2026年3月27日に公開されたSCS評価制度の「制度構築方針」に基づく徹底解説を「ES-Reports」にて公開しています。ぜひご確認ください。
本制度への対応について、「★3・★4のどちらの認定を取るべきか」「そもそも認定を取るべきなのかどうか」「可能な限り費用をかけずに対応できるか」といったご相談を多く頂いています。当社では、本制度に関するご説明や効率的な対応に関するご質問など、相談無料で受け付けていますので、「お問い合わせ」より、お気軽にご相談ください。

当社のSCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)コンサルティングのメリット

SCS評価制度における”セキュリティ専門家”に該当する「情報処理安全確保支援士」資格を保有するコンサルタントを担当に選任します。

★3取得対応コンサルティング価格40万円(税込)~、★4取得対応コンサルティング価格65万円(税込)~の設定で、業界最安水準を実現しています。

★3取得対応コンサルティングには、認定申請に必要となる「専門家の助言プロセス」を含みます。別途専門家に助言を依頼する必要はありません。

本コンサルティングにおいては、認定取得までをコンサルティング範囲とし、審査都合によるコンサルティング期間延伸については、追加費用が発生しない「原則ワンプライス制」を採用しています。万一、制度運用開始時期が延伸した場合でも安心です。

本コンサルティングにおける成果物であるコンサルタント側で作成した文書全ては、お客様にて編集可能な形式でご提供します。

認定取得にあたり、既存の情報セキュリティに関する規程や資料類を継続活用したいというご要望にも対応します。(当社ひな型文書を全面採用頂くことは必須としません)

サービス概要

  • SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)における★3取得対応コンサルティング
  • SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)における★4取得対応コンサルティング

(注)本コンサルティングサービスについて

本コンサルティングサービスは、2026年3月に経済産業省より発表された「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」に基づいてサービス設計を行っています。今後、2026年度中の公表が予定されているガイドブック等により、本コンサルティングサービスの内容に変更が生じる可能性があります。その場合でも、当社では変更点を柔軟に取り込み、制度運用開始までに認証取得に必要な要求事項・評価基準を充足頂くことをサービス提供の前提としております。

SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)とは

「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」は、製造業などにおいてサプライチェーンを構成する受注企業がサイバー攻撃を受けることで、サプライチェーン全体が影響を受けて、発注企業まで含めたサプライチェーン全体影響が及ぶような事態を避けるため、経済産業省の主導で2026年度中に開始される新しいセキュリティの認証制度となります。

この制度では、企業間取引における発注企業が受注企業に対して、受託業務の実施に必要な情報セキュリティの適切な段階(★3認定または★4認定)を発注要件として提示することが想定されています。すなわち、受注企業にとっては、発注企業が要求してくる情報セキュリティレベルを充足していることが取引条件になることが想定されますので、今後の取引継続や信頼性確保のためには本制度への対応が求められることとなります。

「★3認定」は”専門家確認付き自己評価”となっており、★3の要求事項・評価基準を充足した状態で、専門家の確認を受けたうえで、評価機関に申請し、文書確認の審査を経て認定されるものとなります。「★3認定」の取得には、サイバー攻撃に対する基礎的な組織的対策とシステム防御策を充足する必要があります。

「★4認定」は”第三者評価”となっており、★4の要求事項・評価基準を充足した状態で、評価機関に申請し、文書確認・実地審査・技術検証の各審査を経て認定されるものとなります。「★4認定」の取得には、サイバー攻撃に対して標準的に目指すべきセキュリティ対策を充足する必要があるとされています。

「★3認定」と「★4認定」の関係について、「★4認定」は「★3認定」を完全に包含した上位の位置づけとなっています。従って、「★3認定」と「★4認定」のどちらを取得すべきか判断できない場合、一旦「★3認定」を取得し、後日に「★4認定」を取得するとしても、手戻りなどの手間は発生しない仕組みとなっています。これにより、★4の要求事項・評価基準を充足しつつ、取得するのは「★3認定」にとどめておくなど、柔軟な選択が可能となっています。

★3・★4認定の取得方法

本制度における認定取得のための申請方法や認定に要する費用などは、詳細未発表となっています。これらについては、今後の発表により詳細が判明次第、本ページに掲載予定です。

認定を取得するためには、★3・★4それぞれの要求事項・評価基準を充足する必要があります。この要求事項・評価基準は、全部で7つの大分類で構成されており、セキュリティ対策のカテゴリとしてよく挙げられる「組織的」「人的」「物理的」「技術的」の4つのカテゴリを網羅しています。

従って、★3・★4のいずれの認定を取得する場合でも、ITシステムを対象としたセキュリティツールの導入だけでは要求事項・評価基準を充足できず、現状を把握するための記録作成や取引先との合意形成、従業員教育など組織全体での取り組みが必要となります。

コンサルティングスケジュール

2026年度中の制度運用開始が予定されていることから、早期の認定取得に向けては制度運用開始までに申請準備を完了しておくことが肝要となります。また、評価用ガイド公表が2026年度下期に予定されているため、要求事項・評価基準を充足するためのポリシー策定と運用開始が必然的に2026年度下期中となることから、通常業務の繁忙期と重複しない段取りも必要となります。

標準スケジュールのイメージ図

SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)コンサルティングの認定取得までのスケジュールについて、2026年度上期に開始した場合のイメージ図をご確認ください。(画像クリックで拡大表示)

SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)コンサルティングの標準スケジュール

コンサルティングは、Mtgと呼んでおります打ち合わせの中で、コンサルタントが用意する資料等に基づく説明と検討実施により進めていきます。
スケジュール以外の当社コンサルティングサービスの特長についても、ぜひご確認ください。

当社コンサルティングサービスの「特長」を見る

標準スケジュール及びMtgについて

標準スケジュールの設定においては、制度運用開始後に認定取得のための評価機関への申請が可能になる想定です。(コンサルティング開始後に、制度開始前の事前申請が可能になる場合は、お客様のご要望によりスケジュール見直しも可能です)

申請以降認定取得までのスケジュールについては未定となります。

本コンサルティングサービスでは、Mtg以外にも、お客様内部で発生した質疑への対応や不明点の確認実施などを目的とした個別打ち合わせが可能です。