サイバーセキュリティ評価制度とは？中小企業が今から準備すべきこと

サイバーセキュリティ対策評価制度（正式名称：サプライチェーン強化に向けたセキュリティ対策評価制度）は、発注企業が取引先に対して求めるセキュリティ水準を★マークで明示し、受注側がその水準を達成していることを評価・証明できる仕組みです。
例えば、取引契約の中で発注側が「★4以上を取得していること」と条件を提示し、受注側はその★を取得することで対応状況を証明します。これにより、発注側は取引先のセキュリティ実態を客観的に把握でき、受注側は複数の取引先からバラバラに要求されていた対策を一本化して対応できるようになります。
なお、本制度は、企業のセキュリティ対策への対応状況を可視化するものであり、事業者のセキュリティ対策レベルを競わせることを目的としたもの（格付け制度等）ではありません。

サイバーセキュリティ対策評価制度創設の背景

サイバーセキュリティ対策評価制度が必要とされる背景には、攻撃手法の変化と、企業間でセキュリティ水準を確認しにくいという構造的な課題があります。この2点について詳しく解説します。

巧妙化するサイバー攻撃への対策

近年、攻撃者はセキュリティ体制が充実した大企業を直接狙うより、その取引先である中小企業を入口として利用する手口を選ぶケースが目立ちます。セキュリティへの投資が限られがちな中小企業を足がかりに、最終的なターゲットへと侵入するこの手法は「サプライチェーン攻撃」と呼ばれています。
IPA 独立行政法人情報処理推進機構が発表した「情報セキュリティ10大脅威 2025 組織」では、サプライチェーンや委託先を狙った攻撃が、社会的影響の大きかった脅威の第2位に挙げられています。

引用：情報セキュリティ10大脅威 2025 ｜IPA 独立行政法人情報処理推進機構

一社のセキュリティが甘いだけでチェーン全体が危険にさらされるリスクがあり、サプライチェーンに連なる全企業が一定の水準を保つことが不可欠です。

サイバーセキュリティ対策レベルの見える化

経済産業省が制度創設の背景として明示しているのが、「外部からセキュリティ対策状況を判断することが難しい」「複数の取引先からそれぞれ異なる対策を求められる」という二重の課題です。

サイバーセキュリティ対策評価制度の★マークは、この課題を解決するための共通言語として機能します。発注側は取引条件として★の取得水準を明記でき、受注側は一度取得した★で複数の取引先への証明が完結するため、双方の負担軽減と対策水準の底上げが同時に期待されます。

【参考】
「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）を公表しました｜経済産業省

サイバーセキュリティ対策評価制度の内容

サイバーセキュリティ対策評価制度では、企業のIT基盤を対象に★3・★4・★5の3段階でセキュリティ対策水準を評価します。制度開始時期は2026年度末頃を予定しており、まず★3・★4から運用が始まります。対象範囲と各★の内容を順に確認しましょう。

制度の対象範囲

本制度は、サプライチェーンを構成する企業等のIT基盤（クラウド環境で運用するものも含む。）を対象としています。なお、一般的にIT基盤に該当しないと考えられる製造環境等の制御（OT）システムや委託元等に提供する製品等については、サプライチェーン全体での共通化が難しいことから直接の対象とはせず、他の制度・ガイドライン等に基づき対策を行うことを想定しています。

業種・規模を問わず幅広い事業者が対象となり得ますが、取引先からの要請がない場合でも、自社の対策状況を対外的に示す目的で自主的に取得することも想定されています。

評価は★3から★5の3段階

引用：「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）を公表しました｜経済産業省

★3：全てのサプライチェーン企業が最低限実装すべき対策

広く知られた脆弱性を悪用する一般的なサイバー攻撃を念頭に置いた、入門的な対策水準です。組織体制の基礎固めとシステムへの防御策の実装が中心となります。要求事項は26件、有効期間は1年で、評価スキームは専門家確認付き自己評価です。具体的には、登録情報セキュリティスペシャリスト（登録セキスペ）やCISSP等の資格を持ち制度指定の研修を修了したセキュリティ専門家が、自己評価の内容を確認・助言した上で申請が完結します。

★4：サプライチェーン企業等が標準的に目指すべき対策

供給停止によってサプライチェーンに大きな打撃を与えるような企業や、機密性の高い情報を扱う企業を主な対象とした、より高度な対策水準です。組織ガバナンスの整備や取引先管理、インシデント発生時の対応体制まで、幅広い領域をカバーする必要があります。要求事項は43件、有効期間は3年（毎年自己評価を実施し評価機関へ提出）で、評価スキームは第三者評価です。

★5：さらに目指すべき高度な対策（今後検討）

未知の攻撃を含む高度なサイバー脅威を想定した最上位水準です。国際規格等のリスクベースの考え方をもとに、組織固有のリスクに応じた改善プロセスの構築が求められます。
具体的な要求事項や評価スキームは現在検討中です。

中小企業はどのような準備をすべき？

中小企業がサイバーセキュリティ対策評価制度に備えるには、現状把握・方針整備・人材育成・取引先管理の4つの観点から段階的に準備を進めることが重要です。

制度が効果的と想定される業種として自動車・製造業・金融・流通等が優先的に挙げられており、これらの業種に取引先として連なる中小企業は、特に早期の対応が望まれます。

情報セキュリティ対策の実施状況を把握する

準備の起点は、自社の現状を正確に把握することです。★3・★4の要求事項・評価基準はすでに公開されており、今すぐチェックリストとして使い始めることができます。社内のIT環境を棚卸しし、どの項目が実施済みで、どこに対応の余地があるのかを可視化することが出発点です。

なお、要求事項・評価基準を満たす具体的な実装例などをまとめた評価ガイド等は、2026年秋頃を目途に公表される予定です。

情報セキュリティ基本方針を作成・周知する

技術的な対策と並んで重視されるのが、組織としての方針・ルールを文書化し、社内に浸透させることです。★3・★4の要求事項には、情報セキュリティ基本方針（セキュリティポリシー）の策定と、経営層から現場まで全員への周知が含まれており、「文書はあるが誰も知らない」という状態では評価を受けることができません。

情報セキュリティ基本方針を作成・周知する

★3の取得には外部セキュリティ専門家による確認が要件となっていますが、専門家の採用や育成は一朝一夕にはいきません。まず現実的な第一歩として取り組みやすいのが、全従業員を対象にしたセキュリティ意識の底上げです。不審なメールへの対応ミスや不適切な情報管理といった人的要因がインシデントの入口になるケースは広く指摘されており、社内教育の継続は欠かせません。

委託先や協力会社を含めた管理体制の見直し

サイバーセキュリティ対策評価制度で求められるのは、自社内の対策にとどまらず、委託先や協力会社を含むサプライチェーン全体としてのセキュリティ水準の確保です。
具体的には以下のような対応が求められます。

• 取引基本契約書・業務委託契約書へのセキュリティ条項の追加
• 情報管理規程・秘密保持契約（NDA）の整備・見直し
• 委託先のセキュリティ対策状況を定期的に確認・点検する仕組みの整備

セキュリティ対策の準備をF&M Clubで効率化する

サイバーセキュリティ対策評価制度への対応は、社内規程の整備・従業員教育・契約書の見直しなど、経営者が一人で抱えるには負担が大きい作業が重なります。こうした準備を効率的に進める手段の一つとして、中小企業向け経営支援サービス「F&M Club」の活用がおすすめです。

F&M Clubは、採用・教育・労務・財務・補助金など40種類以上のサービスを月額30,000円（税抜）で提供しており、中小企業48,000社が導入しています。契約書や社内規定を含む300種類以上のひな形をダウンロードできる「ひな形ダウンロードサービス」、全従業員が受講できる2,000講座超の「オンライン学習」、法務・労務の実務的な疑問を相談できる「お客様サービスセンター」など、セキュリティ対策の準備段階で直面しやすい課題の解決をサポートします。(エフアンドエム社会保険労務士法人が提供する就業規則などの作成から変更管理まですべておまかせの『まかせて規程管理』サービス利用料金2,000円（税抜）が含まれています。)

まとめ

サイバーセキュリティ対策評価制度は、2026年度末頃の開始に向けて準備が進む、サプライチェーン全体のセキュリティ水準を底上げするための新しい仕組みです。任意の制度とはいえ、自動車・製造業・金融・流通等が制度活用の優先業種として挙げられており、こうした業種に取引先として連なる中小企業にとっては、取引条件として★の取得を求められるケースが今後生じることが想定されます。

制度開始まで準備期間がある今のうちに、①現状把握、②セキュリティポリシーの整備、③従業員教育の継続、④委託先を含む契約・管理体制の見直し、という4つを順番に進めておくことが重要です。

もし、プロの手を借りながら対応を進めたいとお考えであれば、採用・教育・労務・財務など40種類以上のサービスで中小企業の経営課題をサポートするF&M Clubへご相談ください。