大企業の8割超が「SCS評価制度」※への対応を開始・検討 取引先に求める水準は「星3相当」が中心、将来的には「星4相当」への期待も

エムオーテックス株式会社（本社：大阪市淀川区、代表取締役社長：徳毛 博幸、以下MOTEX）は、従業員数1,000名以上の企業に所属する情シス・セキュリティ担当者1,000名を対象に、経済産業省が推進する「SCS評価制度」に関する実態調査を実施しました。 

※「SCS評価制度」は、「サプライチェーン強化に向けたセキュリティ対策評価制度」の略称です。（2026年3月に経済産業省が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」より） 

近年、サプライチェーンを狙ったサイバー攻撃が増加しており、対策の手薄な取引先を経由して被害が拡大するリスクが高まっています。こうした背景から、企業には自社単独ではなく、取引先を含めたサプライチェーン全体でのセキュリティ対策が求められています。 

今回の調査では、大企業の83.5％がSCS評価制度への対応に向けて情報収集や準備を進めていることが明らかになりました。また、制度開始初年度は取引先に対して「星3相当」の対策水準を求める回答が多かった一方、2〜3年後には「星4相当」への期待が高まる傾向も見られました。 

■調査結果サマリ 

• 大企業の8割超がSCS評価制度への対応を開始・検討

• 約半数で経営層からセキュリティ強化の指示、取引先にも一定水準での確認・改善を求める動き

• 初年度は「星3相当」、2〜3年後は「星4相当」への期待が高まる傾向 

■調査背景

経済産業省は、企業のセキュリティ対策を共通基準で評価・可視化する「SCS評価制度」の検討を進めており、2026年度末の開始に向けた動きが本格化しています。一方で、発注側企業にとっては、取引先の対策状況を客観的に把握しづらいこと、受注側企業にとっては、企業ごとに異なる要求への対応負担を抱えていることも課題となっています。そこで今回MOTEXは、SCS評価制度に対する大企業の対応状況や、取引先に求めるセキュリティ水準の実態を調査しました。 

■「SCS評価制度に関する実態調査」の概要

【調査内容】 

• SCS評価制度への対応状況 

• 取引先に求めるセキュリティ水準

• 経営層からのセキュリティ強化指示の有無

• 星取得を要請する対象企業

• 取引条件への配慮意識 など

【調査方法】

■TOPICS1：大企業の8割超がSCS評価制度への対応を開始・検討 

はじめに、「SCS評価制度の対応に向けて、現在の自社の状況として最も近しいものを選んでください」と質問したところ、「すでに対応・準備を進めている」が37.6％、「情報収集・検討段階である」が45.9％となり、合計で83.5％の企業が情報収集や準備を進めていることが分かりました。

また、「取引先（委託先・発注先企業）がサイバー攻撃被害を受けることは、自社の事業上のリスクだと感じていますか」と尋ねたところ、「強く感じる」が47.0％、「ある程度感じる」が44.8％となり、合計91.8％がリスクと認識している結果となりました。

これらの結果から、8割以上の組織が、SCS評価制度（セキュリティ対策評価制度）への対応に向けて情報収集や準備を進めており、制度対応への意識が高まっていると考えられます。​

 

■TOPICS2：約半数で経営層からセキュリティ強化の指示、取引先にも一定水準以上を求める動き 

「SCS評価制度の星を獲得するために、経営層からセキュリティ対策強化の指示はありましたか」と質問したところ、「セキュリティ強化の指示があった」が48.4％と、約半数にのぼりました。 

また、「今後、取引先（委託先・発注先企業）のセキュリティ対策について、どのレベルまで求める必要があると感じていますか」と質問したところ、「問題があれば改善要請」が52.5％で最多となりました。 

■TOPICS3：初年度は「星3相当」、2〜3年後は「星4相当」への期待が高まる傾向 

「SCS評価制度が開始された初年度に、取引先へ最低限求めたい対策水準」を取引先の属性別に尋ねたところ、各取引先属性で星3相当を求める回答が多い結果となりました。 

たとえば、事業継続に大きな影響がある取引先では星3相当が35.6％、星4相当が16.3％、システム的に接続している取引先では星3相当が36.4％、星4相当が16.4％でした。 

一方で、「開始して2〜3年後に期待したい対策水準」については、星4相当を期待する割合が上昇しています。 

事業継続に大きな影響がある取引先では星4相当が22.3％、システム的に接続している取引先でも星4相当が22.6％となりました。 

■まとめ 

本調査では、2026年度末に開始が予定されているSCS評価制度に向けて、多くの大企業がすでに対応や検討を進めていることが明らかになりました。加えて、取引先のセキュリティリスクを自社の事業リスクと捉える企業が多く、制度対応の影響はサプライチェーン全体へ広がると考えられます。 

■ MOTEXについて（調査発表元） 

MOTEXは国産のセキュリティメーカーとして、「Secure Productivity（安全と生産性の両立）」をミッションに掲げ、LANSCOPEブランドのプロダクト・サービス提供を通じて、“デジタルセキュリティの課題から、人と社会を解放する”ことを目指しています。 

▷ MOTEXコーポレートサイト　https://www.motex.co.jp/ 

▷ 会社案内　https://www.motex.co.jp/company/overview/ 

LANSCOPE（ランスコープ）のプロダクト・サービスは、『デバイス』を軸としたIT資産管理・情報漏洩対策・マルウェア対策から、『人』を軸としたID・アクセス管理（IAM）までを網羅。さらに、これらを最適化する診断・コンサルティングを通じて、お客様のサイバーセキュリティ課題の解決をトータルでご支援しています。 

▷ LANSCOPE総合サイト　https://www.lanscope.jp/ 

▶  MOTEXが提供する「ガイドライン対応サポートアカデミー」について 

MOTEXが提供する『ガイドライン対応サポートアカデミー』は、あらゆる企業・組織のセキュリティレベルの向上を「アカデミー形式」で支援するセキュリティコンサルティングパッケージです。コンサルタントによる個別支援に加え、ポータルを活用した動画学習を通じて、体系的かつ効果的にセキュリティガイドラインの遵守を支援します。 

本サービスでは、経済産業省が2026年3月に公開した「要求事項・評価基準」をもとに、星3星4の獲得に向けた支援が可能です。現在、星4水準を含めた総合的なセキュリティ対策の強化を段階的に進められるよう、ガイドライン対応を始められたばかりのお客様向けの「学習コース（ベーシック）」と、対策の定着および継続的な改善を目的とするお客様向けの「実践コース（ベーシック）」を提供しています。今後は、段階的に対応範囲を広げていきたいお客様向けに星3水準に特化した「実践コース（ライト）」の提供を予定しています。 

『ガイドライン対応サポートアカデミー』についてはこちら 

https://www.lanscope.jp/professional-service/lp/sapoaka-security-measures-assessment/ 

・記載の会社名およびプロダクト名・サービス名は、各社の商標または登録商標です。 

・記載の内容は発表日時点のものです。最新の情報と異なる場合がございますのでご了承ください。