サプライチェーン強化に向けたセキュリティ対策評価制度 対応サービス

サプライチェーン強化に向けたセキュリティ対策評価制度への対応はお任せください

取引先からいつ評価を求められても説明できる状態へ。専任者がいなくても、自社で要求事項を運用できる体制を支援します。

相談を申し込む(無料)なぜ今対応が必要なのか

About

SCS評価制度とは

SCS評価制度とは、経済産業省が発布した「サプライチェーン強化に向けたセキュリティ対策評価制度」のことです。

なぜ作られたのか

近年のサイバー攻撃では、大企業そのものではなく、セキュリティ対策が比較的弱い関連会社や委託先を経由して侵入するケースが増加しています。

実際に起きた被害事例

事例①

総合病院がランサムウェア感染、電子カルテが一時使用不能に

大阪府の総合病院がランサムウェアに感染。攻撃者は給食委託事業者のVPN機器の脆弱性を悪用して侵入し、共通化されていた認証情報を窃取して基幹システム全体へ侵入しました。ウイルス対策ソフトを無効化したうえでランサムウェアを展開し、電子カルテや医事会計など主要システムが暗号化され、一時使用不能となりました。

事例②

サプライヤへの攻撃で、メーカーの工場が全停止

大手自動車メーカーの取引先部品サプライヤがサイバー攻撃を受け、部品供給が停止。完成車メーカーは国内すべての工場の稼働停止を余儀なくされ、グループの自動車メーカーでも複数の工場が製造停止に追い込まれるなど、甚大な損害が生じたと言われています。

本制度において設けるセキュリティ対策の段階

セキュリティ対策の段階を★3・★4(★5については今後検討)に区分し、★3の要求事項・評価基準を基礎として、★4ではより段階的に広い範囲や対策を含む要求事項・評価基準に基づき、自己評価(専門家の確認を経たもの)や第三者評価機関による評価を行います。

本制度において設けるセキュリティ対策の段階(★3・★4・★5)
出典: サプライチェーン強化に向けたセキュリティ対策評価制度

Why now

なぜ今、対応が必要なのか

期限・対象企業・資格の3つの観点から、早期着手が重要な理由をご説明します。

期限

2026年度末までの対応が求められています

サプライチェーンセキュリティ評価制度は、経済産業省を中心に整備が進んでいます。今後は評価制度への対応が
取引条件となる可能性があります。

早めの対応がポイント

  • 規定整備
  • 評価制度フォーマット整備
  • 評価体制構築

対応には一定の期間(4ヶ月目安)が必要です。期末が近づくほど支援需要の増加も予想されるため、早期着手が重要です。

対象

ITサービス事業者でなくても対象となり得ます

「セキュリティサービスを提供していないから関係ない」と考える企業は少なくありません。しかし取引先の業務への関与度合いによって、幅広い業種が評価対象となります。

対象となる業種

  • ソフトウェア販売会社
  • 保守運用・人材サービス事業者
  • 製造業・商社・物流事業者

重要なのは「自社が何を提供しているか」ではなく「取引先のどの業務に関与しているか」

資格

資格保有者のレビューが必須

CISSP・情報処理安全確保支援士などの資格保有者のレビューが必要となります。評価制度を理解し、必要な証跡を管理、改善できる人材を早めに確保することが重要です。

  • 評価制度に対応できる人材
  • 必要な証跡の管理とレビュー
  • 継続的な改善

セキュリティ専任者がいない、担当者が1名・兼務という企業でも運用できる体制づくりが可能です。また、有資格者がいない場合には、弊社専門スタッフが評価制度の対応を行います。

Service

当社の支援内容

評価制度を理解し、証跡を管理し、継続的に改善できる「仕組み」を一緒に整えます。

評価手順の整備

自社の状況に合わせた評価の進め方を手順化し、誰が担当しても迷わず実施できる状態をつくります。

チェックシート

評価項目をチェックシート化し、抜け漏れなく現状把握・自己評価ができるようにします。

SCS規格フォーマットの整備

取引先から求められた際にすぐ提示できるよう、必要な書類作成の仕組みを整えます。

支援スケジュール(4ヶ月の例)

現状把握から内部レビューまで、段階的に内製化を進めます。

1ヶ月目
2ヶ月目
3ヶ月目
4ヶ月目
お客様の業務理解
STEP 1
評価手順・マニュアル整備
STEP 2
従業員教育
STEP 3
内部レビュー・評価機関の審査
STEP 4

Pricing

料金表

評価制度ランク(★3・★4)に応じた料金の目安です。

評価制度ランクとは?
★3

要求事項・評価基準の基礎レベル

40万円~

※社内のセキュリティ構築度合いにより変動します

★4

より広い範囲・対策を含む段階的なレベル

70万円〜

申込企業多数の場合、お受けしかねる可能性がございます。達成時期が定まっている場合には予約も承っております。

Misconceptions

よくある誤解

うちは対象外だと思う

取引先から突然評価を求められるケースがあります。

ISMS認証があるから問題ない

ISMSと評価制度では確認されるポイントが異なります。

資格者がいないから対応できない

評価制度への対応自体に資格は必須ではありません。

評価はコンサルに依頼すればよい

将来的な継続運用を考えると内製化が重要です。

Our goal

当社が目指すゴール

評価制度への対応そのものではなく、「取引先からいつ評価を求められても説明できる状態」を実現します。

評価基準を理解している
必要な証跡を管理している
改善活動を継続している
社内で評価を実施できる

この状態を構築することが、サプライチェーン強化に向けたセキュリティ対策評価制度への効果的な対応となります。

まずは現状を整理することから

「自社は対象になるのか」「何から始めればよいのか」。30分程度のヒアリングで、現状と取るべき第一歩を一緒に整理します。

相談を申し込む(無料)