステップは以下の通りです。
✅ 無料で提供されているフーバー・クロステクノロジーズなどの「簡易SCS★評価診断」や、自社での「83項目チェックリスト」を用いて大まかな自社の現在地(スコア)を把握する。
✅ 自社内で活用しているPCやサーバー、そして各部門が個別に契約・利用しているクラウドサービス(SaaS)を含む「全社的なIT資産」の最新の棚卸しを実施する。
✅ ギャップ分析を行い、特に「攻撃の防御(MFA適用、パッチ管理など)」や「攻撃の検知(EDR導入、ログ保管)」において、評価時に提出可能な「運用証跡(エビデンス)」が現在確保できているかを確認する。
多くの情シス担当者が最も頭を悩ませるのが、「数多くのクラウドサービス(SaaS)のアカウント権限やセキュリティ設定、パッチ状況を手作業で網羅し、台帳に管理し続けるのは不可能」という現実です。そこで、★3対策の強力な起点となるのが、SaaS一元管理・IT資産可視化プラットフォーム『Admina』の活用です。
Adminaを導入することで、社内で契約されているすべてのSaaSやアカウントを自動で可視化・一元管理でき、アクセス権限の棚卸し台帳やアカウント適用ログ、MFAの設定有無などを、★3審査の「客観的な運用証跡(エビデンス)」として瞬時に用意することができます。手動運用の負荷を極限まで抑えながら、確実なSCS★3認定を目指すための効率的なテクノロジーの活用について、さらに詳細な解説は「SaaS・IT 資産の可視化で ★3 要求事項を満たす方法」でご紹介しています。ぜひご確認ください。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
