取引条件に「セキュリティ格付け」が入る時代｜経産省 SCS評価制度（★3・★4）を情シスが制度開始前に準備する実務 2026

• URL: https://blog.cloudnative.co.jp/articles/scs-security-rating-2026
• 日付: 2026-06-25
• Tier: Tier 3
• 要旨: 経産省が2026年3月27日に公表したSCS評価制度は、サプライチェーン企業のセキュリティ対策を共通基準で可視化する制度。★3は専門家確認付き自己評価で一般的脅威への最低限対応、★4は第三者評価で被害拡大防止・取引先保護を含む包括的対応。要求事項はNIST CSFに沿うため既存ISMS・Pマークとの地続き再利用が可能。制度開始前に資産・取引先・外部サービスの棚卸し、既存制度とのギャップ分析、証跡運用の仕組み化を着手すべき。今後取引条件に組み込まれる見通しのため、早期の現在地測定が遅延防止の鍵。

詳細

SCS評価制度は経産省・内閣官房が監督しIPAが運営し、2026年度末頃の制度開始目指す。★3は一般的脅威対処の基礎水準で専門家確認付き自己評価、★4は被害拡大防止・取引先保護を含む標準水準で評価機関による第三者評価及び技術検証が前提。★5は未知攻撃対応で検討中。★3は約26項目、★4は約43項目（確定値は秋の評価ガイド待ち）。上位段階は下位を包括するが取得前提条件ではない。現時点で取得は義務ではないが、政府調達・重要インフラサプライチェーン企業では取引要件化が見込まれる。NIST CSFに沿った要求事項のため既存ISMS・Pマーク・SECURITY ACTIONの成果物をマッピング直接で再利用可能。情シスの実務影響は、受注側として評価対象、発注側として取引先評価要求、いずれにせよ資産棚卸しと証跡継続運用。実務論点は対策の有無より運用エビデンスの継続性、外部SaaS・OAuth連携の台帳追従、手作業依存の削減。取引先管理と外部サービス把握が評価要件に含まれ、見落としやすい。中小企業向けにお助け隊サービス新類型と改訂ガイドラインで支援。