中小企業にも関係する新しい情報セキュリティの仕組み~

目次 [ close ]
  1. はじめに
  2. SCS評価制度とは?
  3. なぜこの制度が必要になったのか
    1. 事例イメージ
  4. 中小企業にとっての重要なポイント
    1. ① セキュリティ対策の確認を求められる
    2. ② セキュリティレベルが取引条件になる
  5. SCS評価制度の目的
    1. ① サプライチェーン全体の安全性を高める
    2. ② セキュリティ対策の「見える化」
    3. ③ 中小企業のセキュリティ対策を後押し
  6. 既存制度との関係(SECURITY ACTIONなど)
  7. 中小企業が今からできる対策
    1. ① 社内の情報セキュリティルールを作る
    2. ② 従業員教育を行う
    3. ③ セキュリティアクションの宣言
  8. まとめ

はじめに

近年、企業を狙ったサイバー攻撃は年々増えています。
ニュースでは大企業の被害が報道されることが多いですが、実際には中小企業も重要な標的になっています。

その理由の一つが「サプライチェーン攻撃」です。

大企業のシステムは強固なセキュリティで守られているため、攻撃者は
取引先や委託先の企業(中小企業)の中から、情報セキュリティ対策が脆弱な企業を突破口に侵入するケースが増えています。

こうした状況を受けて、経済産業省
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)
という新しい仕組みの整備を進めています。

この記事では、この制度の趣旨と、中小企業にとっての意味を分かりやすく解説します。

SCS評価制度とは?

SCS(サプライチェーン・セキュリティ)評価制度は、一言でいうと、

企業の情報セキュリティ対策を一定の基準で評価・可視化する制度

です。

近年急増しているサプライチェーンを狙ったサイバー攻撃に備え、中小企業が「自社に適切なセキュリティ対策」を迷わず実施し、その取り組みを取引先に正しく伝えるための新しい仕組みです。

簡単に言うと、

この会社は一定レベルのセキュリティ対策をしている

ということを取引先が確認できる仕組みです。

この制度では、企業のセキュリティ対策を評価し、
その結果をサプライチェーン(取引関係)の中で活用できるようにすることを目的としています。

なぜこの制度が必要になったのか

背景には、サプライチェーン攻撃の増加があります。
近年のDX推進により企業の経営や業務のデジタル化が進んでいる反面、攻撃者にとっても攻撃する対象や経路が増加し、攻撃の機会も増加していると言えます。

例えば次のようなケースが想定されます。

事例イメージ

大企業A社
 
ITベンダーB社
 
下請け企業C社(中小企業)

大企業A社のセキュリティ対策が強固だったとしても、C社のセキュリティ対策が弱いと、攻撃者はC社を突破し、C社を踏み台にしてB社 → A社へ侵入するということが起こります。

このようなことから、

セキュリティは「会社単体」ではなく「取引全体(サプライチェーン)」で守る必要がある

という考え方が広がっています。

中小企業にとっての重要なポイント

この制度は、大企業だけの話ではありません。

むしろ影響を受けるのは
取引先として関わる中小企業です。

今後、次のような場面が増える可能性があります。

セキュリティ対策の確認を求められる

取引先から

  • 情報セキュリティ対策はしていますか?
  • 社内ルールはありますか?
  • 従業員教育は行っていますか?

といった質問を受けるケースです。

セキュリティレベルが取引条件になる

将来的には

  • セキュリティ対策が弱い企業とは取引しない
  • 一定の評価制度を取得している企業を優先する

といった判断が行われる可能性があります。

これはすでに欧米では一般的になりつつあります。

SCS評価制度の目的

経済産業省がこの制度を進める目的は主に3つあります。

サプライチェーン全体の安全性を高める

前述したように、情報セキュリティは1社だけ対策しても意味はありません。

取引関係の中で
最低限のセキュリティレベルを共有する
ことが重要です。

セキュリティ対策の「見える化」

多くの中小企業では、

  • 何をすればよいか分からない
  • 自社のレベルが分からない

という課題があります。

評価制度を使うことで

「どこまで対策できているか」

客観的に示せるようになります。

中小企業のセキュリティ対策を後押し

中小企業では

  • IT担当者がいない
  • セキュリティの専門家がいない

というケースも少なくありません。

そこで、
段階的に取り組める評価制度として整備されています。

既存制度との関係(SECURITY ACTIONなど)

中小企業向けのセキュリティ制度としては、すでに

  • IPAの セキュリティアクション

があります。

情報処理推進機構(IPA)が推進している制度です。

SCS評価制度は、これらの既存の取り組みと連携しながら
より実務的な評価制度として整備される予定です。

つまり、

  • セキュリティアクション
  • 各種ガイドライン
  • SCS評価制度

などを組み合わせて、企業のセキュリティ対策を底上げする狙いがあります。

中小企業が今からできる対策

SCS評価制度が本格化する前に、次のような基本対策を行っておくことが重要です。

① 社内の情報セキュリティルールを作る

  • PCやUSBメモリなどの取扱いルール
  • パスワード管理ルール
  • データ持ち出し制限

② 従業員教育を行う

例えば

  • フィッシングメールへの対応
  • 不審な添付ファイルは開かない
  • パスワードの適切な管理

などの教育です。

③ セキュリティアクションの宣言

まずは情報セキュリティの基本的な取り組みであるSECURITY ACTION(セキュリティ対策自己宣言)」から始めてみるのが良いでしょう。

関連記事
「SECURITY ACTION」で始める中小企業の情報セキュリティ対策 ~ 国が推進する“自社の信頼を高める”第一歩 ~
はじめに:情報セキュリティは「経営リスク対策」 増加する中小企業へのサイバー攻撃 近年、中小企業でもサイバー攻撃や情報漏…
2025年11月21日 2025年11月21日

★一つ星 → ★★二つ星

と段階的に取り組むのがおすすめです。

まとめ

SCS評価制度は、単なるITの制度ではありません。

これは

「企業の信頼性」を示す新しい基準

とも言えます。

今後、企業間取引において

  • セキュリティ対策
  • 情報管理体制

は、ますます重要になります。

特に中小企業にとっては、

取引を守るための経営課題

として考える必要があるでしょう。

当事務所では、セキュリティアクションを活用した情報セキュリティのルール作りや教育等もサポートしていますので、ぜひお気軽にご相談ください。

    ⇩

結城行政書士事務所