取引先に影響を与えるサイバー攻撃が増える中で、サプライチェーン全体の安全対策が求められるようになっています。 これまで「セキュリティは大企業やIT企業の話」と考えていた会社も、今後は取引の中で自社の対策状況を説明する場面が増える可能性があります。

本記事では、経済産業省などが検討を進めている「サプライチェーン強化に向けたセキュリティ対策評価制度」、通称SCS評価制度について、中小企業にもわかりやすく整理します。 難しい制度説明ではなく、「自分の会社に関係があるのか」「何を確認すればよいのか」「放置すると何が危ないのか」に絞って解説します。

最初に制度の目的を押さえ、次にサプライチェーンの中で中小企業が見られるポイントを確認します。 そのうえで、ランサムウェアなどの現実的なリスクと、今日から確認できる基本項目を紹介します。 もし今から少しずつ備えれば、取引先から質問されたときにも慌てずに説明できる状態をつくれます。

SCS評価制度とは何か

SCS評価制度とは、サプライチェーンに関わる企業のセキュリティ対策状況を、共通の基準で見えるようにするための制度です。 正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」です。

ここでいうサプライチェーンとは、商品やサービスを届けるまでに関わる会社同士のつながりのことです。 たとえば、製造会社、部品会社、物流会社、倉庫会社、外注先、システム会社、保守会社などがつながって、ひとつの仕事が成り立っています。

このつながりのどこか一社でサイバー被害が起きると、他の会社にも影響が広がることがあります。 たとえば、受発注システムが止まる、配送指示が出せない、請求データが見られない、取引先の情報が漏れる、といったことです。

そこで、発注する側も、受注する側も、「どの程度の対策をしているのか」を共通のものさしで確認できるようにしよう、という考え方からSCS評価制度が進められています。

制度では「★」で段階が示される予定です

経済産業省の説明では、SCS評価制度ではセキュリティ対策の段階として、まず★3と★4が設けられる予定です。 ★5については、今後さらに検討される予定です。

★3や★4という表現を見ると、「高い評価を取らないといけないのか」と不安になるかもしれません。 しかし、制度の考え方は、会社の規模や取引の重要度に応じて、必要な安全対策を確認しやすくするものです。

また、制度としては任意の制度とされています。 ただし、任意だからといって「何もしなくてよい」という意味ではありません。 取引先から「どのような対策をしていますか」と聞かれたとき、説明できる状態をつくっておくことが重要になります。

なぜ中小企業にも関係するのか

「うちは大企業ではないから関係ない」 「IT企業ではないから対象外だろう」 「取引先からまだ何も言われていない」

そう感じる方も多いと思います。 しかし、SCS評価制度は、業種や事業規模を問わず、幅広い事業者が対象になり得るとされています。 つまり、中小企業や零細企業であっても、サプライチェーンの一部として仕事をしているなら、関係する可能性があります。

特に注意したいのは、「自社が発注元から見られる立場」にある場合です。 たとえば、製造業の下請け、物流会社、倉庫会社、保守会社、外注先、協力会社、業務委託先などは、取引先の業務を支える大事な存在です。

もし自社のパソコンやサーバーが止まり、取引先の業務にも影響が出れば、「自社だけの問題」では済まなくなります。 納期遅れ、出荷停止、情報漏えい、代替対応、取引先への説明など、経営に直結する問題に発展します。

セキュリティは「信用」の一部になる

これからは、品質、価格、納期に加えて、セキュリティも取引先から見られる要素になっていきます。 「安くできます」「早くできます」だけではなく、「安全に仕事を任せられます」と説明できることが、信用につながります。

もちろん、すべての中小企業がいきなり高度な対策をする必要はありません。 しかし、最低限の対策をしているか、責任者を決めているか、トラブル時に連絡できるか、バックアップがあるか。 こうした基本が問われるようになります。

「うちは狙われない」が危ない理由

サイバー攻撃というと、大企業や有名企業だけが狙われるイメージがあるかもしれません。 しかし、実際には中小企業も被害に遭っています。 むしろ、対策が手薄な会社は攻撃者にとって狙いやすい相手になり得ます。

警察庁の資料では、令和7年上半期のランサムウェア被害報告件数は116件で、半期件数として令和4年下半期と並び最多とされています。 また、組織規模別では中小企業の被害が多い状況も示されています。

ランサムウェアとは、会社のデータを使えない状態にして、元に戻す代わりに金銭を要求する攻撃です。 最近では、データを暗号化するだけでなく、「情報を公開する」と脅す手口もあります。

攻撃者は会社の大きさだけで選んでいません

攻撃者は、「有名な会社かどうか」だけを見ているわけではありません。 古い機器が使われていないか、パスワードが弱くないか、外部から入れる入口が放置されていないか、といった弱点を探します。

警察庁の資料では、ランサムウェアの感染経路として、VPNやリモートデスクトップ用の機器からの侵入が多いことが示されています。 VPNとは、外から会社のネットワークに接続するための仕組みです。 リモートデスクトップとは、離れた場所から会社のパソコンなどを操作する仕組みです。

これらは便利な仕組みですが、古いまま使っていたり、弱いパスワードのままだったり、使っていないアカウントが残っていたりすると、攻撃の入口になることがあります。

被害はお金だけでは終わりません

ランサムウェア被害で怖いのは、復旧費用だけではありません。 業務が止まる時間、取引先への説明、信用低下、再発防止の対応、社員の負担など、目に見えにくい損失も発生します。

警察庁の資料では、ランサムウェア被害による調査・復旧費用が高額化しており、1,000万円以上を要した組織の割合が増えていることも示されています。 中小企業にとって、これは非常に大きな負担です。

つまり、セキュリティ対策は「余裕ができたらやるもの」ではありません。 会社を止めないため、取引を守るため、従業員を守るために、今から始めるべき備えです。

まず確認したい5つのこと

では、何から始めればよいのでしょうか。 最初から高額なシステムを入れる必要はありません。 まずは、自社の状態を確認することが大切です。

この5つは、専門知識がなくても始められる確認です。 大切なのは、完璧を目指して止まることではありません。 まず現状を見える化し、危ないところから順番に直していくことです。

経営者・責任者が今日考えるべきこと

セキュリティ対策は、担当者だけに任せきりにすると進みにくくなります。 なぜなら、対策にはお金、時間、人の協力が必要だからです。

たとえば、パスワード管理を変えるには社員の協力が必要です。 古い機器を入れ替えるには予算が必要です。 バックアップを整えるには運用ルールが必要です。 取引先に説明するには、会社としての方針が必要です。

だからこそ、経営者や責任者が「これは会社を守るための仕事だ」と位置付けることが重要です。 現場に丸投げするのではなく、会社全体で少しずつ整えていく姿勢が求められます。

まとめ＋要約

• SCS評価制度は、サプライチェーン全体の安全対策を見える化するための制度です。
• 中小企業や零細企業も、取引のつながりの中で関係する可能性があります。
• セキュリティは、今後「取引先から見られる信用」の一部になります。
• ランサムウェア被害は増えており、中小企業にとっても深刻な経営リスクです。
• まずは情報、パスワード、古い機器、バックアップ、連絡体制を確認することが大切です。

次の一手： まずは、自社がどの取引先とどの情報でつながっているかを書き出してください。

FAQ

出典・参考資料

• 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」
  https://www.meti.go.jp/policy/netsecurity/scs.html
• 警察庁サイバー警察局「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」令和7年9月