★3(Basic)は、サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)における最初の評価段階です。サプライチェーンを構成する企業が最低限実装すべき基礎的な組織的対策とシステム防御策を求め、広く認知された脆弱性を悪用する一般的なサイバー攻撃への対処を目指す水準として位置付けられています。
2026年3月27日に公表された「SCS評価制度の制度構築方針」正式版により、★3の要求事項・評価基準が確定しました。2026年度末頃の制度開始(申請受付の開始)を目指して準備が進められています。
★3は自己評価(専門家の確認を経たもの)により取得する仕組みで、★4のような第三者評価機関による評価は不要です。中小企業を含む幅広い企業が取り組みやすい設計となっています。
目次
★3の対象範囲と取得単位
★3の対象は、サプライチェーンを構成する企業等のIT基盤(オンプレミス、クラウド環境を含む)です。製造環境等の制御(OT)システムや委託元等に提供する製品等は直接の対象ではなく、他の制度・ガイドライン等に基づく対応が想定されています。
取得単位は法人または企業グループ全体が基本です。主に2社間の取引契約において、委託元企業が委託先企業に★3の取得を求める形での活用が想定されています。
なお、特定のセキュリティ対策製品の導入が必須とされているものではありません。要求事項・評価基準を満たす具体的な実装例をまとめた評価ガイド等は、2026年秋頃に公表予定です。
★3の25項目の要求事項
★3では25項目の要求事項が10の大分類にわたって定められています。以下は、大分類ごとの項目数と要求の概要です。
| 大分類 | ★3の項目数 | 要求概要 |
|---|---|---|
| ガバナンスの整備 | 4 | セキュリティ体制の確立、役割・責任の明確化、ポリシーの策定と周知、秘密保持契約の締結など、組織としてのセキュリティ推進基盤を構築する |
| 取引先管理 | 2 | 取引先との関係性の把握、機密情報の取り扱いに関する取り決めの明確化 |
| リスクの特定 | 4 | IT資産(ハードウェア、OS、ソフトウェア、ネットワーク)の正確な把握、機密情報の分類と管理ルール、脆弱性管理の体制確立 |
| 攻撃等の防御 | 8 | ID・アクセス権限の厳格な管理、認証強化、セキュリティ意識向上トレーニング、安全なシステム構成の維持、マルウェア対策、パッチ適用 |
| データセキュリティ | 1 | 組織が取り扱うデータの適切なバックアップの実施 |
| プラットフォームセキュリティ | 3 | ハードウェア・ソフトウェアの安全な構成維持、サポート期限の管理、マルウェア対策 |
| 技術インフラのレジリエンス | 1 | ネットワークの適切な分離・境界防御 |
| 攻撃等の検知 | 1 | ネットワーク接続やシステム挙動の継続的な監視体制の確立 |
| インシデントへの対応 | 1 | インシデント発生時の対応手順の明確化(発見・報告・調査・復旧のプロセス整備) |
| インシデントからの復旧 | 0 | ★3では対象外(★4で求められる) |
★3の特徴として、「攻撃等の防御」が8項目と最も多い点が挙げられます。ID管理やアクセス制御、マルウェア対策、パッチ適用など、基礎的な技術的防御策に重点が置かれた構成です。一方、「インシデントからの復旧」は★3では求められず、★4から要求される段階的な設計となっています。
正式な要求事項・評価基準の全文は、経済産業省が公開しているExcelファイルで確認できます。
参考:★3・★4要求事項及び評価基準(Excel)|経済産業省
★3の取得プロセス(登録の流れ)
★3は自己評価を基本としますが、自社だけで完結するのではなく、専門家による確認を経たうえで登録機関に申請する流れです。
ステップ1:自己評価の記入
取得を希望する組織が、★3の25項目の要求事項に基づいて自己評価を記入します。自社のセキュリティ対策の実施状況を各項目に照らし合わせ、対応済みか未対応かを評価していきます。
自己評価を行う際の考え方は、IPAが公開した「中小企業の情報セキュリティ対策ガイドライン」第4.0版の「第2部 実践編」STEP3で整理されています。SCS評価制度の要求事項を踏まえた対策の考え方や、付録の規程類サンプル・ひな型を活用することで、効率的に自己評価を進められます。
ステップ2:専門家による確認
記入した自己評価の内容を、社内外の資格者が評価し、要求事項に対する合否を判断します。確認を行える資格者として、以下が想定されています。
- 情報処理安全確保支援士(登録セキスペ)
- セキュリティプレゼンター
- ITコーディネータ 等
IPAでは、登録セキスペのうち中小企業向け支援が可能な専門家を「中小企業向けサイバーセキュリティ対策支援者リスト」として公開しています。★3取得に際して「専門家確認」の支援が可能な登録セキスペが掲載されたリストが、今後IPAホームページに公開される予定です。
社内に該当する資格者がいる場合は、社内の資格者による確認も可能です。
ステップ3:登録機関への提出
自己評価結果および専門家による評価を、登録機関に提出します。
ステップ4:台帳への登録・公開
登録機関が提出された申請内容に問題がないことを確認した後、該当組織を台帳に登録・公開します。これにより、委託元企業など外部から当該組織の★取得状況を確認できるようになります。
有効期間と更新
★3の有効期間は1年間です。更新のためには年次での自己評価が必要になります。毎年の自己評価を通じて、対策の継続的な実施状況を確認する仕組みです。
★3と★4の違い
★3(Basic)と★4(Standard)は、求められる対策の範囲と深さ、評価方法、有効期間などが異なります。
| 比較項目 | ★3(Basic) | ★4(Standard) |
|---|---|---|
| 要求事項の項目数 | 25項目 | 44項目 |
| 対策の水準 | 基礎的な組織的対策とシステム防御策 | 組織ガバナンス、取引先管理、検知、事業継続を含む包括的対策 |
| 評価方法 | 自己評価(専門家の確認を経たもの) | 第三者評価 |
| 有効期間 | 1年 | 3年(毎年の自己評価+3年に1回の第三者評価) |
| コスト負担 | 比較的低い(自己評価+専門家確認) | 第三者評価のコストが発生 |
| 想定される企業 | サプライチェーンを構成する幅広い企業 | 重要な取引先として高い水準を求められる企業 |
どの段階を目指すべきかは、委託元企業との取引契約において要求される水準や、自社が取り扱う情報の重要度によって判断します。まずは★3(Basic)から取得し、必要に応じて★4(Standard)へステップアップしていくことが基本的な流れです。
SECURITY ACTIONからのステップアップ
SCS評価制度は、IPAの「SECURITY ACTION(セキュリティ対策自己宣言)」の★1・★2を土台として、さらに高度な対策に取り組む発展系の制度です。
| 段階 | 内容 | 評価方法 |
|---|---|---|
| SECURITY ACTION ★1 | 情報セキュリティの基本項目に取り組むことを自己宣言 | 自己宣言 |
| SECURITY ACTION ★2 | より多くの情報セキュリティ対策に取り組むことを自己宣言 | 自己宣言 |
| SCS評価制度 ★3(Basic) | 25項目の基礎的対策を実装 | 自己評価+専門家確認 |
| SCS評価制度 ★4(Standard) | 44項目の包括的対策を実装 | 第三者評価 |
| SCS評価制度 ★5(検討中) | 国際規格ベースの高度な対策 | 第三者評価(予定) |
SECURITY ACTIONをまだ宣言していない場合は、まず★1・★2の宣言から始めることで、SCS評価制度の★3取得に向けた基礎的な意識付けと取り組みの土台を築くことができます。
★3取得に向けて今からできる準備
ガイドライン第4.0版で現状を把握する
IPAが公開した「中小企業の情報セキュリティ対策ガイドライン」第4.0版の「5分でできる!情報セキュリティ自社診断」で、まず自社の現状を可視化しましょう。STEP3ではSCS評価制度の要求事項を踏まえた対策の考え方が整理されており、★3の25項目への対応状況を確認する出発点として活用できます。
IT資産の棚卸しを実施する
★3では「リスクの特定」カテゴリで4項目が求められており、IT資産の正確な把握が不可欠です。自社で利用しているハードウェア、OS、ソフトウェア、ネットワーク機器の一覧を整理し、サポート期限やパッチ適用状況を確認しておきましょう。
セキュリティポリシーを整備する
「ガバナンスの整備」カテゴリでは、セキュリティ体制の確立やポリシーの策定が求められます。ガイドライン第4.0版の付録に掲載されている規程類のサンプルやひな型を活用すると、ゼロから作成する負担を大幅に軽減できます。
専門家の確保を検討する
★3の取得プロセスでは専門家による確認が必要です。社内に情報処理安全確保支援士やITコーディネータ等の資格者がいない場合は、外部の専門家への依頼を検討しましょう。IPAの「中小企業向けサイバーセキュリティ対策支援者リスト」に掲載される登録セキスペが活用できます。
お助け隊サービス(新類型)の実証事業を検討する
自社だけでの対策実施が難しい場合は、「サイバーセキュリティお助け隊サービス(新類型)」の実証事業への参加も有効な選択肢です。実証期間中(2026年8月頃〜2027年9月頃)は、SCS評価制度の対策範囲について無料で支援を受けることができます。
ベンチマークとされている関連制度・ガイドライン
SCS評価制度の★3・★4は、国内外の既存の制度やガイドラインをベンチマークとして設計されています。特に★3に関連するものとして、以下が挙げられます。
- 米CMMC(Cybersecurity Maturity Model Certification):米国防総省のサプライチェーン向けサイバーセキュリティ成熟度モデル
- 英Cyber Essentials:英国政府が推進する中小企業向けサイバーセキュリティ認証制度
- 自工会・部工会サイバーセキュリティガイドライン:日本の自動車業界向けガイドライン。★3はレベル1、★4はレベル2と関連付け
これらの制度をすでに参照・対応している企業にとっては、SCS評価制度の要求事項との対応関係を確認することで、効率的に★取得の準備を進められます。
参考:★3・★4要求事項及び評価基準参照文献(Excel)|経済産業省
よくある質問(FAQ)
- Q. ★3の取得は義務ですか?
- 法令による義務付けではありません。2社間の取引契約等において、委託元が委託先に★3の取得を求める形での活用が想定されています。ただし、SCS評価制度の施行後は取引先から取得を要求されるケースが増えることが予想されます。
- Q. ★3の取得にかかる費用はどのくらいですか?
- ★3は自己評価+専門家確認による取得のため、第三者評価が必要な★4と比べてコスト負担は低く設計されています。ただし、外部の専門家に確認を依頼する場合は、その費用が発生します。具体的な費用は専門家や対応範囲によって異なります。
- Q. 社内に資格者がいなくても取得できますか?
- 取得できます。専門家確認は社外の資格者に依頼することも可能です。IPAが公開予定の「中小企業向けサイバーセキュリティ対策支援者リスト」に掲載される登録セキスペに依頼できます。
- Q. ★3の有効期間が切れるとどうなりますか?
- 有効期間は1年間で、更新には年次での自己評価が必要です。更新を行わない場合、★3の取得状態は失効します。
- Q. ★3を取得してから★4にステップアップできますか?
- 可能です。★3の25項目は★4の44項目の基礎となっているため、★3を取得した後、不足する対策を追加して★4の第三者評価を受けることでステップアップできます。
まとめ
SCS評価制度の★3(Basic)は、25項目の基礎的な要求事項を自己評価+専門家確認で取得する仕組みであり、中小企業を含む幅広い企業が取り組みやすい設計です。2026年度末頃の制度開始に向けて、今からガイドライン第4.0版を活用した現状把握やIT資産の棚卸し、セキュリティポリシーの整備を進めておくことで、スムーズな取得が期待できます。
SCS評価制度の全体像については「SCS評価制度とは?概要・要件・中小企業向け支援策を解説」を、中小企業向けの支援策については「サイバーセキュリティお助け隊サービス(新類型)とは」および「情報セキュリティ対策ガイドライン第4.0版の変更点」をあわせてご覧ください。
参考情報
- 経済産業省「SCS評価制度の構築方針」公表(2026年3月27日)
- SCS評価制度の制度構築方針概要(PDF)
- ★3・★4要求事項及び評価基準(Excel)
- ★3・★4要求事項及び評価基準参照文献(Excel)
- SCS評価制度に関するFAQ(PDF)
- 中小企業の情報セキュリティ対策ガイドライン|IPA
- サイバーセキュリティお助け隊サービス(新類型)|経済産業省
関連記事
セキュリティ対策評価制度(SCS評価)とは?概要と求められる事を解説
サイバーセキュリティお助け隊サービス(新類型)とは
中小企業の情報セキュリティ対策ガイドライン 第4.0版とは
KubernetesのFaaSフレームワーク「Fission」ルーターに深刻な脆弱性 CVE-2026-46614
AIを悪用したサイバー攻撃が急増、企業がとるべき具体的な対策【2026年最新】
「セキュリティ対策評価制度(SCS評価)を取らないと入札除外」は誤り-経済産業省が不適切な営業活動に注意喚起
EDR 製品の一覧
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
GitHub Actionの tj-actions/changed-files の脆弱性がサプライチェーン攻撃に悪用される可能性(CVE-2025-30066)
