セキュリティ対策評価制度が正式に公表されました

経済産業省から案として出されていたサプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（SCS評価制度の構築方針）が、正式に公表されました。

案の内容については先日投稿した記事にある程度まとめていますが、ひと言で説明すると企業のセキュリティ対策を可視化する制度で、★3は自己評価＋専門家確認、★4は第三者評価が必要です。

それから意見募集を行い、すり合わせた内容が今回の正式公表版です。注目した違いについてまとめます。

セキュリティ対策評価制度の対象範囲について

本制度は、サプライチェーンを構成する企業等のIT基盤を対象としており、クラウド環境で運用するものも含みます。

一方で、製造環境等の制御(OT)システムや委託元等に提供する製品等については対象外としています。

理由はサプライチェーン全体での共通化が難しいためであり、他の制度やガイドライン等に基づき対策を行うことを想定しているとのことです。

中小企業への支援については、お助け隊サービス（新類型）の創設が予定されていますが、今回の公表で下記２項目が追加されています。

「中小企業の情報セキュリティ対策ガイドライン」が改訂され、既に公開されています。

第2部実践編のSTEP3に、SCS評価制度の要求事項が盛り込まれています。

内容を確認したところ、OSを最新に保てているかやパウワードの設定ができているかといった一般的な内容や、ガイドラインや規程の制定など経営層による決議が必要なもの、バックアップや復旧体制といったシステム的な業務継続の手段といった内容でした。

どれも基本的な知識で対応が可能だと思います（徹底して実践するのは話が別ですが……）

中小企業向けにセキュリティ対策支援が可能な情報処理安全確保支援士を「中小企業向けサイバーセキュリティ対策支援者リスト」として公開しています。

組織内に専門家がいなくても相談して協力を仰ぐことが可能な体制をつくっています。今後はセキュリティ対策評価制度の評価が可能なリストを公開する予定とのことです。

要求事項は★３は26件、★４は43件あり、その具体的な実装例などをまとめた評価ガイドは2026年秋頃に公表するとのことです。

案の段階で2026年10月開始という空気感でしたが、正式公表では2026年度末（2027年3月頃）に申請受付開始と、少し後ろ倒しになっています。

準備期間が増えたと前向きに捉えたいですね。秋の評価ガイド公表から年度末の開始までの数ヶ月が、企業にとって勝負どころになりそうです。