経産省 SCS評価制度認定対応支援サービス|FLAGSHIP

MISSION
お問い合わせ
  1. 経産省 認定制度対応支援
  2. SCS評価制度対応支援サービス

セキュリティ対応が、
取引先との関係に
影響する時代になった。

経済産業省が主導するSCS評価制度が、
2026年10月に運用を開始します。
取引先が委託先のセキュリティ水準を
確認・比較できる仕組みが整うことで、
対応状況の差が取引判断に影響する場面が
増えていくことが見込まれます。

自社のセキュリティ水準を、
公的な基準で証明できる体制を整える。
現状分析から
規程整備・技術実装・証跡管理まで、
FLAGSHIPが一気通貫で支援します。

対応はいずれすべての企業に
求められる流れになっています。

早く動くほど準備に余裕が生まれ、
取引先からの要件化にも落ち着いて対応できます。

制度概要SCS評価制度とは

「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS)」は、経済産業省・国家サイバー統括室が主導する公的なセキュリティ評価制度です。自動車産業を中心とするサプライチェーン全体のサイバーセキュリティ水準を底上げすることを目的とし、2026年10月の制度運用開始が予定されています。

制度が生まれた背景

これまでサプライチェーンにおけるセキュリティ対応は、発注企業が委託先ごとに独自のアンケートや監査を課す形が主流でした。
対応する委託先側も要件がバラバラで負担が大きく、水準の比較・担保が困難でした。
SCSはこの構造的な問題を解消するために設けられた公的な共通基準です。

主な目的
  1. 発注企業ごとに異なる独自アンケート・監査への対応が必要
  2. 何をどのレベルまで実施すればよいか基準が不明確
  3. 取引先のセキュリティ水準を客観的に比較・確認できない
  4. セキュリティ事故発生時の責任範囲が曖昧になりやすい
主な成果
  1. 公的な共通基準での対外証明が可能になり、個別対応の負担が減る
  2. 達成すべき対策内容・水準が明確になる
  3. 制度事務局の台帳に掲載され、取引先が第三者として確認できる
  4. 商談・入札における信頼性の証明手段になる

対象とするリスクの範囲

本制度は、サイバー攻撃に起因して自社・取引先に生じる以下の3種類のリスクを対象としています。

  • 事業継続

    自社事業・サービスの提供途絶
    サイバー攻撃による調達部品の供給遅延・停止、クラウドサービスの停止など

  • データ保護

    機密情報の漏えい・改ざん
    委託先・マネージドサービス・クラウドへの攻撃による機密情報の流出・改ざん

  • 不正アクセス

    取引先を踏み台にした不正侵入
    サプライチェーン企業の環境を経由した、発注企業側システムへの侵入

こんな悩み・不安はありませんか?SCS対応、こんな状況に
心あたりはありませんか?

1
取引先から「セキュリティ対応状況を教えてほしい」と求められているが、何をどう答えればよいか基準がない。
2
セキュリティ対策はしているつもりだが、それが十分かどうか客観的に証明する手段がない。
3
SCSという制度は知っているが、83項目の内容・何から手をつければよいかがわからない。
4
社内にセキュリティの担当者がいない、またはIT担当が兼務で手が回らない。
5
規程や手順書を整備したいが、何を作ればよいかわからず後回しになっている。
6
制度運用開始まで時間がないのに、どこに相談すればよいかわからない。

取得で得られること・放置するリスクSCS評価制度に対応すると、
何が変わるのか?

取得は「義務への対応」ではなく、自社のセキュリティ水準を外部に示す積極的な手段です。

メリット|取得で得られること

  • 公式バッジが付与され、名刺・ウェブサイトに掲示できる
    ★3・★4を取得した企業には、制度事務局から公式マーク(バッジ)の使用が許可されます。
    取引先・顧客に対してセキュリティ水準を視覚的に証明できます。
  • 専用台帳に掲載され、第三者が検索・確認できる
    取得企業の情報(企業名・所在地・有効期限・適用範囲・評価機関名など)が制度事務局のウェブサイト上に公開されます。取引先候補が★の取得状況を第三者として確認できる仕組みです。
  • 取引先ごとの個別アンケート・監査対応が不要になる
    「SCS★3取得済み」という共通言語で対外証明ができるようになり、発注企業ごとの独自要件への個別対応負担が減ります。
  • 商談・入札での競争優位を確保できる
    取引先がセキュリティ水準を要件化した際に、取得済みであることが選定の決め手になります。
  • 何をどこまで対策すべきかが明確になる
    83項目という公的な基準に照らして自社の対策状況が可視化されます。根拠ある対策体制を構築できます。

リスク|未対応のまま放置すると...

  • 取引先のセキュリティ要件を満たせなくなる
    発注企業がSCS取得を委託先選定の基準に組み込む動きが広がりつつあります。
    対応状況の差が、取引継続や新規受注の判断に影響する場面が増えていくことが見込まれます。
  • 取引先から求められてから動いても間に合わない
    ★3取得には標準で3〜6ヶ月かかります。
    取引先から要件化された時点で動き始めると、取得までの間に商談・入札の機会を逃す可能性があります。
  • 後から整備するほどコストが増大する
    文書整備・技術実装・証跡管理は、後から一気に対応しようとすると工数と費用が膨らみます。
    早期着手がコスト最小化につながります。
  • セキュリティ事故発生時の責任範囲が曖昧になる
    対策基準が不明確なまま事故が起きると、取引先との責任の所在が曖昧になりやすく、信頼回復に大きなコストがかかります。
  • 自社のセキュリティ水準を客観的に示せない
    取引先からの問い合わせに対して「対策はしています」とは言えても、公的な基準に基づく客観的な証明手段がない状態が続きます。

制度の段階評価制度の段階と、
★3から始める理由

SCS評価制度には★3〜★5の段階があります。
上位レベルは下位を包含する設計のため、★3から順に取り組むことが現実的です。
FLAGSHIPはすべての段階に対応します。

対応にあたって知っておくべきこと★3取得で押さえるべき
3つのポイント

POINT1 「対策をしている」だけでは
取得できない ― 証跡整備が必須

★3は、セキュリティ対策を実施しているだけでなく、第三者に説明できる形で証明できることが求められます。
技術的な対策が済んでいても、規程文書・ログ・設定画面のスクリーンショットなどの証跡が揃っていなければ認証を受けることができません。

多くの企業が「実施済み」と思っていた項目が、証跡の観点では「未整備」と判定されるケースが少なくありません。

つまり、技術対策と文書整備は並行して進める必要があります。
どちらか一方だけでは不十分です。

POINT2早く動くほど、準備に余裕が生まれる

★3取得には、現状分析(AsIs)・目標設計(ToBe)・文書整備・技術実装・動作確認のすべてが必要です。標準的な支援期間は3〜6ヶ月。制度開始のタイミングに関わらず、着手が遅れるほど取引先から要件化された際の対応余力が失われます。

また、後から整備を始めるほど工数・費用が増大します。セキュリティ対策は「求められてから動く」より「先に整えておく」ほうが、結果的にコストを抑えられます。

取引先から★3を求められてから動き始めると、取得まで半年以上かかります。
今から動いておくことが、将来の選択肢を守ることになります。

POINT3★3取得は「コスト」ではなく、
取引継続・拡大への投資

SCSは自動車産業を中心に広がっていますが、取引先への要件化が他業種にも波及することが予測されています。★3を取得することで、取引先拡大・商談優位・入札参加資格の確保といったビジネス上の効果が期待できます。

さらに、制度事務局のウェブページに取得企業として掲載されるため、第三者が確認できる形で自社のセキュリティ水準を示すことができます。補助金・助成金の要件として活用できるケースも見込まれています。

セキュリティ対策は「やらされるもの」から「競争優位につながるもの」へと変わりつつあります。

支援内容★3から始め、★4・★5まですべての段階に対応します

FLAGSHIPは★3取得支援にとどまりません。★3は対応のスタートラインです。
取得後も運用を継続し、★4・★5へのステップアップまで、すべての段階を一貫して支援します。

  1. ★3取得支援(設計・文書整備・技術実装)
  2. ★3取得後の継続運用・証跡管理
  3. ★4・★5へのステップアップ支援

Phase1設計・方針確定・文書整備

13ヶ月

現在どのような状態にあるかを客観的に可視化し、★3取得に向けた目標構成と必要文書を整備します。感覚的な評価ではなく、設定状況・ログ取得状況・規程整備状況を確認し、83項目に照らして整理します。

  • 83項目を「実施・一部実施・未実施」で分類し、証跡の有無を確認
  • アカウント管理・ファイル管理・ログ取得・委託先接続の現状を整理・可視化
  • リスク項目の抽出と優先順位付け
  • 経営層への報告体制・責任者の任命状況・インシデント報告経路の確認
  • 教育・訓練の実施状況と記録管理の確認
  • 認証方式・適用範囲・アクセス条件の設計
  • 端末の管理対象・利用区分・セキュリティ基準の設計
  • ファイル管理基盤の権限設計・外部共有ルールの策定
  • バックアップの保存世代・保持期間・復旧目標の設計
  • 委託先の管理対象・確認項目・定期レビュー方式の設計
  • 既存文書の改訂・整合確認(情報セキュリティ方針・機密情報管理・個人情報保護 など)
  • 新規文書のドラフト作成(インシデント対応手順・アカウント管理・クラウド利用・委託先管理 など)
  • バックアップ・復旧・ログ管理・更新管理・事業継続に関する手順書の整備
  • 教育・訓練計画・端末持出管理・ネットワーク管理ルールの作成
  • FLAGSHIPがドラフトを作成し、貴社にて社内運用内容を追記・最終承認

Phase2実装・設定変更・動作確認

36ヶ月

フェーズ1の設計に基づき、セキュリティ対策を順次実装します。設定内容・操作記録・確認結果を証跡として整備し、専門家確認に対応できる状態を目指します。

  • アカウントの一元管理基盤の構築・アクセス権設定
  • 多要素認証の全社導入・重要システムへのアクセス制御
  • パスワードポリシー・ロックポリシーの設定
  • 業務端末の一元管理・セキュリティポリシーの適用
  • ソフトウェア更新・外部媒体制御の設定
  • 端末紛失・盗難対策の実装
  • ファイル保管基盤の整備・アクセス権・外部共有ルールの設定
  • 機密区分に応じたデータ管理ルールの適用
  • 自動バックアップ・改ざん耐性保管・復旧テストの実施
  • 外部攻撃の自動検知・遮断の仕組みの導入
  • 利用者ログインへの多段階認証・不正アクセス対策の実装
  • 重要操作時の本人確認・パスワードポリシーの強化
  • 外部専門業者によるシステムの弱点診断の実施
  • 診断結果に基づく優先対応・是正の実施
  • 定期診断体制の確立
  • アクセス・操作ログの取得範囲の設計と保管体制の整備
  • ログの長期保管・障害時の即時参照体制の構築
  • 定期レビューの運用手順の整備
  • 不審な動作のリアルタイム検知・自動遮断・アラート通知の設定
  • 悪意あるプログラムへの対策の継続的な維持体制の整備
  • 社内外通信の監視・制御の仕組みの整備
  • 保有する個人情報の棚卸し・管理状況の可視化
  • アクセス権の最小化・取り扱いルールの明文化
  • 漏えい発生時の対応手順・通知フローの整備

Phase3保守フェーズ:
継続的なセキュリティ運用維持

取得後〜

  • システムの稼働状況を継続的に監視し、障害時に一次対応を行う
  • 不正な改ざんを検知した際に即時通知し、対応方針を策定する
  • システムの既知の弱点を継続的に自動検知する
  • 重大な弱点が発見された場合は都度対応する
  • 年1〜2回の定期診断を継続実施する
  • 月次でセキュリティ状況・検知内容・改善履歴をレポートとして提出する
  • 定期的なアクセス記録の調査と不審な動作の確認を行う
  • ★3の有効期限更新に向けた証跡・運用水準を継続的に維持する

スケジュール各フェーズにかかる期間の目安

現状のセキュリティ対策状況により前後しますが、標準的なケースでの目安は以下のとおりです。
フェーズ1・2は並行して進めます。

実行ステップと実施期間

※現状の対策状況・社内体制によって期間は変動します。まずは現状分析(AsIs)で貴社の状況を確認します。

よくあるご質問FAQ

Q1

自動車業界ではないのですが、SCS取得は必要ですか?

A1
SCSは自動車産業を中心に設計されていますが、サプライチェーン全体のセキュリティ水準底上げを目的とした制度です。IT・製造・流通・サービス業など、他業種への波及も見込まれており、取引先からの要件化が広がる前に取得しておくことが競争優位につながります。まずは自社の状況を確認することをお勧めします。
Q2

★3取得にはどのくらいの期間と費用がかかりますか?

A2
現状のセキュリティ対策状況により異なりますが、標準的なケースで着手から取得まで3〜6ヶ月を想定しています。費用については、現状分析の結果をふまえて個別にご提案します。まずは無料のギャップ診断からご相談ください。
Q3

社内にIT専任者がいなくても対応できますか?

A3
はい、対応可能です。FLAGSHIPでは現状分析から規程文書のドラフト作成・技術実装まで一気通貫で支援します。貴社にご対応いただくのは、社内運用内容の確認・追記と最終承認が中心です。専任IT担当がいない中小企業の支援実績があります。
Q4

すでに一部のセキュリティ対策は実施しています。それでも支援は必要ですか?

A4
既存の対策状況によっては、短期間・低コストで取得できるケースもあります。ただし「対策を実施していること」と「証跡として説明できること」は別物です。技術的な対策が済んでいても、規程文書・ログ・設定画面の証跡が揃っていないと認証を受けられません。まず83項目の現状対照表を作成し、ギャップを可視化することが第一歩です。
Q5

★3を取得した後は何が必要ですか?

A5
★3の有効期間は1年です。更新のためには、継続的なセキュリティ運用の維持と証跡管理が必要です。FLAGSHIPでは取得後の保守フェーズとして、月次セキュリティレポートの提出・脆弱性監視・改ざん検知などの継続支援も提供しています。

まず、現状のギャップ診断から
はじめませんか?

83項目に対する貴社の現状を可視化し、
優先すべき対策をご提案します。

お問い合わせ・ご相談はこちら