特集

中小企業のセキュリティ、今から取り組むなら「SCS評価制度」を参考に

【IPAに聞く 前編】なぜ、いま新制度が? その狙いと全体像を知る

 セキュリティは、業種や規模を問わずあらゆる企業にとって重要な課題だ。しかし、どこから始めれば、あるいはどこまでやればいいか……と悩んでいる企業や担当者は少なくないだろう。

 そのような中、経済産業省や独立行政法人情報処理推進機構(IPA)、および国家サイバー統括室(NCO)が準備を進める「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)は、特に中小企業にとって分かりやすい指針となる。今回は、その狙いや概要を見ていこう。

 近年のセキュリティでは、サプライチェーン、つまり取引関係のある企業全体の保護が、重要な課題となっている。大手企業のセキュリティは確保できていても、取引先の中小企業がランサムウェアに感染すれば、大手企業の工場も止まってしまう。また、給食センターのITシステムが攻撃を受けることで、連携していた病院のシステムまで停止する、といった事態も起こる。ビジネスがネットワークでつながった今、セキュリティリスクも地続きになっている。

 IPAの中小企業等実態調査(2025年2月公表)では、約7割の企業が「組織的なセキュリティ体制が整備されていない」と回答。実際、警察庁の統計では中小企業のランサムウェア被害が前年比37%増と急拡大している。委託企業が数億円かけて守っても、狙われるのは、守りの手薄な受託企業。そこが、攻撃者にとって格好の入り口になる。

 このような状況を受け、取引の際にセキュリティのチェックリストが作られることもある。だが、現在は必要な項目の基準もなく、委託企業が作る項目も様式も各社バラバラとなり、受託企業の現場では、この個別対応の繰り返しによる”チェックリスト疲れ”も起こり得る。しかも、回答は自己申告であることも少なくなく、どこまで信頼していいのか確信が持てない、ということもある。

 2026年度末の開始を目指して準備が進む前述の「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)は、企業間取引におけるセキュリティ評価の標準を決め、乱立したチェックリストを一本化する試みだ。共通の項目で対策状況を示せれば、委託企業は確認の手間が、受託企業は個別対応の負担が、ともに軽くなる。

 メリットは、手間の削減だけではない。SCS評価制度は、国が最近の脅威を分析し、効果の高い対策を優先順位をつけて示している。リソースの限られた中小企業にとって、何にどこまで投資すべきかの見極めは難しいものだが、やるべきことが絞り込まれていれば、限られた予算を本当に必要なところに集中できる。

 制度の設計に携わるIPAの江島将和氏は、「サプライチェーン全体のセキュリティにかかるコストを下げながら、セキュリティの底上げも図りたい」と狙いを語る。

独立行政法人情報処理推進機構(IPA)セキュリティセンター リスクマネジメント部 セキュリティ制度グループ グループリーダー 江島将和氏。2017年には自己宣言制度「SECURITY ACTION」を立ち上げるなど、長く中小企業向けの施策を担当してきた

★3と★4で、求められるレベルはこう変わる

 SCS評価制度は、企業のセキュリティ対策のレベルを「星の数」で表す制度だ。各社バラバラだった評価のものさしを、共通の基準に統一する。星は★3、★4。そして、今後策定される★5の3段階。対策のレベルが上がるほど、星の数も増えていく。

 ★3は、広く知られた脆弱性を悪用するような、一般的なサイバー攻撃に対処できる水準で「全てのサプライチェーン企業が最低限実施すべきセキュリティ対策」とされる。具体的には、社内のセキュリティ責任者を決め、自社のシステムへの侵入や被害の広がりを防ぐ基本的な対策を講じる。さらに、もし事故が起きたとき、取引先を含む関係先へ報告・共有する最低限の手順を整えておく、といったものが含まれる。

 ★4は、サプライチェーン全体に打撃を与える攻撃まで見据え、「サプライチェーン企業等が標準的に目指すべきセキュリティ対策」とされる。自社への侵入を防ぐだけでなく、被害を広げないこと、取引先のデータを守ることまで求められる。たとえば、攻撃を受けても事業を止めないための備え。自社が情報を預ける重要な取引先が、きちんと対策できているかの把握。こうした、サプライチェーンの中での自社の役割に見合った、一段上の守りが問われる。

 最上位の★5は、未知の攻撃を含む高度なサイバー攻撃に備える段階。詳細は今後検討するという。なお、上位の段階は下位の要求事項を全て含むため、★4を取得すれば、★3の対策も満たしていることになる。ただし、★3を取ってからでないと★4に進めない、という順序の縛りはない。

コラム:★1と★2は、どこへ行った?

 SCS評価制度の星は、なぜ★3から始まるのか。実は、★1と★2にあたるのが、中小企業がセキュリティ対策への取り組みを自ら宣言する、IPAの「SECURITY ACTION」(2017年開始)だ。こちらは「対策している」という証明ではなく、「これから取り組むぞ」という宣言で、中小企業が気軽にセキュリティ対策を始められるようにというメッセージを込めてスタートした。2026年6月時点で、46万社を超える中小企業が宣言している。

 ★1は、OSやソフトの更新、ウイルス対策、パスワード強化といった「情報セキュリティ6か条」に取り組むと宣言する。★2は、IPAの「5分でできる!情報セキュリティ自社診断」(全25項目)で現状を点検し、「情報セキュリティ基本方針」を策定・外部公開したうえで宣言する。「SECURITY ACTION」について詳しくは、IPAのが公開している資料「中小企業の情報セキュリティ対策ガイドライン」で確認できる。

SECURITY ACTION」の特設サイトで、「中小企業の情報セキュリティ対策ガイドライン」のダウンロードや、SECURITY ACTIONの自己宣言が行える

★3は自己評価+専門家の確認 ★4は社外評価機関による第三者評価が必須

 評価のスキームは、★3と★4で異なる。★3では、自社が行った自己評価をセキュリティ専門家が確認する。この専門家は社内の人材でもよいが、中立な立場であることが求められる。★4は、社外の評価機関による第三者評価が必須になる。

 一度★を取得すれば終わり、ではない点にも注意したい。★3は1年、★4は3年で有効期限を迎える。特に★4は、毎年の自己評価に加え、3年に一度の更新時には改めて第三者評価を受ける必要がある。セキュリティ脅威は日々生まれ、社内のシステムや体制も変わっていく。対策が保たれているか、その対策自体が古くなっていないか。定期的に確かめ、必要に応じてアップデートしていく――これはSCS評価制度に限らず、セキュリティ対策全般に共通する考え方だ。

攻撃の入り口になりやすいVPNやクラウドを、評価の対象に

 評価の対象範囲は、自社のIT基盤やネットワーク機器、クラウド上で動かすシステムなどが含まれる。警察庁の統計によれば、中小企業を襲う攻撃で最も多いのが、VPNなどネットワーク機器を経由した侵入と、クラウドサービスへの不正アクセスだ。SCS評価制度は、この主要な侵入経路を押さえることに重きを置いており、江島氏は「ここをしっかり押さえることで、被害の減少が見込める」と話す。

警察庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」より。ランサムウェア被害にあった企業・団体等へのアンケートで感染経路を尋ねた中では、「VPN機器」との回答が多く、有効回答(45件)の6割以上となる28件だった

 一方、工場の製造ラインを動かす制御システムや、委託企業に納める製品は、業種などにより個別の事情が多く、標準化が難しいため対象外だ。これらは別のガイドラインで守ることになっている。

ISMSやPマークを取得していても必要か

 すでにISMS(情報セキュリティマネジメントシステム)やPマーク(プライバシーマーク)を取得している企業でも、SCS評価制度は必要なのか。そもそもSCS評価制度は任意であり、江島氏も「ISMSで間に合っているなら、無理に取る必要はありません。リスク分析の手法が異なるので、⾃社に合うほうを選んでいただければ」と話す。両者は競合するものではなく、どちらか一方でも、組み合わせてもいい。

「要求項目を満たさなければ即契約打ち切り!」という制度ではない

 もっとも、★を取ることが、SCS評価制度の全てというわけではない。

 委託企業と受託企業の関係が、★の有無だけで断ち切られるわけでもない。その企業独自のノウハウや磨き抜かれた技は、そう簡単に替えがきくものではないだろう。「セキュリティだけを理由に、長く付き合ってきた取引先との契約を見直すというのは、現実的でないという声が多いです。いい部品を作っている製造業を、セキュリティだけで弾くわけにもいきませんから」(江島氏)

 そこで、例えば目標とする★に向けて、委託企業と受託企業が協力しながら、段階的に項目を達成していき長期的には取得を目指す、という方法も考えられるという。SCS評価制度には、★3で26項目、★4で43項目の要求事項がある。この共通の項目を使えば、たとえば「★3取得に向けて年内に6割、来年には8割、要求項目をクリアしよう」といったように、達成度を具体的な数字で委託企業と受託企業が共有できる。「取引先とのリスクコミュニケーションの道具として、共通のチェックリストを活⽤してほしい」と江島氏は話す。

 むしろ、これまでは委託企業が、「受託企業のリソース不足を承知でセキュリティの強化を求めること自体、独占禁止法における優越的地位の濫用にあたらないか」と、要請をためらうケースが少なくなかったのだという。これについては、経済産業省と公正取引委員会が、どこまでの要請なら問題ないかを整理し、2026年3月にガイダンスを示している。SCS評価制度は、こうしたやり取りを円滑にする仕組みでもあるのだ。

「セキュリティだけを理由に、長く付き合ってきた取引先との契約を見直すというのは、、現実的でないという声が多いです」と、江島氏は、協力して取得を目指す取り組み方について話した

 SCS評価制度はあくまで任意であり、対応が難しい企業をサプライチェーンから締め出すためのものではない。受託企業が直ちに★3を満たせなかったとしても、関係を保ちながら徐々にセキュリティ対策水準を高めていく――そんな使い⽅も、SCS評価制度の活用方法だという。

「対応しなければ取引から外される」などと不安を煽るセールスに注意を

 だからこそ、注意したいことがある。「対応しなければ取引から外される」と不安を煽り、「このツールさえ入れれば安心」と特定の製品へ誘導するといった売り込みだ。こうした勧誘が目につくことから、経済産業省も注意喚起を行っている。

 もちろん、対策にツールが要る場面はある。だがツールを入れさえすれば良いと考えてしまうと、対策は形だけに終わってしまうだろう。そういったことは、過去にも幾度となく繰り返されている。

 SCS評価制度は、特定の製品を導入する義務もない。行き過ぎたメッセージや勧誘に違和感を覚えたら、IPAなど公式の発信を頼るのが確実だ。

2026年8月に基本ルール案を公表

 SCS評価制度の細部は、これから半年あまりで一気に形になるという。まず2026年8月頃、制度の基本ルール(制度規程等)が公表され、専門家や評価機関の役割が固まる。評価機関の募集も始まる見込みだ。

 続いて10月頃には、企業向けの「評価用ガイド」が公表され、何をどう準備すればいいか具体像が見えてくる。そして2026年度末、いよいよ★3、★4の運用が始まる。

 最新情報は経済産業省やIPAのウェブサイトで公表される。一次情報を押さえながら、備えを進めたい。

今から始める、2つの準備

 では、いま何から始めればいいのか。制度が固まるのを待たずとも、着手できることがある。

 1つ目は、自社の現在地を知ることだ。共通のチェックリストを自社に当てはめ、何ができていて、何が足りないのかを洗い出す。「どの企業も、まず一度チェックリストを当ててみてほしい」と江島氏。

「その結果、システム的なものが導入されていない――たとえばウイルス対策ソフトが入っていないのか、それともルールが整備されていない、教育ができていないのか、といったことが明らかになってきます。次のステップでは、それらできていないことを着実に埋めていくんです」

 2つ目は、サプライチェーンでの自社の役割に応じて、どの★を目指すかを定めることだ。自社からの供給が止まれば委託企業の事業に大きく響く、あるいは委託企業の重要な情報を預かっている。そうした立場なら、★4を求められやすい。当てはまらなければ、まずは★3を着実に。その上で、いつまでに取得するかを決める。「どの★を、いつまでに」――これを今から社内で議論しておくことが、直前で慌てないための第一歩だ。

 目標が決まったら、いよいよ実践。具体的に何から手をつければいいのか。後編(明日、7月14日公開予定)では、そのステップを詳しく見ていく。

酒井 真弓

情報システム部出身のノンフィクションライター。広報、イベント企画、コミュニティ運営、MCなどの活動をしながら、行政から民間まで取材。日本初のGoogle Cloud公式エンタープライズユーザー会「Jagu'e'r(ジャガー)」のアンバサダー。著書に『ルポ 日本のDX最前線』(集英社インターナショナル)など。