www.cybersecurity.metro.tokyo.lg.jp
高市政権動き早っ!
日々の業務、本当にお疲れ様です。
企業におけるIT担当者の皆様、あるいは情報システム部門の責任者の皆様。毎日、現場からの「繋がらない」「動かない」という問い合わせ対応に追われながら、一方で経営層からは「コスト削減」を求められ、さらには日々進化するサイバー攻撃の脅威にも晒されていることと存じます。まさに、企業の守りの要でありながら、最も板挟みになりやすい立場にいらっしゃるのが皆様ではないでしょうか。
そんな皆様に、今、どうしてもお伝えしなければならない極めて重要な動きがあります。それが、経済産業省が主導して進めている「サプライチェーン強化に向けたセキュリティ対策評価制度(通称:SCS評価制度)」です。
「また新しいお役所のガイドラインか……」と、ため息をつかれたかもしれません。しかし、どうか少しだけ時間をください。今回のこの制度は、これまでの「努力目標」レベルのガイドラインとは、ビジネスに与えるインパクトの桁が違います。なぜなら、この制度への対応状況が、御社の「取引継続」か「取引打ち切り」かを分ける決定的な判断材料になる可能性が極めて高いからです。
特に、政府機関や地方自治体、あるいはそのサプライチェーンに連なる大手企業と取引のある企業にとって、この制度は避けて通れない「通行手形」となります。施行は2026年度(令和8年度)。もう、あまり時間がありません。
この記事では、難解な制度の中身をどこよりも分かりやすく噛み砕き、IT担当者が今すぐ打つべき手について解説します。そして記事の後半では、この制度を逆手に取り、社内で長年の課題だった「セキュリティリスクが懸念される特定国製品(IT機器)の排除」を、経営層に納得させながらスムーズに進めるための「賢い立ち回り術」もご提案します。
これは、単なる制度解説ではありません。皆様が社内で主導権を握り、より安全で管理しやすいIT環境を手に入れるための「戦略書」としてお読みください。
1. 2026年度本格始動!SCS評価制度の全貌とスケジュール
まずは、敵を知ることから始めましょう。この制度が一体どのようなもので、いつから、どのように皆様の業務に影響を与えるのか、その全体像を整理します。
制度の概要:なぜ今、国が「格付け」を始めるのか
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は、経済産業省と情報処理推進機構(IPA)が中心となって構築を進めている、日本初の統一的なセキュリティ評価・認証制度です。
一言で表現するならば、「企業のセキュリティ対策レベルを、誰にでも分かる『星の数』で格付けし、可視化する仕組み」です。
これまでも「SECURITY ACTION(セキュリティ対策自己宣言)」などの取り組みはありましたが、あくまで「自己宣言」であり、実効性にばらつきがありました。しかし、昨今のサイバー攻撃は、防御の堅い大企業(本丸)を直接狙うのではなく、セキュリティ対策が比較的手薄な取引先の中小企業(二の丸、三の丸)を踏み台にして侵入する「サプライチェーン攻撃」が主流となっています。
一社の対策漏れが、サプライチェーン全体の致命傷になる。この危機感から、国は「企業ごとの対策レベルを統一基準で測り、取引の信頼性を担保する」ための新しい物差しを作ることにしたのです。
施行時期の明記:2026年度が「運命の年」
IT担当者として、スケジュールの把握は最優先事項です。結論から申し上げます。
この制度の本格的な施行(運用開始)は、2026年度(令和8年度)が予定されています。
具体的なロードマップを見てみましょう。
-
2025年末〜2026年初頭:制度構築方針(案)の公表、パブリックコメントの実施。制度の詳細なルールの確定。
-
2026年1月〜9月頃:申請受付に向けた体制整備、評価機関の認定、プレ運用期間。
-
2026年10月頃(秋):制度の本格運用開始。
「なんだ、まだ時間があるじゃないか」と思われたなら、それは危険な兆候です。
IT予算の策定、現状のシステムの棚卸し、不足しているセキュリティ機器の導入やリプレイス、そして規程の改定。これらを通常業務と並行して行うには、あまりに短い期間です。
2026年度の制度開始と同時に、取引先から「御社のSCS評価ランクを提出してください」という通知が届く未来が、もう確定していると考えてください。その時に「準備していません」と答えれば、それは「当社はサプライチェーンのリスク要因です」と宣言するようなものです。
評価レベル「星」の仕組みと合格ライン
この制度の最大の特徴は、対策状況に応じてレベル分けされる「星(スター)」制度です。皆様が目指すべきラインはどこなのか、明確にしておきましょう。
以下の表に、各ランクの要件と位置付けを整理しました。
| ランク | 位置付け | 評価方法 | 有効期間 | IT担当者の対応イメージ |
| 星1・星2 | 取り組みの宣言 | 自己宣言(SECURITY ACTION等) | - | 従来通り。これだけでは不十分になる可能性大。 |
| 星3 (Basic) | 最低限実装すべき水準 | 専門家確認付き自己評価 | 1年 | 【必須ライン】 専門家のチェックが入るため、嘘や誤魔化しが効かない。25項目の基礎対策をクリアする必要あり。 |
| 星4 (Standard) | 標準的に目指すべき水準 | 第三者評価(審査) | 3年 | 【推奨ライン】 重要インフラや官公庁取引企業向け。外部機関による厳格な審査(44項目)をパスする必要がある。 |
| 星5 | 将来的な到達目標 | 第三者評価(高度) | - | ベストプラクティス(2026年度以降に具体化)。 |
ここで重要なのは、多くの一般的な取引において、「星3(Basic)」が実質的な参加資格(足切りライン)になると予想される点です。
「星3」は「すべてのサプライチェーン企業が最低限実装すべきレベル」と定義されています。つまり、これを取得していない企業は「最低限の対策すらできていない」と見なされ、入札や見積もりの段階で排除されるリスクがあります。
さらに、重要データのやり取りがある場合や、大手企業の一次請けとなる場合は、「星4(Standard)」の取得が求められるでしょう。
2. 東京都から全国へ!自治体連携が生む「逃げ場のない」包囲網
「うちは地方の中小企業だから、国の制度なんて関係ない」
「東京の大きな会社だけの話でしょう?」
もしそうお考えなら、その認識は早急に改める必要があります。この波は、確実に地方へ、そして中小規模の事業者へと波及していきます。
東京都の先行した動きと本気度
東京都は、国(経済産業省)と密接に連携し、このSCS評価制度の普及を強力に後押ししています。
都はすでに、中小企業がサイバーセキュリティ対策を強化するための独自の助成金や、専門家を派遣する「サイバーセキュリティお助け隊」のような事業を積極的に展開しています。これらは単なるバラマキではなく、「東京の産業網(サプライチェーン)をサイバー攻撃から守る」という明確な防衛戦略の一環です。
東京都の入札資格や、都の関連団体との取引条件にSCS評価制度のランクが組み込まれることは、時間の問題と言えます。
全国への波及は「既定路線」
行政の世界では、国や東京都が採用した基準(モデル)が、数年遅れで全国の自治体に波及するのが常です。
すでに大阪府、愛知県といった産業集積地でも同様の議論が進んでおり、各地域の経済団体もこの制度への注目を強めています。
また、地方自治体にとっても、地元の業者がサイバー攻撃を受けて行政サービスが停止することは悪夢です。そのため、自治体の入札参加要件(参加資格)に「SCS評価制度 星3以上」を加えることは、自治体側にとっても非常に合理的で導入しやすいリスク対策なのです。
つまり、どの地域にいようと、行政や大手企業とビジネスをする以上、この「評価制度」の網から逃れることはできません。全国一律でこの基準が「新しい常識」となる日が近づいています。
3. 「特定国の製品排除」をスムーズに進める立ち回り術
さて、ここからは少し視点を変えて、社内の「政治」と「実務」の話をしましょう。IT担当者の皆様が長年抱えてきたであろう、ある悩みについてです。
それは、「セキュリティリスクが懸念される特定国のIT機器(カメラ、ルーター、PC、ドローン等)をどうやって排除するか」という問題です。
現場の苦悩:分かっているけど変えられない
「あの国のメーカーのネットワークカメラ、バックドアの噂があるし、ファームウェアの更新も怪しい。本当はリプレイスしたい」
「安さだけで導入されたルーターが社内にあるが、管理画面にアクセスログすら残らない。怖くて使いたくない」
IT担当者なら、こうした不安を抱えている方は多いはずです。しかし、経営層や調達部門に「これを買い替えたい」と提案しても、返ってくるのはこんな言葉ではないでしょうか。
「まだ壊れていないのに、なぜ買い替える必要があるんだ?」
「日本製の高い製品より、こっちの安い製品の方がコスパがいいだろう」
「特定の国を排除するなんて、差別じゃないか? うちにそんな余裕はない」
正論です。コスト意識の高い経営者を、技術的な不安だけで説得するのは困難です。また、特定の国名を挙げて「危険だ」と主張することは、個人の主観や政治的な思想と受け取られかねず、社内での立場を悪くするリスクすらあります。
SCS評価制度を「最強の盾」にする方法
そこで、この「SCS評価制度」の登場です。この制度をうまく活用することで、皆様は自分の手を汚すことなく、客観的なビジネス上の理由として、リスク製品の排除を進めることができます。
キーワードは「主観(好き嫌い)」から「客観(取引条件)」への転換です。
以下に、経営層を説得するための具体的なロジック(立ち回りの台本)をご提案します。
ステップ1:制度の威力を伝える
まず、SCS評価制度が単なる推奨事項ではなく、「取引継続の免許証」になることを伝えます。
「社長、2026年から国が主導する新しいセキュリティ格付け制度が始まります。今後、我々の主要な取引先である〇〇社や自治体との取引を続けるためには、この制度で『星3』以上の認定を受けることが必須条件になる見込みです。もし認定が取れなければ、最悪の場合、取引停止や入札除外のリスクがあります」
ステップ2:現状の設備が「認定の阻害要因」であると指摘する
次に、特定国の製品を使っていることが、認定取得の足かせになると説明します。国名を出す必要はありません。「基準を満たせない」という事実を淡々と伝えます。
「この制度の『星3』認定基準には、機器の脆弱性管理や、ログの適切な管理、そしてサプライチェーンリスクの排除が含まれています。現在、社内で使用している一部の安価なネットワーク機器やカメラは、開発元のサポート体制が不明瞭で、必要なセキュリティパッチが提供されないリスクがあります。また、外部への不正通信の懸念も払拭できません」
「専門家の事前診断でも、こうした『信頼性が担保できない機器』がネットワーク内に存在すること自体が、評価を大きく下げる要因になると指摘されています」
ステップ3:コストではなく「投資」として提案する
最後に、買い替えは無駄な出費ではなく、売上を守るための投資であることを強調します。
「今の機器を使い続けて認定試験に落ちれば、ビジネスチャンスを失います。一方で、経済安全保障推進法の基準にも適合する信頼性の高いメーカーの製品に入れ替えれば、SCS評価制度の認定がスムーズになるだけでなく、取引先に対する『安心・安全』のアピール材料にもなります。これは単なる買い替えではなく、2026年以降の取引権を確保するための『必要経費』と考えていただけないでしょうか」
経済安全保障という「錦の御旗」
SCS評価制度の背景には、「経済安全保障」という国の大きな方針があります。これは、重要インフラやサプライチェーンを、特定の懸念国への過度な依存から脱却させ、自律性を確保しようという動きです。
「特定国の製品を排除したい」と言うと角が立ちますが、「経済安全保障のリスク管理に対応し、サプライチェーン全体の信頼性を高めるために、グローバルスタンダードな信頼できる製品を選定する」と言えば、それは立派な経営戦略になります。
IT担当者の皆様は、この制度を「面倒な仕事が増えた」と捉えるのではなく、「長年の懸案だった怪しい機器を一掃し、社内インフラを健全化するための千載一遇のチャンス」と捉えてください。国がお墨付きを与えてくれている今こそ、動き出す絶好のタイミングなのです。
4. SCS評価制度「星3」取得に向けた具体的なアクションプラン
では、2026年度の施行に向けて、具体的に何を始めればよいのでしょうか。ここでは、まず目指すべき「星3(Basic)」取得のためのロードマップを示します。
フェーズ1:現状把握(2025年中)
まずは、自社の立ち位置を知ることから始めます。
-
IT資産の完全な棚卸し
社内にどのようなPC、サーバー、ネットワーク機器(ルーター、スイッチ、Wi-Fi)、IoT機器(カメラ、センサー)があるかをリストアップします。特に、「誰が買ったか分からない」「管理台帳に載っていない」野良デバイスを見つけ出すことが重要です。
-
ソフトウェア・ライセンスの確認
OSのバージョン、インストールされているアプリケーション、ウイルス対策ソフトの稼働状況を確認します。サポート切れのOS(Windows 10など)が残っていれば、リプレイス計画に入れます。
-
既存ガイドラインとのギャップ分析
IPAの「情報セキュリティ5か条」や「SECURITY ACTION(二つ星)」の項目と照らし合わせ、何ができていて、何ができていないかを確認します。
フェーズ2:対策実施と環境整備(2025年後半〜2026年前半)
「星3」の要件である25項目(予定)を満たすための対策を実行します。
-
リスク機器の排除とリプレイス
前述のロジックを用いて、セキュリティリスクのある機器を信頼できる製品に置き換えます。
-
多要素認証(MFA)の導入
リモートアクセスやクラウドサービスの利用において、パスワードだけでなく、スマホ認証などを組み合わせる多要素認証を必須化します。これは評価制度で非常に重視されるポイントです。
-
ログ管理体制の構築
「いつ、誰が、何をしたか」を後から追跡できるよう、ログを半年〜1年以上保存する仕組みを整えます。
フェーズ3:専門家による確認と申請(2026年〜)
準備が整ったら、評価プロセスに入ります。
-
自己評価の実施
国の定めるチェックシートに基づいて、自社で採点を行います。
-
専門家(情報処理安全確保支援士など)による確認
ここが従来の制度と違う点です。自社の採点が正しいかどうか、登録されたセキュリティ専門家にチェックしてもらい、署名をもらう必要があります。
-
登録申請
評価結果をIPA(予定)のシステムに登録し、星の認定を受けます。
まとめ:IT担当者が会社を救う時代へ
2026年度に本格始動する「SCS評価制度」について解説してきました。
ポイントを振り返ります。
-
制度開始は2026年度。準備期間は残りわずかです。
-
「星3」が取引の参加資格になる可能性が高く、未対応は経営リスクに直結します。
-
東京都をはじめとする自治体も同調しており、全国的な流れは不可避です。
-
この制度を武器として賢く利用しましょう。
これまで、セキュリティ対策は「コスト」と見なされがちでした。しかし、SCS評価制度の導入によって、セキュリティは「売上を作るための品質」へと変わります。
つまり、セキュリティを守るIT担当者の皆様の仕事は、会社の利益を直接守る仕事へと進化するのです。
「取引先から信頼される強い会社」を作るのは、経営者だけではありません。現場でリスクと向き合い、汗をかいている皆様の力こそが不可欠です。
この大きな変化の波を味方につけて、社内のIT環境をより健全で、より安全なものへとアップデートしていってください。応援しています。
よくある質問(FAQ)
Q1. SCS評価制度への対応は法的な義務ですか?
法律で「全企業に対応を義務付ける」ものではありません。しかし、事実上の「ビジネス上の義務」になると考えられます。政府調達や重要インフラ企業との取引要件として「星3以上」が設定される可能性が高く、対応しないことで入札に参加できなかったり、既存の取引を打ち切られたりするリスク(経済的な不利益)が非常に大きくなるためです。
Q2. 「星3(Basic)」を取得するためには、どのくらいの費用がかかりますか?
費用は大きく分けて「対策費用」と「審査費用」の2つがあります。
-
対策費用:現状のセキュリティレベルによります。古いOSや危険な機器の入れ替えが必要な場合、ハードウェア購入費やシステム改修費がかかります。
-
審査費用:星3の場合、自己評価結果に対する「専門家による確認」が必要です。この専門家(情報処理安全確保支援士等)への謝金やコンサルティング料が発生します。ただし、国や自治体(東京都など)の補助金や「サイバーセキュリティお助け隊サービス」を活用することで、数万円〜十数万円程度の低負担で抑えられる仕組みも整備されつつあります。
Q3. 特定国の製品を使っていると、必ず評価が下がるのですか?
制度上、特定の国名を名指しして「減点」とする記述はおそらくされません(WTO協定等の観点から)。しかし、「サプライチェーンリスク管理」や「脆弱性対応」の項目で実質的に引っかかる可能性が高いです。
例えば、「開発元が脆弱性情報を公開していない」「バックドアの検査ができない」「ログが不正に外部送信される挙動がある」といった機器を使用していることは、セキュリティの不確実性とみなされ、専門家の確認時に「是正が必要」と判断されるリスクがあります。結果として、認定を取得するために機器の入れ替えが必要になるケースが多いでしょう。
Q4. 2026年度の開始まで、まだ時間があるように思えますが?
システム対応のリードタイムを考えると、今すぐ動き出す必要があります。
特に「星3」以上の取得には、規程(ルール)を作って終わりではなく、それが「運用されている事実」が必要です。例えば「ログを3ヶ月以上保存している」という実績を作るには、審査の3ヶ月前からシステムが稼働していなければなりません。また、半導体不足や円安の影響で、IT機器の発注から納品まで数ヶ月かかることも珍しくありません。2026年の制度開始に間に合わせるには、2025年中に予算を確保し、発注を済ませておくのが安全です。
Q5. 親会社が対策していれば、子会社や取引先は対応しなくてもいいですか?
いいえ、むしろ逆です。この制度は「サプライチェーン全体」を守ることを目的としています。
親会社(発注元)が「星4」を取得していても、その子会社や委託先(皆様の会社)が「星なし」であれば、そこが攻撃の入り口(セキュリティホール)になってしまいます。そのため、親会社は自社のランクを維持・証明するために、子会社や取引先に対しても「星3以上を取ってください」と強く要請してくるはずです。「下請けだからやらなくていい」ではなく「下請けだからこそ、信頼の証として持っていなければならない」資格となります。
