経済産業省と内閣官房国家サイバー統括室は3月27日、「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の制度構築方針を公表した。評価基準などの関連資料はウェブサイトからダウンロード可能としている。

サプライチェーン攻撃の増加を背景に、取引先企業のセキュリティ対策状況を評価・可視化する仕組みの必要性が高まっていた。今回の方針は、2025年末に実施した意見募集の結果を踏まえて策定されたもので、2026年末ごろの制度開始を目指す。

SCS評価制度は、企業のセキュリティ対策を5段階（★1～★5）で評価し、サプライチェーン全体のセキュリティ水準の底上げを図る仕組み。取引契約時に委託元が求めるレベルを提示し、委託先がその基準を満たしていることを示すことで、セキュリティに関する合意形成の円滑化と水準の明確化を狙う。

評価対象となるリスクには、情報漏えいや改ざんといったデータ保護、不正アクセスの踏み台化、サービス停止など事業継続に影響する攻撃が含まれる。一方で、対象範囲は企業のIT基盤およびクラウドサービスとし、製造現場の制御（OT）システムや製品そのものについては、共通基準の設定が難しいことから直接の対象外とされた。

5段階のうち、★1および★2は情報処理推進機構が推進する「SECURITY ACTION」の自己宣言に相当する。具体的には、「情報セキュリティ6か条」や「5分でできる！情報セキュリティ自社診断」、基本方針の策定などが該当し、同日公開された「中小企業の情報セキュリティ対策ガイドライン」第4.0版を参照する位置付けとなる。

今回の制度構築方針では、主に★3と★4の内容が示された。★3は、すべてのサプライチェーン企業が最低限実装すべき対策とされ、既知の脆弱性を悪用する一般的なサイバー攻撃への備えを中心に、専門家の確認を伴う自己評価で取得する。★4は、より高度な標準的対策として位置付けられ、供給停止や機密情報漏えいなど重大な影響をもたらすリスクに対応するもので、第三者評価によって認証される。

最上位の★5については、2026年度以降に具体化を進める予定。両機関は同制度を通じて、企業間の信頼性確保とサプライチェーン全体のセキュリティ強化を推進していく方針だ。

引用元記事：https://internet.watch.impress.co.jp/docs/news/2097212.html