セキュリティ対策評価制度とは?★3取得のポイントと開始時期を解説【2026年開始】
「セキュリティ対策評価制度はいつから始まるの?」「★3を取得しないと取引に影響するの?」2026年度末の開始を目指す「セキュリティ対策評価制度」を目前にし、このような疑問を持つ方は多いのではないでしょうか。
本制度は、企業のセキュリティ対策を★で可視化する新しい仕組みです。本記事では制度の全体像とともに、★3取得に向けた具体的なポイントを整理します。
このような方におすすめの記事です
- 「セキュリティ対策評価制度」の概要について知りたい
- 「セキュリティ対策評価制度」の事前準備をしておきたい
- ★3取得に向けたポイントを知りたい
▼こちらの記事も併せてご覧ください
目次[非表示]
「セキュリティ対策評価制度」の目的と背景
「セキュリティ対策評価制度(SCS評価制度※1)」は、サプライチェーン全体でサイバー攻撃リスクや情報漏洩リスクが深刻化する中、企業のセキュリティレベルを明示的に評価し、安全な取引環境を整えることを目的としています。
近年はサプライチェーンを狙った攻撃が急増しており、取引先や協力企業の一部に脆弱性があると、その影響が取引全体へ波及する危険があります。
こうした課題を踏まえ、経済産業省は企業の取り組み状況を可視化し、対策の水準が適切か判断できる目安として、「サプライチェーン強化に向けたセキュリティ対策評価制度(仮)」の検討を進めています。評価を共通言語にすることで、企業間のやり取りをより安全にしようという考え方です。
この制度の狙いは以下の通りです。
サプライチェーン起点の攻撃リスクを低減する
対策水準を★で可視化し、説明しやすくする
中小企業でも必要水準を明確にし、効率化する
取引先の信頼を確保し、競争力・企業価値を高める
※1 「サプライチェーン強化に向けたセキュリティ対策評価制度」の略称です。(2025年12月に経済産業省が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」より)
「セキュリティ対策評価制度」の内容
星(★)の数でセキュリティ対策の成熟度を示し、企業や取引先が客観的に対策状況を把握しやすくする仕組みが「セキュリティ対策評価制度」です。
本制度で設ける段階(★)は、★3〜★5の3段階が予定されています。なお★1・★2は、既存の「SECURITY ACTION」との連動が想定されています。
★3〜★5で対策の成熟度を段階表示
★3は専門家確認付き自己評価、★4・★5は第三者評価を想定
取得レベルは取引先へ提示できる形で運用予定
区分が明確になることで、取引時に「どの程度の対策ができているか」をひと目で理解しやすくなります。
特に★3以上は一定の安心材料と認知され、★4〜★5は高度な対策を持つ企業として国内外の信頼を得て、海外取引の後押しにもつながることが期待されます。
- ★1・★2:基本的な自己宣言レベル
- ★3〜★5:実効性と運用成熟度を伴う評価段階
★1・★2の位置づけ
本制度は★1〜★5の5段階で整理されていますが、実質的に新制度として本格運用が想定されているのは★3以上です。
★1・★2については、既存の「SECURITY ACTION(セキュリティアクション)」制度との連動が想定されており、自己宣言をベースとした取り組み段階と位置付けられています。
つまり、取引上の安心材料として重視されるのは、実質的には★3以上になると考えられます。
★3:最低限満たすべき基礎水準
★3は「最低限満たすべき基礎水準」と位置付けられ、一般的に発生しているサイバー脅威に対応できる状態であるかがチェックされます。
想定される例としては、以下のような業種や規模を問わず広く発生している攻撃です。
- マルウェア感染
- 不正アクセス
- 情報漏えい
- ランサムウェア被害
★3水準の要求事項および評価基準はこれらを軸に整理されています。重要なのは、これらを「導入しているか」だけでなく、「継続的に運用できているか」が確認される点です。
企業として最低限のリスク管理体制の構築
取引先に求める最低限のルール明確化
自社IT基盤や資産の現状把握
不正アクセスに対する基礎的な防御
ネットワーク上の基礎的な監視
インシデント発生に備えた対応手順の整備
インシデントから復旧するための対策の整備
参照:サプライチェーン強化に向けたセキュリティ対策評価制度 に関する制度構築方針(案)16ページ
★3評価の目安
83項目程度が想定され、★3は専門家確認付き自己評価方式が想定されています。
★4:対策の高度化と運用体制の充実
★4では、より高度で組織的な攻撃や、事業継続に影響を与えるリスクを想定した対策が求められます。例えば以下のようなケースに備えるため、防御だけでなく「対応力」や「管理体制」が評価の中心になります。
- 標的型攻撃
- 内部不正
- サプライチェーン経由の侵害
★4水準の要求事項および評価基準はこれらを軸に整理されています。技術対策と組織運用の両面が問われるため、単発の対策ではなく、継続的に改善できる仕組みづくりが重要です。
継続的改善に資するリスク管理体制の構築
取引先の管理・把握および役割・責任の明確化
脆弱性など最新状況の把握と反映
多層防御による侵入リスクの低減
迅速な異常の検知
インシデントからの復旧手順の整備
参照:サプライチェーン強化に向けたセキュリティ対策評価制度 に関する制度構築方針(案)16ページ
★4評価の目安
157項目程度が想定され、★4は第三者評価による認定が検討されています。
※なお、★4は★3の要求事項を包含する設計が想定されていますが、必ずしも★3の取得が★4取得の前提となるわけではありません。
★5:国内トップクラスの先進水準
★5は、未知の攻撃も含めた高度なサイバー攻撃を想定し、国際規格等に基づくマネジメントとベストプラクティスに基づく対策を実施する段階と整理されています。
特定業界や重要インフラなどを狙う高度な攻撃に備え、以下のような先進的な仕組みが必要になります。
- 継続的な監視体制
- 高度なログ管理
- 予兆検知や予防的対策
★5水準の要求事項および評価基準は、今後検討予定で、第三者評価を想定し議論が進められています。
「セキュリティ対策評価制度」はいつから開始される?
2025年12月に制度構築方針(案)が公表され、意見公募が開始されています。
今後、意見を踏まえて本年度中を目途に成案化し、令和8年度(2026年度)末頃の制度開始(★3・★4)を目指す予定です。
現時点で想定されている主なスケジュールは、以下の通りです。
- 2026年度上期(4〜9月頃):制度開始に向けた準備期間
- 2026年度末頃:★3・★4評価の正式運用開始見込み
- ★5:対策基準や評価スキームの詳細は、2026年度以降に具体化を検討
まずは★3・★4から先行して開始される予定で、運営基盤の整備や制度の普及・導入促進が段階的に進められる見通しです。★5については、より高度な基準となるため、開始後に詳細設計が進められる予定です。
なお、細かな日程は今後変更される可能性がありますが、制度開始の目標は2026年度末とされています。
制度導入によるメリット
信用力向上と取引先リスクの可視化
セキュリティ対策評価制度で高い評価を得ることは、企業が継続的にリスク管理へ取り組んでいる証になります。取引先は評価結果を手がかりにサプライチェーン全体の安全度を見極め、安心して契約できるか判断しやすくなります。
可視化が進むことで無用なトラブルや不信感の回避が期待でき、企業側も弱点を早期に見直して評価向上へ動きやすくなります。
ビジネスチャンス拡大と中小企業支援
セキュリティレベルが公的に示されることで、新規プロジェクトや海外取引へ参入しやすくなります。大企業が求める基準を満たす証明になれば、下請けやパートナーとして選ばれる機会が増えるでしょう。
中小企業にとっても、評価が交渉材料となり取引拡大の後押しになります。
国際規格との整合性と海外取引への安心感
本制度は、ISO27001などの国際規格と整合する方向で検討が進められています。海外取引で求められる基準と大きく乖離しにくく、国際的な競争力の向上につながります。
さらにNIST SP800-171など海外で広く参照されるガイドラインを意識した要件設定も見込まれ、多国籍なサプライチェーンでも安全性を示しやすくなります。
国内外で通用する評価を得ることが、海外顧客の信用獲得の武器になります。
認定(★取得)は必須なのか?
本制度における認定(★の取得)は、基本的に任意とされています。
ただし、制度は発注元企業が取引先に対して一定の★取得を求める形で活用されることが想定されており、取得状況によっては取引条件や選定に影響が出る場合があります。
取得した段階(★)は対外的に示せる形で運用されることが想定されており、企業の信用や今後の取引環境にも影響を与える可能性があります。
★3取得に向けて今すぐ始めるべきこと
制度を正しく理解する
まずは公式情報やガイドラインを確認し、評価項目と求められる水準を把握します。
ISMSやISO27001との違いも整理し、補強が必要な点を明確にします。必要に応じて専門家へ相談し、必要書類や手順を早めに洗い出すとスムーズです。制度は更新され得るため、現時点の情報で社内共有を始めます。
自社の対策状況を把握する
次に、現状の対策を棚卸しして可視化します。
- アクセス管理
- ウイルス対策
- 脆弱性診断や更新管理
これらを点検し、★3に足りない点を洗い出します。全体を一度にやると負担が大きいので、業務・システムごとのリスクを見ながら進めます。特に外部連携や情報提供の箇所は重点確認します。
対策の進め方とスケジュールを決める
現状が見えたら実行計画を作ります。短期でできる対策と、中長期で継続改善が必要な対策を分けてスケジュール化します。
業務を止めない前提で優先度の高い領域から着手し、必要なら取引先とも状況を共有します。提出書類や審査期間も見込んで余裕を持たせ、迷ったら専門家で軌道修正します。
★3対応のカギは「継続運用できる体制づくり」
★3取得に向けて重要なのは、対策項目を「導入すること」ではなく、それを継続的に運用できる体制を持つことです。
実際、★3で求められるのは次のような内容です。
- アクセス権限の適切な管理
- ウイルス対策ソフトの運用
- 定期的なパッチ適用
- バックアップの実施と確認
これらは一度設定すれば終わりではなく、「毎月・毎日」回し続ける必要があるものになりますが、中小企業などではこのような課題に直面する可能性があります。
- 情シス担当が兼務で手が回らない
- 問い合わせ対応に追われ、監視や確認が後回しになる
- 担当者依存で属人化している
- 記録やレポートが十分に残せない
制度が本格運用されれば、「対策をしているか」だけでなく「運用できているか」が問われます。そこで有効なのが、日常的なICT運用を外部に切り出し、仕組みとして回す方法です。
CHDが支える「継続運用」の仕組み
ABKSSの包括的ヘルプデスクサービス(CHD)は、ITの相談窓口を一本化し、ITストレスのない「業務に専念できる環境づくり」を包括的に支援するサービスです。日々の問い合わせ対応から運用の見直し、社内教育まで、必要な運用業務を一体でサポートします。
対策を「導入して終わり」にせず、日常の運用として定着させることができるため、限られた人員でも継続的に回せる体制づくりに役立ちます。
結果として、セキュリティ対策評価制度への対応においても有効な選択肢となります。
① 社内お問い合わせ窓口を一本化
ITに関する問い合わせ窓口を一本化し、トラブル発生時の切り分け・状況確認・各ベンダーとの連携までを包括的に対応します。インシデント発生時にも迷わず動ける体制を整えることで、初動対応の安定化とリスク最小化につなげます。
② モニタリングとバックアップで未然防止
端末や機器の状態を常時モニタリングし、異常や兆候を早期に検知します。問題が顕在化する前に対処できる体制を整えることで、被害の拡大を防ぎます。
また、バックアップ/復旧支援(Acronis)を組み合わせることで、「データが守られている」だけでなく「確実に戻せる状態」を維持し、事業継続性を高めます。
③ レポートと定例会で「証跡」を残す
日々の対応履歴やモニタリング結果を可視化し、定例レポートとして共有します。課題を明確にした上で改善策を提案し、運用を継続的に向上させます。対策が実際に運用されていることを示す「証跡」としても活用でき、制度審査時の説明材料として役立ちます。
④ ITリテラシー向上支援で人的リスクを低減
セキュリティ事故は人的ミスに起因することが多くあります。CHDでは、従業員向けのITリテラシー向上支援を提供し、情報漏えいやマルウェア感染、フィッシング被害などのリスク低減を図れます。
講座はセキュリティ分野に限らず、CAD・BIMに加えてAIやDX関連まで含む60種類以上のラインアップを用意しており、現場で役立つスキルの定着を支援します。教育を仕組み化することで、組織全体のセキュリティ意識の底上げを目指せます。
★3取得は「体制づくり」から始まる
セキュリティ対策評価制度は、一時的なプロジェクトではありません。日々の運用を安定して回せる体制こそが評価の土台になります。
また、★3の取得は義務ではないものの、取得していないことで取引条件や選定に影響が出たり、取引先から追加の説明・確認を求められたりする可能性もあります。
だからこそ、「何から手を付けるべきか」「自社だけで回し切れるか」を早めに整理しておくことが重要です。
ABKSSでは、現状の課題整理から運用設計、CHDによる継続支援までまとめてご相談いただけます。まずは現状を整理し、★3に向けた優先順位と進め方を一緒に検討していきましょう。
おわりに
セキュリティ対策評価制度が新たな基準になりつつある中、★3以上を目指すことは信頼の獲得と事業拡大につながります。評価で対策状況を示せれば、取引先や顧客の不安を減らしやすくなります。
中小企業には負担もありますが、★3を入口に★4・★5へ段階的に高めることで競争力を強化できます。早めに情報収集と体制整備を進め、制度開始に備えることが大切です。
こちらの記事もおすすめです
