「サプライチェーン強化のためのセキュリティ対策評価制度」（SCS評価制度）、約6割の企業が取得を検討～VLCセキュリティ調査

　株式会社VLCセキュリティは4月3日、サプライチェーンにおける発注者、受注者それぞれの立場からの現状と課題、検討状況をまとめたレポートを公開した。

　同社は、経済産業省と内閣官房国家サイバー統括室（NCO）が2026年度末ごろに開始を目指す「サプライチェーン強化のためのセキュリティ対策評価制度」（SCS評価制度）に関連したセミナーを開催していた。同レポートは、セミナーで実施されたアンケートを総括した内容になっている。

　同制度は、サプライチェーンにおけるリスクを対象に、各企業の立ち位置に応じたセキュリティ対策を提示するため、★の数で段階を示すことで対策状況を可視化するもの。現時点では★1～★5の5段階の大枠が策定され、詳細は今年度以降に検討される部分もある。

　5段階のうち、★1と★2は自己宣言のみで取得できる。★3は「全てのサプライチェーン企業が最低限実装すべきセキュリティ対策」とされ、専門家確認付き自己評価により取得する、★4は「サプライチェーン企業などが標準的に目指すべきセキュリティ対策」、★5は「サプライチェーン企業などがさらに目指すべき高度な対策」とされ、これらの取得には第三者評価が必要になる。なお、★5はほかの段階より遅れて（2026年度以降に）具体化の検討を進めるとされており、直近で取得できる最も高い段階は★4となる見込みだ。

　2社間の取引契約などにおいて、発注元企業が、委託先企業側に適切な段階を提示し、示された対策を促すとともに実施状況を確認することが想定されている。

大企業は★4、中小企業は★3の取得を検討

　同レポートでは、企業の取得検討状況について紹介されている。従業員数1000人以上を大企業、100～999人を中堅企業、100人未満を中小企業として、企業規模別に集計されている。

自社での★取得検討状況

　大企業では、53.8％が取得を検討中と回答しており、そのなかでも★4の取得を検討している割合が最も高い。一方で、「わからない」と回答した割合が40.5％と、他の規模の企業と比較して最も高くなった。

　中堅企業では、61.8％が取得を検討中と回答した。さらに規模別に2つに分け、500～999人規模では★4の取得を検討している割合が最も高く18.2％となり、100～499人規模では★3の割合が最も高く14.1％となった。同レポートではこうした結果から、この企業規模を境に実務体制や現場状況に差があるとうかがえるとしている。

　中小企業では、56.4％が取得を検討中と回答しており、★3の取得を検討している割合が最も高い。一方で、「取得しない」と回答した割合が16.7％と、最も高かった。

　同レポートでは、このほかにも取引先への取得要請の検討状況や、サプライチェーンサイバーセキュリティの課題など、同制度への対応を競争力強化につなげるための内容が紹介されている。