サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）

「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」とは

サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）は、経済産業省が主導する、サプライチェーン全体のサイバーレジリエンス向上を目的とし、企業の対策状況を「星1〜星5」で格付けする公的制度です。

• 経済産業省の狙い

  大手企業を直接狙うのではなく、守りの手薄な取引先（サプライヤー）を狙うサプライチェーン攻撃が激増しています。経産省はこれを国家レベルの経済安全保障問題と捉え、全企業が共通の物差しでセキュリティを評価できる本制度を創設しました。

• 制度の概要

  脅威レベルに応じたセキュリティ対策を★3、★4、★5の3段階で可視化

  • 運用開始時期
    • 2026年度後半からの本格運用が目標
  • なぜ注目されているのか？
    • 今後の企業間取引における「入札条件」や「取引継続の必須条件」となることが予測されており、業績に影響を与える可能性が高いからです。

星3・星4の評価基準数と7つの大分類

SCS評価制度は、7つの大分類に分かれます。そして大分類は中分類に分けられ、中分類は要求事項に分かれ、要求事項はさらに詳細な評価基準が定められています。評価基準の数は★3では83、★4では★3の評価基準数を含めて157もの評価基準が設けられています。（2026年5月11日現在）

大分類と評価基準数（2026年5月11日時点）

SCS評価制度に大きく関わる「IDaaS」

「中分類 「大分類 4. 攻撃等の防御」の中でも「中分類 4-1.アイデンティティ管理、認証、アクセス制御」はSCS評価制度全体の中で最も要求事項が多い中分類になります。

「中分類 4-1.アイデンティティ管理、認証、アクセス制御」の要「ID管理と多要素認証」

最も評価基準の多い「中分類4-1.アイデンティティ管理、認証、アクセス制御」に対し、クラウドサービスの認証情報を一元管理できるIDaaSの機能が有効です。

【IDaaSがカバーする評価要件の例と要件を満たせるセキュリティ機能】

• 要求事項No. 4-1-3「認証の強度・実装方法の決定」

  • シングルサインオンと多要素認証（FIDO2/パスキー）：認証の強度・実装方法の決定に必要な「認証要素の必須化設定」をSaaSごとに指定できます。

• 要求事項No. 4-1-1「ユーザIDの管理手続」

  • IDライフサイクル管理：IDaaS機能による自動プロビジョニングで、退職者の削除漏れ（ゾンビアカウント）を防止。SCS評価制度でチェックされる「不要な権限の残存」を防ぎます。

• 4-4-3「ログの取得」

  • 一元的なログ管理：IDaaSを通じた認証ログとプロビジョニング履歴（誰が、いつ、どの権限を付与したか）を記録します。

SCS評価制度に対応するIDaaSの選定ポイント

海外のIDaaSは機能が過剰な場合や日本語サポート体制が十分でないことも多く、かつ安価なIDaaSは必要な機能（多要素認証）などがオプションとなっている場合があります。

• セキュリティ機能が充実しているか：SCS評価制度に対応することを目的にIDaaSを導入する場合は、多要素認証やアクセス制限といったセキュリティ機能が標準で備わっているIDaaSを検討するべきでしょう。
• サポート体制：日本企業のID管理・認証などの課題を熟知しており、現実に即した丁寧なサポートが可能なベンダーが望ましいでしょう。

関連資料・公的リソース

最新の規制基準を遵守し、適切な対策を講じるために、以下の経済産業省およびIPAの公式資料をご参照ください。

• IPA（独立行政法人情報処理推進機構）：サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）
• 経済産業省：「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）を公表しました
• PA（独立行政法人情報処理推進機構）：SECURITY ACTION 自己宣言ガイド★３・４取得の準備段階である★1・★2の基準となる、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度

「認証リスクの特定」を自動化（CloudGate 新機能）

CloudGate UNOは新機能 RAV（リスク・アセスメント・ビジュアライゼーション）により、認証セキュリティの可視化を実現します。（2026年度実装予定）