「うちは中小企業だから関係ない」そう思っていたのに、取引先から突然
「セキュリティ対策の状況を示してください」と言われる。
2026年度末頃、こうした場面が“当たり前”になる可能性があります。
昨今、大手飲料メーカーやECサイトへの攻撃により、サプライチェーン全体が深刻な影響を受けています。2025年10月のアスクルの事例では、委託先の多要素認証(MFA)設定不備が被害の一因となりました。
こうした背景を受け、経済産業省を中心に「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の検討が進んでいます。本記事では、制度の要点と今取り組むべき対策を整理します。
【30秒でわかる】SCS評価制度(仮称)のポイント
- 何の制度?:サプライチェーン企業のセキュリティ対策状況を★3〜★5の段階で可視化する共通の「物差し」。
- 目的は?:「取引先の対策が不明」「バラバラな要求で負担増」という課題を解消し、全体の水準を底上げする。
- いつから?:2026年度末頃(★3・★4)の制度開始を予定。
- 格付けなの?:競わせることが目的ではなく、取引契約で使える共通の評価枠組み。
SCS評価制度(仮称)の全体像:対象となる企業は?
SCS評価制度は特定業界に限定されません。「大手企業のサプライヤー」「ITサービス提供企業」「重要インフラ関連企業」など、取引関係を通じてあらゆる企業が対象となり得ます。
法律による一律の義務化ではなく、取引先からの要請や監査、説明責任の強化により、対応が「実質必須」化していく性質の制度です。
なぜ「2026年度末頃」が重要なのか
制度構築方針(案)では、★3・★4の運用開始が2026年度末頃とされています。準備を先送りにすると、以下のようなリスクが発生します。
- ・取引先からの説明要請が急増し、対応が追いつかない。
- ・評価・確認の枠組みが混み合い、認定が遅れる。
- ・体制整備やログ証跡の確保など、一朝一夕ではできない対策で「詰む」。
企業がまず着手すべき「SCS対応の3ステップ」
- 現状把握(自社診断)
規程、運用、ログ、権限管理、認証方式を棚卸し、弱点を可視化する。 - ギャップ分析(優先順位付け)
広範な対策領域の中から、リスク低減効果が高く「短期で効く領域」を特定する。 - 証跡整備(ログ・運用記録)
「実施している」と客観的に証明できるログ(アクセスログ、操作ログ)を蓄積する。
最初に取り組むべき最重要領域:ID・アクセス管理
SCS対応で最も現場が問われやすいのは、「誰が、どこから、何にアクセスできるか」という入口の対策です。
GMOトラスト・ログインによる対策強化
ID管理(IdaaS)の導入は、手作業による情シス部門の負荷を軽減し、SCS評価制度が求める要件を効率的に満たすことが期待できます。
※一定の評価を保証するものではありません。
| 対策項目 | GMOトラスト・ログインでの実現方法 | SCS評価制度対応ポイント |
|---|---|---|
| 多要素認証(MFA)の徹底 | OTPや生体認証などを全システムに容易に導入可能。 | 不正アクセスのリスクを低減し、★3以上の認証要件に対応。 |
| アクセス制御 | デバイス制限、IP制限、条件付きアクセスの一元管理。 | 境界防御と適切なアクセス管理の証明。 |
| ログ管理・可視化 | 「いつ・誰が・何に」のアクセスログを全社分収集。 | 監査対応や証拠提出(証跡整備)の自動化。 |
| 権限剥奪の迅速化 | 退職・異動時のアカウント即時無効化。 | 継続的な管理と情報漏洩リスクの排除。 |
よくある質問(FAQ)
- Q1. SCS評価制度は義務ですか?
- A1. 法律による義務ではなく、取引契約における「適切なセキュリティレベルの提示・確認」のために活用される想定です。
- Q2. ★3と★4の違いは何ですか?
- A2. ★3は専門家確認付きの「自己評価」、★4以上はより厳格な「第三者評価」といった整理が検討されています。
- Q3. 格付け制度ではないのですか?
- A3. はい。企業をランク付けして競わせるのではなく、取引における「共通の物差し」としての活用を目的としています。