サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）の特設サイトがIPAにできました。

2026年6月18日

近年、取引先（委託先）を経由したサイバー攻撃や情報漏えいが増えています。委託元の企業からは「取引先のセキュリティ対策が見えにくい」、逆に委託先の企業からは「いろいろな取引先からバラバラの要求をされて負担が大きい」という課題が出ていました。

そこでIPA（情報処理推進機構）が運営する形で作られたのが、このSCS評価制度です。この制度の「マーク」を取得することで、サプライチェーン全体でセキュリティ対策の水準を底上げすることを目的としています。特に、人もお金も限られている中小企業ほど活用効果が大きいと想定されています。

ポイントは「★（星）の段階」で対策レベルを示すことです。取引のときに、委託元が「うちと取引するなら★◯のレベルでお願いします」と提示できる仕組みになっています。

1. SCS評価制度の詳細情報
2. 要求事項・評価基準
3. セキュリティ専門家・評価機関
4. 関連制度・施策
5. 制度規程・委員会
6. よくある質問（FAQ）
7. まとめ

SCS評価制度の詳細情報

制度の中身を一番くわしく説明しているページです。

制度の生い立ちと運営体制
この制度は、2026年3月に経済産業省と内閣官房国家サイバー統括室が公表した「制度構築方針」にもとづいて作られ、IPAが運営します。運営にあたっては、方針を審議する「運営審議委員会」、登録や普及を担う「事務局」、評価機関などを審査する「指定委員会」といった組織が役割分担しています。

★の段階（レベル）
評価には段階があり、それぞれ求められる対策の重さが違います。

★3：一般的なサイバー脅威に対処できるレベル（すべての企業が最低限実装すべき基礎対策）
★4：初期侵入を防ぐだけでなく、被害の拡大防止や取引先のデータ・システム保護まで含めたレベル
★5：より高度な攻撃に備え、リスクを把握・管理したうえでベストプラクティスに基づく対策を行うレベル（今後さらに具体化される予定）

なお、上位の段階は下位の内容を含むため、★3を取らないと★4を取れない、という関係ではありません。

評価のやり方（スキーム）の違い

★3は「専門家確認付き自己評価」。会社が自己評価を記入し、セキュリティ専門家が確認・助言して署名し、事務局に提出して登録される流れです。
★4は「第三者評価」。評価機関による審査と技術検証が必要で、評価機関が検証・評価を行い報告書を出したうえで登録されます。

★4では書類確認に加えて、実地審査や、インターネット公開機器（VPN装置やルータなど）への脆弱性検査といった技術検証も行われます。

要求事項・評価基準

「具体的に何を満たせばその★を取れるのか」というチェック項目（基準）をまとめたページです。

段階によって項目数が異なり、★3は26件、★4は43件の要求事項が想定されています（★5は今後検討）。合格の考え方としては、★3・★4ともに原則すべての評価基準に適合することが求められます。ただし、不適合が見つかっても、きちんと是正してセキュリティ専門家（★3）や評価機関（★4）の了承を得られれば取得できる仕組みになっています。 ipa + 2