SCS評価制度の詳細情報

本制度は2026年3月に経済産業省と内閣官房国家サイバー統括室が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」に基づき構築された制度で、IPAが運営します。

• サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（経済産業省、2026年3月27日）(PDF:2.8 MB)

より具体的な実施内容については、2026年度に検討・詳細化を行い、本サイトにて公開します。

制度運用体制

経済産業省および内閣官房国家サイバー統括室の監督のもと、独立行政法人情報処理推進機構（IPA）が運営します。

段階別評価の概要

• ★3については、一般的なサイバー脅威に対処しうることを水準として規定しています。
• ★4は、初期侵入の防御にとどまらず、内外への被害拡大防止・目的遂行のリスク低減によって取引先のデータやシステム保護に寄与する点や、サプライチェーンにおける自社の役割に適合したサプライチェーン強靭化策が講じられていることを水準として規定しています。
• ★5については、より高度なサイバー攻撃への対応として、自組織のリスクを適切に把握・マネジメントした上で、システムに対する具体的な対策としては既存のガイドライン等も踏まえた上で現時点でのベストプラクティスに基づく対策を実行する形を想定しています。(★3・4の精査も踏まえ、今後更に具体化)。
• 上位の段階はそれ以下の段階で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはなりません。

評価スキームの概要 ★3

★3は、セキュリティ専門家による確認を経た取得希望組織による自己評価（専門家確認付き自己評価）を求めます。

1. 取得希望組織は、★3要求事項・評価基準に基づき自己評価を記入します(必要に応じて社内外のセキュリティ専門家からの支援を得ることも可)。
2. 社内外のセキュリティ専門家は、取得希望組織が記入した内容を確認するとともに、必要に応じて評価結果の修正を含む助言を行い、最終的に事務局へ提出する内容に関して了承した場合に署名を実施します。
3. 取得希望組織は、経営層による自己適合宣誓を含め、事務局に評価結果(セキュリティ専門家による署名を含むもの)を提出します。
4. 事務局は、申請内容に問題が認められない場合には台帳に登録し、公開します。

評価スキームの概要 ★4

★4は、第三者評価（要求事項について評価機関による審査）及び技術検証の実施を求めます。

1. 指定委員会は、評価機関・技術検証事業者を指定します
2. 取得希望組織は、★4要求事項・評価基準に基づき自己評価を記入します
3. 取得希望組織は、評価機関に、検証・評価を依頼します
4. 評価機関は、検証・評価を実施します(検証は必要に応じて他の技術検証事業者が実施する場合もある。)
5. 評価機関は、取得希望組織に評価報告書を提供します
6. 取得希望組織は事務局に★4の登録を申請します
7. 事務局は、申請内容に問題が認められない場合には台帳に登録し、公開します

評価・確認の実施内容

• ★3では、セキュリティ専門家が、取得希望組織が作成した書類の確認を行います。
• ★4では、評価機関および技術検証事業者が、文書確認に加え、実地審査および技術検証を行います。
  注釈 評価プロセスでは、各取得希望組織で決定した適用範囲の中から対象をサンプリングの上、評価等を実施することを想定しています。

セキュリティ専門家の要件について

SCS評価制度のセキュリティ専門家は、★3における自己評価結果の確認・助言や★4における評価責任者を担います。
セキュリティ専門家になるには、力量の保持/維持（情報処理安全確保支援士、公認情報セキュリティ監査人、CISSP、CISA、CISM、 ISO27001 主任審査員のいずれかを保持）と研修受講の要件を満たしたうえで、SCS評価制度の事務局に登録する必要があります。
セキュリティ専門家に対して研修を実施する研修事業者については、2026年12月末頃より公表予定です。

評価機関、技術検証事業者の要件について

評価機関は、★4における第三者評価を担い、技術検証事業者は★4における技術検証を行います。
評価機関、技術検証事業者になるには、第三者評価を行うために満たすべき要件及び技術検証を行うために満たすべき要件を満たしているか、指定委員会の審査を受け登録する必要があります。
評価機関、技術検証事業者の満たすべき要件の詳細については、2026年8月頃に公表予定です。

今後のスケジュール