データ保護・BCP

SCS評価制度とは？中小企業が今すぐ「星3」を目指すべき理由と対策ステップ

: #サイバーセキュリティ , #セキュリティ対策 , #データ保護 , #中小企業 , SCS評価制度 , サプライチェーン攻撃

Apr 28 2026

「御社のセキュリティ対策は何星ですか？」——2026年度から、取引先にそう問われる時代が始まります。

経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」は、企業のセキュリティ対策を星1〜5で「見える化」する国の新制度です。業種・規模を問わず情報のやり取りをしている企業であれば、中小企業も例外なく対象になります。

この記事では、制度の基本的な仕組みから「なぜ中小企業こそ今動くべきか」の理由、そして星3取得に向けた具体的な準備ステップまでを、実務目線で解説します。

SCS評価制度とは？　30秒でわかる制度の全体像

【一問一答】SCS評価制度とは？

SCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）とは、経済産業省が主導する制度で、企業のセキュリティ対策状況を星1〜5の5段階で評価・認定する仕組みです。取引先を含むサプライチェーン全体のセキュリティ水準を底上げすることを目的とし、2026年度の運用開始が予定されています。業種・規模を問わず、情報のやり取りを行うほぼすべての企業が対象です。

制度の正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」、略称は SCS評価制度（SCS = Supply Chain Security）です。経産省のHP上では「SCS評価制度」で検索できます。

制度が生まれた背景

大企業のセキュリティ対策が強化される一方で、攻撃者はその取引先・委託先（中小企業）を踏み台にした「サプライチェーン攻撃」を急増させています。2025年秋だけでも、アサヒグループHD・アスクル・東海大学（委託先経由）など大規模インシデントが相次ぎました。

もう一つの課題は「チェック基準のバラバラ問題」です。発注企業ごとに異なるセキュリティ質問票への対応が現場の大きな負担になっており、客観的な比較も困難でした。SCS評価制度はこの両方を解決するために設計されています。

＞＞サプライチェーン攻撃とは――中小企業が狙われやすい理由と対策

項目	内容
目的	サプライチェーン全体のセキュリティ水準を底上げし、企業間チェックの負担を共通基準で削減する
対象企業	業種・規模を問わず、情報のやり取りを行う企業（中小企業含む）ほぼすべて
評価方式	星1〜2は専門家確認付き自己評価、星3〜5は第三者評価機関による審査
成果物	「星」の認定を取得し、取引先への提示で自社のセキュリティ水準を客観的に証明できる
開始時期	2026年度運用開始予定（※制度検討は継続中のため最新情報は経産省HPを参照）

星1〜5の評価レベル：それぞれ何が違うのか

評価は5段階で設計されています。実務上は取引先から「星3以上」の提示を求められるケースが増える見込みであり、多くの企業にとって星3が当面の目標水準になります。

★☆☆☆☆

★1

セキュリティアクション（宣言）

情報セキュリティ対策に取り組むことを自己宣言した段階

★★☆☆☆

★2

セキュリティアクション（実践）

基本的な対策を実施し、自己点検を行っている段階

多くの企業が目指す基準

★★★☆☆

★3

一定の信頼水準（標準的運用）

26項目等に適合。ルールだけでなく「運用の実績」が問われる

★★★★☆

★4

高度な運用・監視

継続的な監視体制・脆弱性対応プロセスが確立。第三者評価。

★★★★★

★5

先進的運用（脅威対応）

24/365監視、高度な攻撃への適応と継続的最適化。

星3が「事実上の最低ライン」になる理由

星1・2は自己宣言・自己点検ベースのため、発注企業側から「証明力が低い」と判断されやすい水準です。一方、星3は専門家確認付きの自己評価であり、26項目の要求事項への適合が第三者の目で確認されます。

「取引を続けたいなら星3以上の対策を示してほしい」というプレッシャーが実務の現場で生まれ始めることは、サプライチェーン全体に波及した過去の被害事例（MSP経由で1,200社超が被害）を踏まえれば、避けがたい流れです。

今、自社は何星相当？　星3ギャップ自己診断チェックリスト

星3の要件は大きく「組織体制」「システム防御」「データセキュリティ」の3領域に分かれます。以下の項目のうち、実際に運用実績（ログ・記録）まで揃っているかを基準に確認してください。「ツールを入れている」だけでは星3の評価を通過できない点が重要です。

【組織体制】

☐　全従業員への情報セキュリティ教育を年1回以上実施し、受講記録が残っている

☐　ハードウェア・ソフトウェアの資産台帳を整備し、管理責任者が明確になっている

☐　フィッシング演習など、インシデント対応訓練を定期的に実施・記録している

【システム防御】

☐　OS・ソフトウェアのパッチ適用状況を定期確認し、未適用の脆弱性を管理している

☐　マルウェア対策ソフトが全端末に導入され、定義ファイルが最新状態に保たれている

☐　MFA（多要素認証）を重要システム・クラウドサービスのアクセスに適用している

【データセキュリティ（バックアップ）】

☐　定期的なバックアップを取得し、ネットワークから切り離した場所に保管している

☐　バックアップからの復旧テストを定期的に実施し、その記録が残っている

☐　バックアップデータが改ざん・削除できない状態（不変ストレージ等）で保管されている

チェック結果の目安：　8〜9項目 → 星3水準に近い　／　5〜7項目 → 対策の「導入」はあるが「運用」が不足している可能性　／　4項目以下 → 星2以下の可能性が高く、早急な対策が必要

星3クリアに向けた3つの重点対策領域

星3の評価基準は「対策を実施しているか」だけでなく、「実際に機能しているか（運用実効性）」が問われます。以下の3領域それぞれで、ツールの導入と並行して記録・証跡の整備を進めることが重要です。

1組織的対策：「実施した記録」があるかが評価の分岐点

全従業員への年1回以上のセキュリティ教育と理解度確認が必要です。重要なのは「実施した事実の記録」であり、受講ログ・テスト結果が証跡として残っていることが評価に直結します。フィッシング演習についても、実施記録と改善履歴がセットで求められます。

また、IT資産の台帳管理（ハードウェア・ソフトウェアの一覧）と責任者の明確化も要件に含まれます。「なんとなく把握している」ではなく、台帳として文書化されていることが条件です。

2システム防御：「未パッチ」と「旧型AV」が最大のリスク要因

OS・ソフトウェアのパッチ未適用は全侵入経路の27%を占める主要な攻撃ベクターです。自動パッチ管理により「気づいたら未適用だった」という状態を排除することが求められます。

マルウェア対策については、シグネチャ（定義ファイル）ベースの従来型AVでは、AIを活用した未知マルウェアや「環境寄生型（LoL）攻撃」への対応が困難です。AI・機械学習ベースの次世代AV（NGAV）への移行が実質的に求められます。

3バックアップ：「不変ストレージ」と「復旧テスト記録」の両立が必須

ランサムウェア対策として、ネットワークから切り離された不変（イミュータブル）バックアップが星3の要件に明示されています。攻撃者が管理者権限を奪取しても削除・暗号化できない保管方式（WORM）が求められます。

加えて「実際にデータが戻せるか」の定期テストと、その実施記録が証跡として必要です。「バックアップを取っている」ではなく「復旧できることを証明できる」ことが評価されます。

＞＞バックアップの「3-2-1ルール」とは？ランサムウェア・BCP対策の基本設計を解説

📋　自社の星3対応状況を確認したい方へ

使えるデータプロテクトの無料トライアルでは、実際の管理画面から自社のセキュリティ対策状況を可視化できます。まずは現状の「見える化」から始めてみましょう。

▶ 無料トライアルを試す
▶ 担当者に相談する

使えるデータプロテクトで星3・星4要件をカバーする方法

使えるねっとが提供する「使えるデータプロテクト」は、SCS評価制度の主要要件を統合的にカバーできるクラウド型のセキュリティ・バックアップソリューションです。単一エージェント・単一コンソールで様々な機能を管理できるため、複数のツールを別々に契約するよりも運用工数・コストを大幅に削減できます。

対応★	要件カテゴリ	使えるデータプロテクトの対応機能
★3	教育・訓練（実施記録）	Security Awareness Training（SAT）：フィッシング演習と教育コンテンツの自動配信。受講状況・テスト結果がログとして自動保管され、証跡に直結
★3	IT資産台帳・インベントリ	ハードウェア・ソフトウェアインベントリ（RMM）：エージェントを入れるだけで全端末のHW情報・インストール済みソフトを自動収集・台帳化
★3	マルウェア対策	次世代AV（アクティブプロテクション）：AI・機械学習ベースの静的・動的解析により、従来型シグネチャ検知では防げない未知マルウェアやゼロデイ攻撃を高精度にブロック
★3	定期バックアップ・改ざん防止	不変ストレージ：バックアップデータを書き換え不可の状態（WORM）で保管。管理者権限を奪取されても削除・暗号化できないため、ランサムウェア被害時の最後の砦になる
★3	OS・ソフト更新管理	パッチ管理（RMM）：脆弱性の自動スキャンと修正パッチの自動適用。テスト適用・ロールバック機能により、業務影響を最小化しつつ迅速なパッチ運用を実現
★4	既知脆弱性対策・資産管理	脆弱性管理（Vulnerability Assessment）：CVEベースのリスクを可視化し、深刻度・影響範囲で優先順位付け。自動パッチ適用による「ウィンドウ」の最小化
★4	常時監視・インシデント対応	EDR / XDR：エンドポイントの振る舞いを常時監視し不審な動作を即検知。攻撃チェーンの可視化・根本原因分析・端末隔離までワンクリックで対処。

制度の概要・評価レベルの違い・使えるデータプロテクトの機能対応マップをまとめた解説資料を無料でダウンロードいただけます。「なぜ今対応が必要か」から「具体的に何を導入すればいいか」まで、担当者から経営層への説明にもそのままお使いいただける内容です。

▶︎資料をダウンロードする（無料）

4ステップ段階導入ロードマップ

すべてを一度に導入しようとすると現場が混乱します。以下のロードマップに沿って段階的に進めることで、業務への影響を最小化しながら星3水準を達成できます。

1STEP 1　基礎固め：「守る・戻せる」体制の確立

バックアップ（複数世代・オフライン保管）の自動化と次世代AIアンチウイルスの導入を優先します。ランサムウェア攻撃を受けた際に「戻せる状態」を作ることが、最初の必須条件です。

達成目標：★3要件「防御・復旧」の最低限をカバー

2STEP 2　防御強化：侵入口を塞ぐ

脆弱性管理（自動パッチ適用の運用開始）、URLフィルタリング（悪意あるWebアクセスの制御）を追加します。「パッチ適用の記録」が証跡として蓄積され始めるこの段階で、IT資産台帳の整備も並行して進めます。

達成目標：★3要件「予防」を追加カバー。侵入口の大幅縮小

3STEP 3　教育・訓練の整備：記録が証跡になる

Security Awareness Training（SAT）でフィッシング演習を開始します。重要なのは「実施記録が自動保管される」こと。教育プログラムの実績ログが証跡として機能し、星3評価の「組織体制」要件を充足します。

達成目標：★3要件「組織的対策」の充足。星3全体要件をほぼカバー

4STEP 4　検知・対応の高度化：★4も視野に

EDR導入（不審な振る舞いの検知・調査）とログ管理（セキュリティイベントの統合監視）を追加。単一コンソールでの一元管理により運用効率を高め、定期レポートの経営層報告体制も確立します。

達成目標：★4要件（検知・対応・証跡管理）のカバー。継続的改善体制の確立

よくある質問（FAQ）

Q. SCS評価制度への対応は義務ですか？

現時点では法的義務ではありません。ただし、発注企業から取引条件として「星3以上の取得」を求められるケースが想定されており、事実上の参入要件になる可能性があります。特に製造業・IT・物流など大企業サプライチェーンに組み込まれている中小企業は、早期の対応が取引継続において優位に働きます。

Q. 星3の取得にかかるコスト・期間の目安は？

対策ツールの導入コストは既存の社内体制によって大きく異なりますが、使えるデータプロテクトのような統合ソリューションを活用することで、複数ツールを個別契約するよりも総保有コスト（TCO）を抑えられます。期間については上記ロードマップの通り、段階的に進めれば概ね4〜6ヶ月で星3水準の体制を整えることが可能です。

Q. すでにウイルス対策ソフトとバックアップを導入しています。星3を満たせますか？

「導入している」だけでは不十分な場合がほとんどです。星3が求めるのは「運用の実効性」であり、パッチ適用記録・バックアップの復旧テスト記録・従業員教育の実施記録など、証跡の整備が伴っているかどうかが評価の分岐点になります。まずは上記チェックリストで現状を確認してみてください。

Q. 「サイバーセキュリティお助け隊サービス」との関係は？

経産省は中小企業向けに「サイバーセキュリティお助け隊サービス（新類型）」を創設し、SCS評価制度への対応を支援する体制を整えています。使えるデータプロテクトは、このお助け隊サービスの要件を満たすソリューションとして活用できます。補助金等の活用可能性も含め、詳しくはお問い合わせください。