本記事の内容は2026年4月28日時点で公開されている情報に基づきます。SCS評価制度をはじめとする各制度の詳細は、今後変更される可能性があります。最新の情報は、経済産業省・IPA・内閣官房(国家サイバー統括室)の公式ウェブサイトでご確認ください。なお、SCS評価制度は任意の制度であり、本記事の趣旨は特定の製品・サービスの導入が必須であると主張するものではありません。
この記事では、2026年10月施行の「サイバー対処能力強化法」と、これと連動する「SCS評価制度」(2026年度末頃運用開始)について、企業のセキュリティ人材育成担当者向けに分かりやすくお伝えします。★3(※)取得に必要な2つの役割(セキュリティ専門家と作業従事者)の概要、それらの人材を社内で育成しておく意義や、対応する当社の研修コースについてご紹介します。
※SCS評価制度では、会社のセキュリティ対策レベルが「★1〜★5」の5段階で見える化されます。なかでも ★3 は「すべてのサプライチェーン企業が最低限実装すべき対策」と位置づけられており、特に中小・中堅企業においては、最初に目指すべき目標となるレベルです。
お伝えしたい一番のポイント
それは、社内にセキュリティ専門家を数名でも育てておくと、選択肢が広がるということです。★3取得には専門家の確認・署名が求められ、その有効期間は1年(★4は3年)。再評価のたびに外部に依頼する方法ももちろんありますが、自社のシステムや業務フローを理解した社内人材が担える体制があれば、確認作業がスムーズに進みやすくなる場面が多いと考えられます。専門家を社内に置くことで、関係者全員のセキュリティ意識の底上げにもつながります。「うちの規模で専門家育成は難しい」と感じる方もいるかもしれませんが、まずは数名からで構いません。そのスタートが、今後の取引先要請に慌てず応えられる体制づくりにつながります。
突然ですが、こんな会話が聞こえてくる場面を想像してみてください。
取引先:「サプライチェーン全体のセキュリティを高めたいので、SCS評価制度で ★3 取得を一緒に検討してもらえませんか。場合によっては ★4 もご相談したいのですが」
あなた:「えっと…SCSというのは何でしょうか?」
SCS評価制度は国が公式に進めている新しい仕組みのため、今後、上記のような相談を取引先から受ける可能性もあります。この記事では、SCS評価制度の仕組みと、その中で求められる人材育成について、できるだけ平易にお伝えします。
ニュースで「大企業がサイバー攻撃を受けた」と聞くと、「ウチは中小企業だから無関係だ」と考える方もいるかもしれません。しかし実は、攻撃の入り口は大企業ではなく、取引先である中小企業であることが少なくないのです。
攻撃者の手口はこうです。
大企業に直接侵入するのは難しい
だから、まず取引先の中小企業に侵入する
そこを踏み台にして、本命の大企業のシステムに入り込む
これがいわゆる「サプライチェーン攻撃(取引先のつながりを狙った攻撃)」です。
IPA(情報処理推進機構)が2024年度に実施した中小企業実態調査では、サイバー攻撃の被害に遭った中小企業のうち、約7割が「取引先にまで影響が及んだ」と回答しています(いわゆる「サイバードミノ」)。
出典:IPA「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書(速報版はこちら)
こうした状況を受けて、国は2つの大きな動きを進めています。
正式名称は「重要電子計算機に対する不正な行為による被害の防止に関する法律」(令和7年法律第42号)。電気・ガス・電気通信・金融・水道・鉄道など、生活の基盤となる15分野の基幹インフラ事業者を主な対象に、重要機器の導入届出やインシデント報告などを義務づけ、政府による能動的サイバー防御の枠組みも整備する法律です。
正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」。基幹インフラ事業者だけが対策をしても、その取引先が脆弱だと意味がない、という発想のもと、取引先のセキュリティレベルを「★」で見える化する仕組みです。
経済産業省と内閣官房の国家サイバー統括室(NCO)(旧NISC、2025年7月1日改組)が監督し、IPAが運営します。「制度構築方針」が2026年3月27日に最終公表されました。
つまり今後は、「取引先の会社のセキュリティレベルがどのくらいなのか」が、★の数でひと目でわかるようになる可能性があります。
なお、動き①は法律上の義務、動き②は任意の制度です。両者は「サプライチェーン全体の安全」という方向性を同じくしますが、法的な性格は異なります。SCS評価制度の位置づけについては、次章であらためて整理します。
SCS評価制度は発注者と受注者が任意で対話するための仕組みとして設計されています。評価がないことだけを理由に商取引が規制されたり、特定のセキュリティ対策製品の導入が強制されたりするものではない点は、経産省・内閣官房NCOから注意喚起も出ています(2026年4月27日)。なお、サプライチェーン全体の安全という制度の趣旨に照らせば、発注者から★取得について相談を受ける場面が出てくる可能性もあります。
会社のセキュリティ対策レベルが、★1から★5までで評価されます。
|
段階 |
位置づけ |
運用 |
|
★1・★2 |
既存の「SECURITY ACTION」制度(自己宣言型) |
既存制度が引き続き運用 |
|
★3 |
全てのサプライチェーン企業が最低限実装すべき対策 |
2026年度末頃開始予定 |
|
★4 |
サプライチェーン企業が標準的に目指すべき対策 |
2026年度末頃開始予定 |
|
★5 |
より高度なサイバー攻撃への対応 |
2026年度以降に具体化検討 |
出典:IPA「SCS評価制度の詳細情報」、経済産業省「制度構築方針」(2026年3月27日)
新しく始まるのは★3〜★5です。中堅中小規模の企業の多くは、まずは ★3 が現実的な目安となるでしょう。さらに、基幹インフラ事業者と直接取引している場合や、重要な情報を預かる立場にある場合は、より高い水準である ★4 の取得を視野に入れることも選択肢の一つとなります。
要求事項は、米国国立標準技術研究所(NIST)が定める「サイバーセキュリティフレームワーク(CSF)」の6分類(統治/識別/防御/検知/対応/復旧)に「取引先管理」を加えた7分類で構成されています。
具体的には、IT資産の把握、アクセス管理(多要素認証など)、バックアップ、マルウェア対策、インシデント発生時の対応手順、委託先の管理など、いわゆる「セキュリティ対策の基本」が網羅されています。
ここから本題です。「★3」は通称「専門家確認付き自己評価」と呼ばれます。「自己評価」と聞くと「自分で書いて自分でハンコを押せばいい」と思われがちですが、実際にはそうではありません。★3取得にあたっては、社内外のセキュリティ専門家による確認と署名を求める設計とされています(「制度構築方針」)。
★3取得までの4ステップ
|
ステップ |
内容 |
担当 |
|
① |
★3要求事項・評価基準に基づき、自己評価を記入する |
自社 |
|
② |
セキュリティ専門家が記入内容を確認、必要に応じて助言・修正、最後に署名する |
セキュリティ専門家 |
|
③ |
経営層が「自己適合宣誓」を行い、専門家の署名入り評価結果をIPA事務局に提出する |
経営層+自社 |
|
④ |
IPA事務局が確認し、問題がなければ台帳に登録・公開される |
IPA事務局 |
「専門家確認」とは具体的にどんな作業なのか、現時点で公開されている情報をもとに解説します。以下は、2026年4月時点の公開情報から推測した確認方法となります。
専門家は、自社が記入した自己評価シートと、その裏付けとなる書類(社内規程、運用記録、ログ、設定画面のスクリーンショットなど)を確認します。
たとえば、評価項目の「OSやソフトウェアを最新の状態に保っている」に「はい」と回答した場合、専門家は
どんなルールで運用しているか?(規程はあるか?)
実際に運用されている証拠はあるか?(更新履歴、ログなど)
抜け漏れの仕組みはあるか?
を確認します。「やっていることを書く」だけでなく、「やっていることを証明する」必要があります。
確認の結果、書き方が不適切だったり、対策が不十分だったりした場合、専門家は助言を行います。そのうえで、自己評価の内容を修正することもあります。
助言の例
「この書き方では曖昧なので、こう書き直しましょう」
「この対策は、規程はあるが運用記録がないので、エビデンスを揃えましょう」
「この項目は対策が不足しているので、補強が必要です」
すべての確認・修正が終わり、「内容に問題なし」と判断したら、専門家は最終的な署名を行います。この署名のない申請書は受け付けてもらえません。
たとえるなら「車検の検査員」のような役割と整理するとイメージしやすいかもしれません。自分で「ちゃんと整備した」と思っていても、第三者の検査員にチェックしてもらう過程があることで、走行可能と確認される。SCS評価制度の「専門家確認」も、第三者の目を入れて確認するという点で似た発想で設計されている、と捉えるとわかりやすいでしょう。
ここからが、セキュリティ人材育成担当者にとって最も重要な話です。
経済産業省・NCO「制度構築方針」(2026年3月)によれば、セキュリティ専門家になるには、次の3つをすべて満たす必要があります。
力量の保持:IT・セキュリティの高度な知見(ITSS* レベル4以上、又はそれに相当する力量)を持っていること
* IT Skill Standard:経済産業省・IPAが定めるITエンジニアのスキルレベル基準
力量の維持:知識を継続的に更新していること
つまり「資格を持っているだけ」では足りません。資格に加えて、制度指定の研修受講も必要です。
「制度構築方針」は、上記「力量の保持/維持」要件を満たすセキュリティ関連資格として、以下の6つを明示的に設定しています。SCS評価制度上、現時点で公的に確定しているのはこの6資格です。
情報処理安全確保支援士試験(通称:登録セキスぺ/IPA・国家資格)
CISSP(ISC2/公認情報システムセキュリティ専門家)
CISM(ISACA/公認情報セキュリティマネージャー)
CISA(ISACA/公認情報システム監査人)
ISO/IEC 27001 主任審査員
なお、ITSS本体(IPA管理の公式スキル標準)で「レベル4」と直接対応付けられているのは情報処理安全確保支援士のみで、他の5資格は「ITSSレベル4に相当する力量を有する」位置づけとされています(「制度構築方針」)。各資格の力量維持要件(更新講習、CPEポイント、CPD実績の提出など)は資格ごとに異なりますので、自社で育成・取得を進める際はあわせてご確認ください。
※上記6資格以外の保有者がセキュリティ専門家として認められるかは、IPAから今後公表される運用詳細で確定する見込みです。
セキュリティ専門家は社内に置くことも、社外に依頼することも認められています。社外に依頼する場合は、IPAが運用する「中小企業向けサイバーセキュリティ対策支援者リスト」を活用できます。
ただし、毎回外部に依頼すると費用も時間もかかります。継続的に対応するなら、社内で専門家を育てておく価値は大きいでしょう。
実は制度には、もう一つ重要な役割が用意されています。それが「作業従事者」です。
「制度構築方針」(2026年3月)にはこう書かれています。
セキュリティ専門家による管理のもとで別に要員に確認等の作業を行わせる場合、当該作業の従事者(作業従事者)には制度が定める研修の受講を求める。
つまり、セキュリティ専門家がすべての確認作業を一人で行わなくてもよく、その監督下で実際の作業を担う「作業従事者」を別に置くことができるのです。
|
項目 |
セキュリティ専門家 |
作業従事者 |
|
資格(ITSSレベル4以上に相当) |
必要 |
不要 |
|
制度指定研修の受講 |
必要 |
必要 |
|
主な役割 |
確認作業の統括・最終署名 |
専門家の監督下で実作業を担当 |
この仕組みを使えば、社内に専門家を置いたうえで、その下に作業従事者を複数名配置することで、★3取得作業を効率的に進められます。
ただし、作業従事者は専門家と密に連携して作業します。専門家との意思疎通がスムーズに行えることが大前提です。「専門家が言っている用語が理解できない」「指示の意味がわからない」という状態では、作業はうまく回りません。
そのため、作業従事者にも「セキュリティの基礎知識」を備えていただくことが、実務上望ましいと考えられます。
ここまで読まれて、
「うちは規模も小さいし、毎回外部に頼めばいいのでは?」
と思った方もいらっしゃるかもしれません。
外部依頼は十分有力な選択肢の一つです。中小企業向けには「サイバーセキュリティお助け隊サービス(新類型)」が、SCS評価制度の運用開始(2026年度末頃)に合わせて整う予定とされています(既存のお助け隊サービス制度はIPAが運営しています)。
一方で、社内に専門家を育てておくことにも、検討に値する観点がいくつかあります。
★3の有効期間は1年、★4は3年とされています(IPA「SCS評価制度の詳細情報」)。長期的に複数回の評価更新を見込む場合、毎回外部に依頼するか、社内で対応できる体制を持つかは、運用コストの観点でも比較する余地があります。
自社のシステム構成、業務フロー、過去のインシデント履歴を共有している人が確認作業に関わると、状況の把握や判断がスムーズに進みやすい面があります。
専門家を社内で育てる過程では、関係者のセキュリティリテラシーが向上していくことも期待できます。これは取引先要請への対応にとどまらず、自社の防御力という観点からも意味のある副次効果と言えます。
「★3取得は中堅中小企業にとってハードルが高いのでは?」と感じられた方もいらっしゃるかもしれませんが、ご安心ください。
経済産業省と公正取引委員会は、2025年12月26日に発注側企業(大企業)が取引先(中堅中小企業)にSCS評価制度に基づく対策を要請する場合の想定事例及び解説を公表しています。そこでは、セキュリティ対策に要した費用は価格交渉の対象となること、発注側企業は価格交渉に積極的に応じる姿勢を示すべきであることが明記されています。
要請に合理的な必要性がないのに対策を強制するような場合は、独占禁止法や中小受託取引適正化法(取適法)上の問題となり得る旨も同文書に明記されており、価格交渉等で困った際の公的相談窓口も整備されています。詳細は以下の公式情報をご参照ください。
つまり、政府は制度の運用にあたって中小・中堅企業を一方的に追い詰めるのではなく、発注元との対話と協力のもとで進められる仕組みを整えているのです。
ただし、この仕組みが機能するには、自社が「対策に何が必要で、どの程度の対応が求められるのか」を理解し、説明できる体制を持っていることが前提になります。価格交渉の場でも、対策の中身を理解した社内人材がいれば、より実りある対話が可能になります。だからこそ、社内での人材育成が引き続き重要なのです。
ここまで「★3取得には専門家が必要」「専門家には資格と研修の両方が必要」「作業従事者にも基礎知識が必要」というお話をしてきました。
当社では、計画的な人材育成にお役立ていただける研修コースをご用意しています。
もし、「どの資格が適しているか分からない」という方には、貴社の状況に合わせた選定もご相談いただけます。
「制度構築方針」がセキュリティ専門家の資格として明示している6資格のうち、当社では以下の取得支援コースをご提供しています。
情報セキュリティスペシャリストコース ~ 『情報処理安全確保支援士試験シラバス追補版(午前II)Ver.4.0』対応~
★3 の確認・署名は専門家資格保有者の役割ですが、その下で実作業を担う「作業従事者」には資格は不要で、制度指定の研修受講のみが要件となります。専門家とスムーズに連携するための基礎知識づくりや、資格取得を目指す方の前段としてもご活用いただけます。
情報セキュリティ対策 技術概要編 ~セキュリティを支える基礎技術~
CCT (Certified Cybersecurity Technician) 【物理テキスト付】
研修の実施だけでなく、担当者の方の負担になりやすい研修の運営業務もまとめてお引き受けします。人事・育成担当の皆さまは育成計画や研修企画など本来のお仕事に集中いただけます。
トレノケート研修事務局サービス
SCS評価制度の運用開始は2026年度末頃が見込まれています。社内にセキュリティ専門家や作業従事者を育てておけるかどうかは、取引先から★取得について相談を受けたときの対応の幅にも関わってくる論点だと考えられます。
政府も中小・中堅企業の負担に配慮した仕組みを整えており、その仕組みを活かすうえでも、対策の中身を理解した社内人材を持っておくことには一定の意味があります。社内育成と外部依頼のどちらが適しているかは、企業ごとの規模・取引構造・既存のセキュリティ体制によって異なります。
トレノケートでは、こうした検討材料の一つとして、資格取得コースとセキュリティ基礎コースをご用意しています。育成計画の検討や研修コースについて、お気軽にお問い合わせください。
「重要電子計算機に対する不正な行為による被害の防止に関する法律」(令和7年法律第42号、2026年10月1日施行)
「同法律の施行に伴う関係法律の整備等に関する法律」(令和7年法律第43号)