BLOG 都築電気ブログ

情シスが最初にやるべき「現状把握」ーサプライチェーン強化に向けたセキュリティ対策評価制度（案）で求められる★3・★4とは？

作成日:2026年2月19日

本制度の対象

・対象事業者

本制度の主な対象は、サプライチェーン内で直接の契約関係にある「受注側企業（法人単位、企業グループ単位又は事業部単位）」と整理されています。

発注側は受注側に対して、取引内容に応じた対策を依頼し、受注側はそれに応じた対応を実施する、という形です。なお、発注側にも、取引先に対して求める段階（★）を提示するなど、制度上一定の役割を担うことが想定されています。

また、サプライチェーン内で間接的な契約関係にある場合、上位発注者から見て再委託先は直接の管理対象とは整理されず、原則として直接の取引先を通じて要請・把握を行う想定です。

参考：「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（SCS評価制度の構築方針（案））を公表しました/経済産業省をもとに、当社にて情報を加工

・対象システム

本制度は、サプライチェーンを構成する企業等のIT基盤が対象とされています。

発注者の内部システムにリモートアクセス可能な場合は、発注者とのネットワーク境界（受注者側）も対象となります。

一方、OTシステムや発注元等に提供する製品そのものは別制度で対応するため、本制度の対象外です。

参考：「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（SCS評価制度の構築方針（案））を公表しました/経済産業省もとに、当社にて情報を加工

評価レベルの概要

本制度では、企業のセキュリティ対策レベルを示す指標として「★」が設けられています。発注者が取引の重要度や自社とのITシステムの接続状況に応じて、「★3〜★5」のレベルで適切なセキュリティ対策を選択し、取得・公表できるように設計されています。

・ ★1：いわゆる「情報セキュリティ5か条」への取り組み宣言

・ ★2：基本方針の策定と公開

・ ★3：多くの企業が実装すべき基礎的対策（専門家確認付き自己評価を行う）

・ ★4：機密情報を扱う企業向けの包括的対策（第三者評価が必須）

・ ★5：未知の攻撃にも対応する高度レベル（マネジメントシステムの確立が求められる）

評価項目はガバナンスの整備、取引先管理、リスクの特定、攻撃等の防御、攻撃等の検知、インシデントへの対応、インシデントからの復旧の7分類で、国際基準や国内ガイドラインとの整合性を確保しています。

本ブログでは、2026年度下期に運用開始が予定されている★3および★4の対応項目を中心に紹介します。

評価制度の考え方

自社が目指すべき評価は、事業活動上重要な業務(例:受発注)の多くがIT基盤に依存している取引先であるという前提条件のもと、事業継続リスクと情報管理リスクの両方から判断されます。

・取引先の事業中断により、「自社の事業継続上重要な業務」に許容できない遅延等が生じ得るか

・取引先へのサイバー攻撃等により、自社の機密等に係る情報管理に重大な影響が生じ得るか

以上の観点をフローチャートに照らし合わせることで、★3か★4の要求レベルが決定される見込みです。

さらに、対策強度が不足している場合や、リスクが増大していると判断される場合、再委託先に自社にとって重要な事業者が含まれる場合には、★3から★4へ引き上げが行われる可能性も示唆されています。

参考：「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」（SCS評価制度の構築方針（案））を公表しました/経済産業省

都築電気の見解

★4を目指すことが常に最適とは限らない

経産省の中間とりまとめ等からは、将来的に★4が推奨（標準）になっていく流れが読み取れます。

一方で、情報システム部門の皆さまにとっては、限られた人員・予算のなかで対応を進める必要があるため、「最初から★4を前提に対策を実施する」ことが常に最適とは限りません。

当社が重視しているのは、長期的な目標を達成するために、まず自社の現状を把握したうえで、自社は★3を目指すべき実態か、★4を目指すべき実態かといった短期的な目標を見極める進め方です。結論ありきで始めると、投資が過不足になりやすく、運用も定着しづらくなります。

まず「現状把握」から始めるべき理由

制度上は★3が最低限、★4が推奨という整理になり得ますが、実務での準備校数や必要な対応範囲を考えると、★3であっても決して容易とは限りません。

そのため、最初から★4を前提に計画を組むのではなく、まず現状の体制・運用・リスク・外部要件等を棚卸しします。そのうえで、制度への準拠度や同業他社との比較を行いながら、自社の対策状況を評価し、自社が最初に目指すべきステップを判断することが重要です。

当社は、経産省が★4を求める背景には長期視点があると捉えています。だからこそ、長期的な目標（★4や★5）を達成するための、短期的な目標（★３や★4）を設けることが重要だと考えます。

短期的目標として★3を目指すべき実態とは

現状把握の結果、次のような条件が多い場合は、まず★3を起点に土台を固めるほうが合理的です。これは「★4を諦める」という意味ではなく、★4に向けた助走として★3を選ぶ判断です。

・ 取引先から当面、★4相当の要求が明確ではない

・ 情報システム部門が少人数で兼務が多く、運用の標準化・文書化が十分でない

・ 老朽化対策、基幹更改、事故対応など、優先すべき経営課題が重なっている

上述の場合は★3到達を通じて「自社で定着する運用」を作り、次の更新サイクルで★4の要素を上積みしていくほうが、失速リスクをおさえられます。

短期的目標として★4を目指すべき実態とは

一方で、現状把握の段階で、すでに★4を視野に入れるべき条件が揃っている企業もあります。重要な点は、“理想”ではなく“実態”です。

・ 取引先・業界から★4相当の要求が明確に出ている

・ 親会社／グループ方針で、一定水準を短期に揃える必要がある

・ 統制・運用が一定程度整備されており、追加投資でギャップを埋められる

上述の場合でも、やはり最初にやることは同じで、現状把握でギャップと工数を見積もり、優先順位とロードマップを具体化したうえで★4取得に向けたアクションをすることが重要です。

当社からのご提案：目標は「現状把握→見極め→計画」で定める

当社としては、★の目標値は業界特性、取引要件、顧客要求、体力（人・予算・時間）によって最適解が変わると考えています。そのため、最初から「★4一択」「まずは必ず★3」と決め打ちするのではなく、現状把握の結果として、★3と★4のどちらが妥当かを判断する進め方を基本方針としています。

この順番にすると、投資が過大にも過小にもなりづらく、社内説明もしやすくなります。

「言われたからやる」ではなく、「必要だから、この順でやる」に変えられる点が大きなメリットです。

まとめ／ダウンロード案内（CTA）

重要なのは制度準拠だけでなく、企業の実質的なセキュリティ強化を軸にすることです。自社の対策状況の評価を通して、制度への準拠度や同業他社との比較、優先順位を把握しましょう。

当社には、★3・★4いずれにも対応できる支援体制を整えています※。最初のステップである現状把握からご一緒し、その結果として、★3を先に狙うべきか、★4を狙うべきかを見極めたうえで、無理のない計画と実行をご支援します。

最後に、本ブログで触れられなかった詳細情報ならびに都築電気の支援サービスにつきましては、以下のリンクより資料をダウンロードのうえご確認ください。

★5の要求事項が公表された場合、そちらにも対応を検討しております。

ホワイトペーパー

情シスが最初にやるべき「現状把握」ーサプライチェーン強化に向けたセキュリティ対策評価制度（案）で求められる★3・★4とは？

一覧に戻る

お問い合わせ

TOP
BLOG
情シスが最初にやるべき「現状把握」ーサプライチェーン強化に向けたセキュリティ対策評価制度（案）で求められる★3・★4とは？

BLOG 都築電気ブログ

情シスが最初にやるべき「現状把握」ーサプライチェーン強化に向けたセキュリティ対策評価制度（案） で求められる★3・★4とは？

本制度の対象

評価レベルの概要

評価制度の考え方

都築電気の見解

★4を目指すことが常に最適とは限らない

まず「現状把握」から始めるべき理由

短期的目標として★3を目指すべき実態とは

短期的目標として★4を目指すべき実態とは

当社からのご提案：目標は「現状把握→見極め→計画」で定める

まとめ／ダウンロード案内（CTA）

情シスが最初にやるべき「現状把握」ーサプライチェーン強化に向けたセキュリティ対策評価制度（案）で求められる★3・★4とは？