公開日:2026年2月17日
ISO27001(ISMS)の認証取得もご検討中ですか?
東京スタンダードでは、中小企業様が取り組みやすいISO27001認証取得支援ツールや、ISMS審査を月額¥17,000(税抜)~ご提供しています。セキュリティ対策の向上にお役立てください!
╲審査の特徴や料金についてご紹介しています╱
この記事は14分で読了することができます。
2026年10月、経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度」がスタートします。
この制度の誕生の背景には、深刻化するサプライチェーン攻撃、取引先のセキュリティレベルを外部から判断することの難しさ、そして受注企業が複数の発注元から異なるセキュリティ要求(独自チェックシート、ISMS、Pマークなど)への対応に追われている現状があります。
新制度は、サプライチェーン全体のセキュリティ強化を実現することを目指しており、ISMSやPマークに並ぶ、あるいはそれらに代わる新たな取引要件となる可能性があるのです。
本記事では、2026年度に新設される★3〜★5の詳細と、ISMS(ISO27001)を取得済みの企業が知っておくべき「ISMSとの関係」について、ISO認証機関である東京スタンダードの視点から徹底解説します。
この記事でわかること
【本記事の掲載情報について】
本記事の内容は、2025年4月に経済産業省が公開した「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」および2025年12月公開の「制度構築方針(案)」に基づいています。制度の詳細は今後変更される可能性がありますので、最新情報は経済産業省の公式発表をご確認ください。
1. セキュリティ対策評価制度とは?2026年10月に開始
1-1. 制度の概要と目的
1-2. 制度が必要になった背景
2. セキュリティ対策評価制度の要求事項と評価基準
2-1. ★1(一つ星)/★2(二つ星)は既存のSECURITY ACTION制度
2-2. 新制度の対象:★3(三つ星)〜★5(五つ星)
3.【重要】セキュリティ対策評価制度とISMS(ISO27001)の違いと関係
3-1. ★3(三つ星)とISMSの対応関係
3-2. ★4(四つ星)とISMSの対応関係
3-3. ★5(五つ星)とISMSの関係 – ISMSだけでは不十分な理由
4. よくある質問(FAQ)
5. まとめ
経済産業省が進めるセキュリティ対策評価制度/SCS評価制度(正式名称:「サプライチェーン強化に向けたセキュリティ対策評価制度」)とは、企業のサイバーセキュリティ対策レベルを共通の基準で評価・可視化する仕組みです。
サプライチェーンとは?
サプライチェーンとは、製品やサービスが最終的な顧客に届くまでの、原材料調達から製造、流通に至る一連の企業間取引の連鎖を指します。近年、取引先企業へのサイバー攻撃を足がかりに、最終的な標的企業へ侵入する「サプライチェーン攻撃」が増加しており、企業単体だけでなくサプライチェーン全体でのセキュリティ対策が求められています。
本制度では、企業のセキュリティ対策の成熟度を★3(三つ星)から★5(五つ星)の星で評価します。
セキュリティ対策評価制度は★3(三つ星)〜★5(五つ星)の3段階で構成されていますが、★1(一つ星)と★2(二つ星)は、既にIPA(情報処理推進機構)が運営する「SECURITY ACTION(セキュリティアクション)」という制度で位置づけられています。
IPAの「情報セキュリティ5か条」に取り組むことを自己宣言
「5分でできる!情報セキュリティ自社診断」で状況把握+情報セキュリティ基本方針を策定・公開
これらは比較的容易に取り組める「自己宣言」のレベルです。宣言すると、SECURITY ACTIONロゴマークを使用でき、取引先や顧客に対して「セキュリティに取り組んでいる」ことをアピールできます。
★1/★2の詳しい取得方法については、以下の記事をご参照ください。
IPAのSECURITY ACTION(セキュリティアクション)の一つ星・二つ星の違い、宣言方法、補助金での活用、ISO27001との比較まで図解で徹底解説。中小企業が無料で始められる情報セキュリティ対策の第一歩を詳しくご紹介します。
経済産業省が2026年10月に新たに運用を開始するのは、★3(三つ星)、★4(四つ星)、★5(五つ星)の3段階です。本制度は、サプライチェーンを構成する企業のIT基盤(メールサーバ、Webサーバ、認証基盤など)を評価対象とします。
セキュリティ対策評価制度★3(三つ星)〜★5(五つ星)の基準
★3(三つ星)は、 すべてのサプライチェーン企業が最低限実装すべき基礎的なセキュリティ対策レベルとして位置付けられています。一般的なサイバー攻撃(既知の脆弱性を悪用した攻撃、ランサムウェアなど)への対処が可能な状態を目指します。
評価方式: 自己評価が基本ですが、専門家(情報処理安全確保支援士等)による助言を受けるプロセスが想定されています。社内に有資格者がいれば内部で完結できますが、いない場合は外部の専門家に確認を依頼する必要があります。
有効期限: 1年(年次で遵守状況の自己評価が必要)
★4(四つ星)は、 サプライチェーン企業が標準的に目指すべきセキュリティ対策レベルとして位置付けられています。★3に加えて、サプライチェーン全体を意識した対策(被害拡大防止、事業継続など)が求められます。
評価方式: 認定を受けた評価機関による第三者評価(審査)が必要です。ISMS認証やPマークと同様に、外部の審査機関による審査を受け、それに合格する必要があります。そのため、基本的には審査費用が発生すると考えられます。
有効期限: 3年(年次で自己評価、3年毎に第三者評価)
★5(五つ星)は、 サプライチェーン企業が到達点として目指すべき、最も高度なセキュリティ対策レベルとして検討されています。高度・未知の攻撃(APT攻撃、ゼロデイ攻撃など)にも対応できる状態を目指します。
– 自工会ガイドライン(Lv3)レベルの技術的対策
– その他実績のあるガイドライン等に基づく対策
– ISO/IEC 27001:2022に基づくマネジメントシステム
評価方式: 認定を受けた評価機関による第三者評価(審査)が必要です。ISMS認証やPマークと同様に、外部の審査機関による審査を受け、それに合格する必要があります。そのため、基本的には審査費用が発生すると考えられます。
有効期限:検討中
※★5の詳細な評価基準やスキームは、2026年度以降に具体化される予定です
「ISMS適合性評価制度等とは相互補完的な制度として発展することを目指す」
つまり、ISMSと★レベルは対立するものではなく、補い合う関係です。★3や★4で要求される対策項目の多くはISMSの管理策を参照して設計されているため、ISMS運用企業は要求事項の相当部分を既に満たした状態からスタートでき、新制度への対応において有利な立場にあります。
セキュリティ対策評価制度とISMS(ISO/IEC27001:2022)の比較
★3(三つ星)の26項目の要求事項のうち、25項目は対応するISMS管理策が存在しています。これらの管理策を適切に実装・運用しているISMS取得企業は、★3の大部分をカバーできる可能性があります。ただし、以下の点に注意が必要です。
以下は、経済産業省の要求事項案でISO27001を明示的に参照していない項目です。ISMS取得企業でも、新制度では追加の対応や、より具体的な実装が必要になる可能性が高い項目といえます。
⚠️ ISMSで部分的に対応済みの場合もありますが、新制度の詳細な評価基準に照らして改めて確認・強化が必要です。
★4(四つ星)は、★3の26項目に加えて、さらに18項目の要求事項が追加されます。★4の合計44項目のうち、41項目は対応するISO27001の管理策が存在しています。
ただし、★4では★3以上に、実装の深さと運用の実績が求められます。ISMSで該当管理策を実装していても、★4の要求レベルに達するには強化が必要な場合があります。
以下は、経済産業省の要求事項案でISO27001を明示的に参照していない項目です。ISMS取得企業でも、新制度では追加の対応や、より具体的な実装が必要になる可能性が高い項目といえます。
⚠️ ISMSで部分的に対応済みの場合もありますが、新制度の詳細な評価基準に照らして改めて確認・強化が必要です。
★5(五つ星)の詳細はまだ確定していませんが、中間とりまとめでは以下のように定義されています。
「国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備した上で、システムに対しては現時点でのベストプラクティスに基づく対策を実施する段階」
セキュリティ対策評価制度の★5は、ISMS適合性評価制度と「相互補完的な制度として両輪で発展」する関係として設計されています。
⚠️ ★5の詳細な評価基準やスキームは、2026年度以降に具体化される予定です。まずは★4を目指し、★5の続報を注視することをお勧めします。
ISO27001取得をご検討中の企業様へ!
東京スタンダードなら、月額¥17,000〜でISO認証審査が可能です。さらに、中小企業様に取り組んでいただきやすいISO教育ツールもご提供しています。
現時点では制度の公式な費用は確定していませんが、レベルによって以下の費用が想定されます。
自己評価のため、審査費用は発生しませんが、以下の費用が発生する可能性があります。
– 専門家による確認・助言費用(詳細未定)
– ツール・システムの導入費用(マルウェア対策ソフトなど)
– 文書作成やコンサルティング支援費用(利用する場合)
第三者評価が必要なため、★3より費用がかかります。
– 評価機関による審査費用(数十万円〜、企業規模や適用範囲により変動)
– 技術検証費用(脆弱性検査等、別途必要な場合あり)
– ツール・システムの導入費用(★3の要件に加えて追加対策が必要)
– 文書作成やコンサルティング支援費用(利用する場合)
中小企業向け支援「サイバーセキュリティお助け隊サービス」(新類型)
2026年度には「サイバーセキュリティお助け隊サービス」(新類型)が創設される予定で、★3・★4取得に必要な対策診断から、ITツール導入支援、規程整備支援などを一定の価格要件を満たすサービスとして国から認定される見込みです。
※正確な料金体系は、2026年度の制度運用開始時に公表される予定です。
①自己評価の実施(26項目の要求事項、83項目の評価基準に基づく)
②セキュリティ専門家(情報処理安全確保支援士など)による確認・助言
③専門家の署名を含む評価結果を制度事務局に提出
想定期間:1〜3ヶ月程度
①自己評価の実施(157項目の要求事項に基づく)
②指定評価機関に審査を依頼
③文書確認・実地審査・技術検証を受ける
④不適合事項があれば是正対応
想定期間: 3〜6ヶ月程度
いいえ、免除されません。
ISMSと★レベルは別の制度です。ISMSを取得していても、★4を取得するには別途、認定評価機関による第三者評価を受ける必要があります。
ただし、ISMSで既に対応している部分が多いため、評価はスムーズに進む可能性が高いです。
はい、可能です。
制度構築方針(案)では、「上位の段階はそれ以下の段階で求められる事項を包括するため、例えば、★3を事前に取得していなければ★4を取得できないという関係とはならない」と明記されています。
取引先の要求次第です。
他の認証を取得していても、取引先が★レベルを取引条件として明示した場合は、別途取得が必要になります。
ただし、ISMSやPマークなどの既存認証は、★レベル取得の強力な土台になります。
2026年度以降に検討される予定です。
現時点では、「国際規格等におけるリスクベースの考え方に基づき、現時点でのベストプラクティスに基づく対策を実施」という方向性のみが示されています。
★5を目指す企業は、まず★4を取得し、★5の詳細確定を待つことをお勧めします。
いいえ、★3と★4の要求事項は業種・規模によらず共通です。
ただし、発注企業が取引先に対して求めるレベル(★3/★4/★5)は、業種や取引内容によって異なります。
いいえ、対象外です。
本制度は、IT基盤(オンプレミス・クラウド)のセキュリティ対策を評価対象としています。
制御(OT)システムやソフトウェア製品、IoT機器などは別途、専用のガイドライン(例:サイバーインフラ事業者に求められる役割等に関するガイドライン)で対応されます。
2026年10月から開始予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」について、本記事では★3〜★5とISMS(ISO27001)との関係を中心に解説しました。
重要なポイント
・★3の約70%、★4の約80%が対応するISMS管理策を保有
・ただし「適用除外」の確認と、実装レベルの見直しが必要
・「ISMS管理策あり」≠「対応済み」である点に注意
・2026年10月まで準備期間は約1年
・取引先の要求を早期に確認し、★3/★4を判断
・ISMS未取得企業は★3、取得済み企業は★4を推奨
・詳細は2026年度以降に検討予定
・まずは★4を目指し、★5の詳細確定を待つ
東京スタンダードでは、実態を重視した建設的なISO認証審査に加えて、文書管理を効率化するT-webサービス、体系的なISO教育を提供するアカデミーサービスなど、ISO運用を総合的に支援しています。ISO運用の効率化や、より実効性の高いマネジメントシステムの構築をご検討の際は、ぜひ東京スタンダードにご相談ください。
【参考情報】
・経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」(2025年4月)
・経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月)
【参考資料】
・経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」(2025年4月)
・経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月)
・ISO/IEC 27001:2022(情報セキュリティマネジメントシステム-要求事項)
2023年東京スタンダード設立。エイエスアール株式会社、アームスタンダード株式会社、アフノールジャパン株式会社、QAICジャパン株式会社をグループ会社として持ち、ISO認証登録件数グループ合計5,500件以上の実績を持つ。長年の経験とノウハウを活かして、ISOをより活かすことができるお役立ち情報を発信。
記事の監修者
東京スタンダード編集部
こちらのフォームにご入力後、弊社サービスやISOに関する資料がダウンロードできます。
