最近、ITニュースやビジネス誌で「セキュリティの格付け」という言葉を耳にしませんか? 経済産業省が主導し、2026年度末ごろから申請受付が開始される予定の「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」がいよいよカウントダウンに入りました。
「また新しい面倒な制度か…」と思うかもしれませんが、これは単なるチェックリストではありません。企業の「信頼性」を星の数で可視化する、まさにビジネスのパスポートになろうとしています。
1. セキュリティ対策評価制度とは?
一言でいえば、「企業のセキュリティ対策レベルを、国が定めた基準で客観的に評価する仕組み」です。
これまで、BtoB取引では「御社のセキュリティは大丈夫ですか?」という確認のために、独自の巨大なエクセルシート(セキュリティチェックシート)をやり取りしていました。これが企業にとって大きな負担となっていましたが、新制度はこの「基準」を統一し、共通の「星(★)」で評価します。
2. 評価のランク(★3〜★5)
この制度は、すでに存在する「SECURITY ACTION(★1〜★2)」の延長線上にあり、より高度なレベルとして設定されています。
-
★3(三つ星): すべてのサプライチェーン企業が最低限実装すべき対策。専門家による確認が必要です。
-
★4(四つ星): 標準的に目指すべき対策。第三者機関による厳格な審査が行われます。
-
★5(五つ星): 最先端の、極めて高度な対策レベル(今後詳細が決定)。
3. なぜ今、この制度が必要なのか?
理由は「サプライチェーン攻撃」の激化です。 大企業(本丸)を直接狙うのが難しいため、セキュリティの甘い「取引先(受注企業)」を足がかりに侵入する手口が急増しています。そのため、発注元は「星を持っている企業としか取引しない」という姿勢を強めていくと予想されます。
ソフトウェア会社には「関係ない」?
結論から言うと、「大いに関係あります」。むしろ、最も影響を受ける業種の一つです。
そう思われるかもしれませんが、この制度の対象は「製品」そのものの脆弱性ではなく、「そのソフトウェアを作っている会社の社内体制」です。
ソフトウェア会社が注意すべきポイント
-
取引条件への組み込み: 今後、大手企業や官公庁からソフトウェア開発を受託する際、「★3以上の取得」が入札条件や契約条件になる可能性が極めて高いです。
-
「信頼」の証明: SaaS提供企業や受託開発会社にとって、セキュリティは最大のセールスポイントです。「弊社は経産省の制度で★4を取得しています」と言えることは、競合他社に対する強力なアドバンテージになります。
-
評価の対象範囲: 開発環境、ソースコードの管理体制、従業員のPC、利用しているクラウドサービス(AWS/Azure/GCP等)の設定状況などが評価の対象となります。
【注意点】 この制度は「会社(または部門)の守り」を評価するものです。開発したアプリのバグや脆弱性を検査するものではありませんが、「安全なソフトウェアを作るための組織体制があるか」が厳しく問われることになります。
まとめ
「セキュリティ対策評価制度」は、2026年度から本格的に始動します。 ソフトウェア会社にとって、この「星」はもはや努力目標ではなく、「取引を継続するための必須ライセンス」に変わっていくでしょう。
今から自社の対策状況を見直し、どのランクを目指すべきか検討を始めることをお勧めします。
