公開日:2026年2月17日
ISO27001(ISMS)の認証取得もご検討中ですか?
東京スタンダードでは、中小企業様が取り組みやすいISO27001認証取得支援ツールや、ISMS審査を月額¥17,000(税抜)~ご提供しています。セキュリティ対策の向上にお役立てください!
╲審査の特徴や料金についてご紹介しています╱
この記事は16分で読了することができます。
2026年度下期、経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度」がスタートします。
この制度の誕生の背景には、深刻化するサプライチェーン攻撃、取引先のセキュリティレベルを外部から判断することの難しさ、そして受注企業が複数の発注元から異なるセキュリティ要求(独自チェックシート、ISMS、Pマークなど)への対応に追われている現状があります。
新制度は、サプライチェーン全体のセキュリティ強化を実現することを目指しており、ISMSやPマークに並ぶ、あるいはそれらに代わる新たな取引要件となる可能性があるのです。
本記事では、2026年度に新設される★3〜★5の詳細と、ISMS(ISO27001)を取得済みの企業が知っておくべき「ISMSとの関係」について、ISO認証機関である東京スタンダードの視点から徹底解説します。
この記事でわかること
経済産業省が進めるセキュリティ対策評価制度/SCS評価制度(正式名称:「サプライチェーン強化に向けたセキュリティ対策評価制度」)とは、企業のサイバーセキュリティ対策レベルを共通の基準で評価・可視化する仕組みです。
サプライチェーンとは?
サプライチェーンとは、製品やサービスが最終的な顧客に届くまでの、原材料調達から製造、流通に至る一連の企業間取引の連鎖を指します。近年、取引先企業へのサイバー攻撃を足がかりに、最終的な標的企業へ侵入する「サプライチェーン攻撃」が増加しており、企業単体だけでなくサプライチェーン全体でのセキュリティ対策が求められています。
2025年4月の中間とりまとめ以降、実証事業を通じた制度の具体化が進められています。制度運用開始に向けた今後の予定は以下のとおりです。
2025年12月26日、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」が公表されました。この方針案は実証事業の成果を踏まえ、運用体制や評価基準などの具体的な制度設計を示したものです。本制度は検討フェーズから実施準備フェーズへと移行しています。
2026年2月頃に方針が確定すると、評価機関の指定手続きや運用システムの構築など、制度開始に向けた準備が本格化していきます。
本制度では、企業のセキュリティ対策の成熟度を★3(三つ星)から★5(五つ星)の星で評価します。
セキュリティ対策評価制度は★3(三つ星)〜★5(五つ星)の3段階で構成されていますが、★1(一つ星)と★2(二つ星)は、既にIPA(情報処理推進機構)が運営する「SECURITY ACTION(セキュリティアクション)」という制度で位置づけられています。
IPAの「情報セキュリティ5か条」に取り組むことを自己宣言
「5分でできる!情報セキュリティ自社診断」で状況把握+情報セキュリティ基本方針を策定・公開
これらは比較的容易に取り組める「自己宣言」のレベルです。宣言すると、SECURITY ACTIONロゴマークを使用でき、取引先や顧客に対して「セキュリティに取り組んでいる」ことをアピールできます。
★1/★2の詳しい取得方法については、以下の記事をご参照ください。
IPAのSECURITY ACTION(セキュリティアクション)の一つ星・二つ星の違い、宣言方法、補助金での活用、ISO27001との比較まで図解で徹底解説。中小企業が無料で始められる情報セキュリティ対策の第一歩を詳しくご紹介します。
経済産業省が2026年度下期に新たに運用を開始するのは、★3(三つ星)、★4(四つ星)、★5(五つ星)の3段階です。本制度は、サプライチェーンを構成する企業のIT基盤(メールサーバ、Webサーバ、認証基盤など)を評価対象とします。
セキュリティ対策評価制度★3(三つ星)〜★5(五つ星)の基準
|
★★★
★3(三つ星) Basic
|
★★★★
★4(四つ星) Standard
|
★★★★★
★5(五つ星) Advanced
|
|
|---|---|---|---|
| 基本的な考え方 | すべてのサプライチェーン企業が 最低限実装すべきセキュリティ対策 |
サプライチェーン企業が 標準的に目指すべきセキュリティ対策 |
サプライチェーン企業が 到達点として目指すべきセキュリティ対策 |
| 想定する脅威 | 一般的なサイバー攻撃 (既知の脆弱性を悪用) |
サプライチェーン全体への攻撃 (供給停止・情報漏洩入り) |
高度・未知の攻撃 (APT攻撃・ゼロデイ攻撃) |
| 対策 | 基礎的な組織的対策と システム防御策を中心に実施 |
組織ガバナンス/取引先管理/システム防御・検知/インシデント対応等 包括的な対策を実施 |
リスクベースの考え方に基づき、 必要な改善プロセスを整備、 ベストプラクティスに沿った対策を実施 |
| 要求事項数/評価基準 | 26項目/83項目 | 44項目/157項目 | 検討中 |
| 評価方式 | 専門家確認付き自己評価 | 第三者評価 | 第三者評価 |
| 有効期限 | 1年 | 3年 | 検討中 |
| ベンチマーク | ・自工会・部工会ガイドLv1 ・Cyber Essentials |
・自工会・部工会ガイドLv2〜3 ・分野別ガイドライン 等 |
・ISO/IEC27001 ・自工会・部工会ガイドLv3 等 |
| 運用開始時期 | 2026年下期を予定 | 2026年下期を予定 | 検討中 |
★3(三つ星)は、 すべてのサプライチェーン企業が最低限実装すべき基礎的なセキュリティ対策レベルとして位置付けられています。一般的なサイバー攻撃(既知の脆弱性を悪用した攻撃、ランサムウェアなど)への対処が可能な状態を目指します。
評価方式: 自己評価が基本ですが、専門家(情報処理安全確保支援士等)による助言を受けるプロセスが想定されています。社内に有資格者がいれば内部で完結できますが、いない場合は外部の専門家に確認を依頼する必要があります。
有効期限: 1年(要求事項の遵守状況について、年次でセキュリティ専門家の確認・助言を経た自己評価の更新版を登録機関へ提出する)
★4(四つ星)は、 サプライチェーン企業が標準的に目指すべきセキュリティ対策レベルとして位置付けられています。★3に加えて、サプライチェーン全体を意識した対策(被害拡大防止、事業継続など)が求められます。
評価方式: 認定を受けた評価機関による第三者評価(審査)が必要です。ISMS認証やPマークと同様に、外部の審査機関による審査を受け、それに合格する必要があります。そのため、基本的には審査費用が発生すると考えられます。
有効期限: 3年(1年ごとに自己評価を実施し、結果を評価機関に提出。有効期限を更新する際(3年に1回)は第三者評価を受ける。)
★5(五つ星)は、 サプライチェーン企業が到達点として目指すべき、最も高度なセキュリティ対策レベルとして検討されています。高度・未知の攻撃(APT攻撃、ゼロデイ攻撃など)にも対応できる状態を目指します。
– 自工会ガイドライン(Lv3)レベルの技術的対策
– その他実績のあるガイドライン等に基づく対策
– ISO/IEC 27001:2022に基づくマネジメントシステム
評価方式: 認定を受けた評価機関による第三者評価(審査)が必要です。ISMS認証やPマークと同様に、外部の審査機関による審査を受け、それに合格する必要があります。そのため、基本的には審査費用が発生すると考えられます。
有効期限:検討中
※★5の詳細な評価基準やスキームは、2026年度以降に具体化される予定です
「ISMS適合性評価制度等とは相互補完的な制度として発展することを目指す」
つまり、ISMSと★レベルは対立するものではなく、補い合う関係です。★3や★4で要求される対策項目の多くはISMSの管理策を参照して設計されているため、ISMS運用企業は要求事項の相当部分を既に満たした状態からスタートでき、新制度への対応において有利な立場にあります。
セキュリティ対策評価制度とISMS(ISO/IEC27001:2022)の比較
| セキュリティ対策評価制度(★3〜★5) | ISMS(ISO/IEC27001:2022) | |
|---|---|---|
| 目的 | サプライチェーン全体のセキュリティ水準の可視化 | 組織の情報セキュリティマネジメントシステムの確立 |
| アプローチ | 共通基準ベース (段階的に定義された要求事項) |
リスクベース (組織が自らリスクを評価・対応) |
| 対象範囲 | IT基盤(オンプレミス・クラウド) ※OT・製品は対象外 |
組織が定めた適用範囲 |
| 管理策 | ★3: 26項目 ★4: 44項目 ★5: 未定(必須適用) |
93項目の管理策から 組織がリスクに応じて選択 |
| 国際性 | 日本国内制度 (将来的に海外制度との相互認証検討) |
国際規格(ISO/IEC) |
| 評価 | ★3: 自己評価 ★4/★5: 第三者評価 |
認証機関による第三者審査 |
★3(三つ星)の26項目の要求事項のうち、25項目は対応するISMS管理策が存在しています。これらの管理策を適切に実装・運用しているISMS取得企業は、★3の大部分をカバーできる可能性があります。ただし、以下の点に注意が必要です。
以下は、経済産業省の要求事項案でISO27001を明示的に参照していない項目です。ISMS取得企業でも、新制度では追加の対応や、より具体的な実装が必要になる可能性が高い項目といえます。
| 大分類 | 要求事項No | 要求事項 | 評価基準No. | 主な評価基準のポイント |
|---|---|---|---|---|
| 2. 取引先管理 |
2-1-1 | 取引先と自社とのビジネス又はシステム上の関係を把握すること。 | 2-1-1-1 | ・自社以外の組織(顧客・子会社・関係会社・クラウドサービス提供者を含む取引先)が管理・提供し、自社の資産が接続しているシステムを把握するための仕組みを整備すること。 |
| 2-1-1-2 | ・年1回以上の頻度でNo.2-1-1-1において把握すべき情報の内容を点検すること。 |
⚠️ ISMSで部分的に対応済みの場合もありますが、新制度の詳細な評価基準に照らして改めて確認・強化が必要です。
★4(四つ星)は、★3の26項目に加えて、さらに18項目の要求事項が追加されます。★4の合計44項目のうち、41項目は対応するISO27001の管理策が存在しています。
ただし、★4では★3以上に、実装の深さと運用の実績が求められます。ISMSで該当管理策を実装していても、★4の要求レベルに達するには強化が必要な場合があります。
以下は、経済産業省の要求事項案でISO27001を明示的に参照していない項目です。ISMS取得企業でも、新制度では追加の対応や、より具体的な実装が必要になる可能性が高い項目といえます。
| 大分類 | 要求事項No | 要求事項 | 評価基準No. | 主な評価基準のポイント |
|---|---|---|---|---|
| 2. 取引先管理 |
2-1-1 | 取引先と自社とのビジネス又はシステム上の関係を把握すること。 | 2-1-1-1 | ・自社以外の組織(顧客・子会社・関係会社・クラウドサービス提供者を含む取引先)が管理・提供し、自社の資産が接続しているシステムを把握するための仕組みを整備すること。 |
| 2-1-1-2 | ・年1回以上の頻度でNo.2-1-1-1において把握すべき情報の内容を点検すること。 | |||
| 2-1-1-3 | ・自社の機密情報を共有している取引先について、以下の事項を把握するための仕組みを整備すること。 - 会社ごとに取り交わす情報・手段(受発注の手段、情報のやり取り等) - 取引に伴い授受・使用される情報資産及びその取扱い |
|||
| 3. リスクの特定 |
3-1-2 | ネットワークの情報に関する一覧表を作成すること。 | 3-1-2-3 | ・適用範囲内のネットワークを対象として、ネットワーク図を作成すること。 |
| 3-1-2-4 | ・年1回以上の頻度でNo.3-1-2-3で作成したネットワーク図の記載内容について点検すること。 | |||
| 4. 攻撃等の防御 |
4-3-2 | 重要データを適切な場所に保管するようルールを定め、周知すること。 | 4-3-2-1 | ・マルウェアによる被害を受けた場合に業務に支障をきたすデータはパソコン以外の社内ネットワーク上の相対的に安全な区域にあるサーバに保管するよう ルールを定め、役員、従業員、派遣社員及び受入出向者を対象に周知すること。 |
⚠️ ISMSで部分的に対応済みの場合もありますが、新制度の詳細な評価基準に照らして改めて確認・強化が必要です。
★5(五つ星)の詳細はまだ確定していませんが、中間とりまとめでは以下のように定義されています。
「国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階」
セキュリティ対策評価制度の★5は、ISMS適合性評価制度と「相互補完的な制度として両輪で発展」する関係として設計されています。
⚠️ ★5の詳細な評価基準やスキームは、2026年度以降に具体化される予定です。まずは★4を目指し、★5の続報を注視することをお勧めします。
ISO27001取得をご検討中の企業様へ!
東京スタンダードなら、月額¥17,000〜でISO認証審査が可能です。さらに、中小企業様に取り組んでいただきやすいISO教育ツールもご提供しています。
現時点では制度の公式な費用は確定していませんが、レベルによって以下の費用が想定されます。
自己評価のため、審査費用は発生しませんが、以下の費用が発生する可能性があります。
– 専門家による確認・助言費用(詳細未定)
– ツール・システムの導入費用(マルウェア対策ソフトなど)
– 文書作成やコンサルティング支援費用(利用する場合)
第三者評価が必要なため、★3より費用がかかります。
– 評価機関による審査費用(数十万円〜、企業規模や適用範囲により変動)
– 技術検証費用(脆弱性検査等、別途必要な場合あり)
– ツール・システムの導入費用(★3の要件に加えて追加対策が必要)
– 文書作成やコンサルティング支援費用(利用する場合)
中小企業向け支援「サイバーセキュリティお助け隊サービス」(新類型)
2026年度には「サイバーセキュリティお助け隊サービス」(新類型)が創設される予定で、★3・★4取得に必要な対策診断から、ITツール導入支援、規程整備支援などを一定の価格要件を満たすサービスとして国から認定される見込みです。
※正確な料金体系は、2026年度の制度運用開始時に公表される予定です。
①自己評価の実施(26項目の要求事項、83項目の評価基準に基づく)
②セキュリティ専門家による文書確認
③登録機関に申請を行い、申請内容に問題等がなければ★3を取得
想定期間:1〜3ヶ月程度
①自己評価の実施(157項目の要求事項に基づく)
②指定評価機関に審査を依頼
③文書確認・実地審査・技術検証を受ける
④不適合事項があれば是正報告を、指摘時から一定期間内に提出し、内容について了承を得られれば★4を取得
想定期間: 3〜6ヶ月程度
いいえ、免除されません。
ISMSと★レベルは別の制度です。ISMSを取得していても、★4を取得するには別途、評価機関による第三者評価を受ける必要があります。
ただし、ISMSで既に対応している部分が多いため、評価はスムーズに進む可能性が高いです。
はい、可能です。
制度構築方針(案)では、「上位の段階はそれ以下の段階で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはならない」と明記されています。
取引先の要求次第です。
他の認証を取得していても、取引先が★レベルを取引条件として明示した場合は、別途取得が必要になります。
ただし、ISMSやPマークなどの既存認証は、★レベル取得の強力な土台になります。
2026年度以降に検討される予定です。
現時点では、「国際規格等におけるリスクベースの考え方に基づき、現時点でのベストプラクティスに基づく対策を実施」という方向性のみが示されています。
★5を目指す企業は、まず★4を取得し、★5の詳細確定を待つことをお勧めします。
いいえ、★3と★4の要求事項は業種・規模によらず共通です。
ただし、発注企業が取引先に対して求めるレベル(★3/★4/★5)は、業種や取引内容によって異なります。
いいえ、対象外です。
本制度は、IT基盤(オンプレミス・クラウド)のセキュリティ対策を評価対象としています。
制御(OT)システムやソフトウェア製品、IoT機器などは別途、専用のガイドライン(例:サイバーインフラ事業者に求められる役割等に関するガイドライン)で対応されます。
2026年度下期から開始予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」について、本記事では★3〜★5とISMS(ISO27001)との関係を中心に解説しました。
重要なポイント
・★3の約70%、★4の約80%が対応するISMS管理策を保有
・ただし「適用除外」の確認と、実装レベルの見直しが必要
・「ISMS管理策あり」≠「対応済み」である点に注意
・2026年度下期まで準備期間は約1年
・取引先の要求を早期に確認し、★3/★4を判断
・ISMS未取得企業は★3、取得済み企業は★4を推奨
・詳細は2026年度以降に検討予定
・まずは★4を目指し、★5の詳細確定を待つ
東京スタンダードでは、実態を重視した建設的なISO認証審査に加えて、文書管理を効率化するT-webサービス、体系的なISO教育を提供するアカデミーサービスなど、ISO運用を総合的に支援しています。ISO運用の効率化や、より実効性の高いマネジメントシステムの構築をご検討の際は、ぜひ東京スタンダードにご相談ください。
【参考資料】
本記事は、経済産業省が公開した以下の資料に基づいています。制度の詳細は今後変更される可能性がありますので、最新情報は経済産業省の公式発表をご確認ください。
・経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」(2025年4月)
・経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月)
・ISO/IEC 27001:2022(情報セキュリティマネジメントシステム-要求事項)
2023年東京スタンダード設立。エイエスアール株式会社、アームスタンダード株式会社、アフノールジャパン株式会社、QAICジャパン株式会社をグループ会社として持ち、ISO認証登録件数グループ合計5,500件以上の実績を持つ。長年の経験とノウハウを活かして、ISOをより活かすことができるお役立ち情報を発信。
記事の監修者
東京スタンダード編集部
こちらのフォームにご入力後、弊社サービスやISOに関する資料がダウンロードできます。
