SCS 評価制度の★3・★4 要件とインフラ設計|FortiGate での実装ポイント

  • URLをコピーしました!
目次

はじめに

2026 年 3 月、経済産業省および内閣官房国家サイバー統括室より「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS 評価制度)」の制度構築方針が正式に確定・公表されました。本制度は、取引先を含めたサプライチェーン全体のセキュリティ対策状況を共通基準で可視化し、水準の向上を図ることを目的としています。

特に 2026 年度末頃の開始が目指されている「★3」および「★4」の評価水準では、ネットワークやエンドポイントにおける具体的なセキュリティ対策が求められます。単なるガイドラインの確認にとどまらず、実際のインフラ環境においてどのように要件を満たす設計・構築を行うかが、現場のエンジニアにとって重要なテーマとなります。

この記事でわかること
  • SCS 評価制度(★3・★4)の要求事項の構造と評価方式の違い
  • 制度の適用範囲と、設計前に押さえておくべき制約
  • FortiGate を活用した境界防御の実装と運用設計のポイント
  • ★4 の技術検証に備えるエビデンス整備と、既存認証との対応関係

結論を先に述べると、★3 は書類の自己評価と専門家確認で完結する一方、★4 では実地審査と技術検証が加わり、設定・運用の実態が確認されます。したがってインフラ担当者にとっては、要求水準を満たす設計に加えて、その状態を証跡として示せる準備が要点になります。本記事では、FortiGate を用いた境界防御の実装を軸に、制度対応の準備ステップを整理します。

SCS 評価制度がインフラ設計に与える影響

なぜ今、サプライチェーン全体のセキュリティが問われるのか

近年のサイバー攻撃は、ターゲットとする大企業を直接狙うのではなく、セキュリティ対策が比較的手薄な関連企業や委託先を最初の標的とし、そこを踏み台にして最終的な標的のシステムへ侵入する手口(サプライチェーン攻撃)が主流となっています。

IPA(情報処理推進機構)が発表した「情報セキュリティ 10 大脅威 2026」でも、「サプライチェーンや委託先を狙った攻撃」は 8 年連続で選出されており、組織編の 2 位という順位も 4 年連続となっています。最新の脅威動向と企業が優先すべき対策の全体像は、関連記事『情報セキュリティ10大脅威 2026|企業が取り組むべき対策の優先順位』でも整理しています。

自社単独で守りを固めるだけでは脅威を防ぎきれなくなった背景から、取引先を含めたビジネスネットワーク全体で足並みをそろえ、防御水準の底上げを図る目的で誕生したのが「SCS 評価制度」です。

SCS 評価制度の概要と ★3・★4 の位置づけ

経済産業省が主導する本制度は、サプライチェーン全体での対策状況を共通の基準で可視化するための枠組みです。2026 年 3 月 27 日、意見公募の結果を踏まえた「制度構築方針」が正式に確定・公表されました。同方針に基づき、2026 年度末頃に ★3 および ★4 の水準から制度開始(認定を受けるための審査申請の受付開始)が目指されています。運営主体は独立行政法人情報処理推進機構(IPA)です。

参考: 経済産業省「SCS 評価制度の構築方針」
“本制度の評価基準を達成するにあたっては、特定のセキュリティ対策製品の導入が必須とされているものではありません。”
https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html

本制度において、★3 は「サプライチェーン企業が最低限実装すべきセキュリティ対策」、★4 は「標準的に目指すべきセキュリティ対策」と位置づけられています。インフラエンジニアの視点では、ポリシーを策定するだけでなく、これらの要求を満たすための具体的なネットワーク構成やエンドポイント管理の実装を行うことが重要なテーマとなります。

なお、★4 の要求事項 43 件は ★3 の 26 件を包含する構造であり、★3 を事前に取得していなくても ★4 を直接取得できます。評価方式も異なり、★3 はセキュリティ専門家による書類確認を経た自己評価であるのに対し、★4 では評価機関による文書確認に加えて実地審査と技術検証が実施されます。制度の詳細は、運営主体である IPA の「SCS 評価制度の詳細情報」ページで随時更新されています。

参考: IPA「SCS 評価制度の詳細情報」
“★3 は、セキュリティ専門家による確認を経た取得希望組織による自己評価(専門家確認付き自己評価)を求めます。”
https://www.ipa.go.jp/security/scs/details.html

制度の適用範囲と評価の実態: 設計前に押さえておく制約

要件を満たす設計に着手する前に、評価の対象範囲と評価方式の実態を押さえておくことで、後戻りを避けられます。制度構築方針の確定により、これらの制約が明確になりました。

評価の対象は IT 基盤に限られる

本制度の評価対象は、サプライチェーンを構成する企業等の IT 基盤(クラウド環境で運用するものを含む)です。PC・サーバー・ネットワーク機器・スマートフォンといった端末も対象に含まれるため、IT 資産管理体制の整備が前提となります。一方で、工場の製造ラインを制御する OT システムや、委託元に提供する製品そのものは、直接の評価対象ではありません。製造業のインフラ担当者にとっては、評価の適用範囲(スコープ)から OT 環境をどう切り分けるかが、設計上の最初の論点になります。

評価はスコープ内のサンプリングで行われる

★4 の評価は、適用範囲に含まれる資産すべてを網羅的に検査するのではなく、サンプリングによって実施される想定が示されています。適用範囲を広く取るほど検証の負荷とコストが増える関係にあるため、どこまでを申請の適用範囲に含めるかは、事業上の必要性と評価負荷のバランスで判断することになります。なお、有効期間中に社内規定の大幅な変更や、管理対象端末・サーバーの大規模なリプレイス、クラウド基盤への移行などで適用範囲に変更が生じた場合は、審査を受け直すこととなる点にも留意が必要です。

★3 と ★4 は評価方式が根本的に異なる

★3 は書類の自己評価と専門家確認で完結しますが、★4 は評価機関による文書確認・ヒアリング・実地審査に加え、技術検証事業者による技術検証が実施されます。PwC の解説によれば、★4 の評価は文書確認・実地審査・技術検証の 3 つで構成され、それぞれ 1〜2 日程度が目安とされています(事前準備や報告書作成の日数は含みません)。文書が整っているだけでは ★4 は通らず、実際の設定・運用状態が検証されるという点が、インフラ設計者にとっての要点です。

参考: PwC Japan「SCS 評価制度の具体化と今後の展開について」
“技術検証においてインターネットに公開しているリスクの大きい資産に対する脆弱性検査、またはそれに相当する検証の証跡確認が求められる”
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/security-measures-assessment-system-concreteization.html

SCS の評価水準(★3・★4)と FortiGate 機能のマッピング

※本項のマッピングは、SCS 評価制度のガイドラインで求められている要件(通信の監視や厳格なアクセス制御など)を、FortiGate の具体的な機能に当てはめた実務上の解釈・一例です。特定製品の導入が必須とされているものではありません。

これらの要求水準を FortiGate の具体的な機能に当てはめると、インフラ設計の要件として以下のように整理できます。

★3(最低限実装すべき水準)に対応する主な機能

サイバー攻撃による初期侵入や、内部での被害拡大を抑えるための基本的な境界防御が求められます。

  • NGFW(次世代ファイアウォール): アプリケーションレベルでの細かな通信制御
  • Web フィルタリング / ゲートウェイ AV: 悪意あるサイトへのアクセス遮断と既知のマルウェア検知
  • IPS(侵入防止システム): 仮想パッチとしての活用(パッチ適用の代替措置として推奨されます)
  • セキュア VPN: IPsec や Agentless VPN を用いた安全なリモートアクセス経路の確保 ※

※ FortiOS 7.6.3 以降、SSL-VPN トンネルモードは全モデルで廃止され(GUI・CLI から削除)、IPsec VPN に置き換えられました。既存の SSL-VPN トンネルモード設定はアップグレード時に引き継がれないため、7.6.3 以降へのアップグレード前に IPsec VPN への移行が必要です。IPsec VPN は TCP 443 での通信にも構成できるため、UDP 500/4500 が制限される環境でも移行できます。

参考: Fortinet FortiOS 7.6.3 Release Notes — SSL VPN tunnel mode replaced with IPsec VPN
“Starting in FortiOS 7.6.3, the SSL VPN tunnel mode feature is replaced with IPsec VPN”
(FortiOS 7.6.3 以降、SSL VPN トンネルモード機能は IPsec VPN に置き換えられます)
https://docs.fortinet.com/document/fortigate/7.6.3/fortios-release-notes/173430/ssl-vpn-tunnel-mode-no-longer-supported

★4(標準的に目指すべき水準)に対応する主な機能

より高度な攻撃を想定し、継続的な監視や厳格なアクセス制御を取り入れることが推奨されます。

  • ZTNA: 通信のたびにユーザーやデバイスの状態を検証する厳格なアクセス制御
  • SSL / TLS インスペクション: 暗号化通信を復号し、内部に潜む脅威を可視化する機能
  • Security Fabric(EDR 連携等): ネットワーク境界とエンドポイントを統合的に監視する仕組み

設計のベースとなる FortiGate の役割については、既存記事『FortiGate UTM 機能の仕組みと IPS 誤検知のリスクと対処』も参考になります。

パッチ適用の猶予期間(14 日以内)への対応と運用設計

SCS 評価制度の ★4 の評価基準では、高リスクな脆弱性が公表された場合に、修正プログラムを原則 14 日以内に適用することが一つの指標として示されています。しかし、動作検証に時間を要し、期限内の適用が困難なケースも少なくありません。

このような場合、FortiGate の IPS(侵入防止システム)機能を活用した「仮想パッチ(Virtual Patching)」の適用が有効な代替策として推奨されます。FortiGuard Labs から配信される最新のシグネチャを自動適用するように設計することで、エンドポイント側でのパッチ適用が完了するまでの間、ネットワーク境界で脆弱性を突く攻撃をブロックする運用が期待できます。

なお、FortiGate 自身のファームウェア運用に関しても、計画的なアップデートが求められます。実機でのアップデート管理については、既存記事『FortiGate 強制自動アップグレードの仕様と無効化手順』も併せて参考になります。

境界部分における通信監視と不正検知(IPS / IDS 等の設計)

14 日以内のパッチ適用が難しい場合の代替措置として、公式のガイドラインでは、対象となる情報機器とネットワークの境界部分に、通信を監視して不正な挙動を検知する機器を導入することが示されています。

インフラ設計においては、インターネットの出入口だけでなく、サーバーセグメントとクライアントセグメントの間にもファイアウォールポリシーを適用し、IPS センサーを有効化する内部境界設計(マイクロセグメンテーション)の導入をおすすめします。これにより、内部ネットワークでの横展開(ラテラルムーブメント)の防止につながります。

ゼロトラストを視野に入れたセキュアなリモートアクセス設計

外部からのアクセス経路に対しては、多要素認証(MFA)の導入や、VPN / ZTNA を用いた厳格な通信制御が推奨されます。

FortiGate を用いる場合、標準の VPN 機能に FortiToken などの MFA を組み合わせる構成が一般的です。さらに高い水準を目指す場合は、FortiOS の ZTNA 機能を活用し、ユーザーのデバイス状態(OS のバージョン等)を継続的に評価・検証するアクセス制御を取り入れることで、より強固な境界防御の実現につながります。

レジリエンス(復旧能力)を担保する運用とバックアップ

SCS 評価制度のベースとなっている NIST CSF などの基準では、攻撃を防ぐことに加え、万が一の際の「レジリエンス(復旧能力)」が重視されています。

境界防御を担う機器の障害やサイバー攻撃によるシステム停止に備え、機器の冗長化(HA 構成)だけでなく、定期的なコンフィグ(設定ファイル)のバックアップ取得と、ネットワークから隔離された安全な場所への保管をおすすめします。迅速にリストア(復元)できる手順をマニュアル化し、平時から復旧訓練を実施しておくことが、システムのダウンタイム最小化につながります。具体的な手順については、既存記事『FortiGate 設定ファイルのバックアップとリストアの手順と HA 構成の注意点』で解説しています。

★4 の技術検証に備えるエビデンス整備

★4 の技術検証では、インターネットに公開している資産への脆弱性検査、またはそれに相当する検証の証跡確認が求められます。この「証跡確認」に耐えられる状態を平時から整えておくことが、★4 を見据えるインフラ担当者の実務上の準備になります。ここでは、FortiGate を運用する環境を例に、技術検証で確認され得るポイントに対応するエビデンスの整備方針を整理します。

設定状態を示すエビデンス

技術検証や実地審査では、要求事項に対応する設定が実際に投入されているかが確認され得ます。口頭の説明ではなく、設定内容そのものを提示できる状態にしておくことが有効です。具体的には、ファイアウォールポリシーの構成、IPS センサーの適用状況、管理アクセスの制限設定などを、設定ファイル(コンフィグ)や GUI の画面で提示できるように整理しておくことが考えられます。FortiGate の設定バックアップの取得手順は、前掲の既存記事『FortiGate 設定ファイルのバックアップとリストアの手順と HA 構成の注意点』で解説しています。

運用の継続性を示すエビデンス

設定が投入されていることに加えて、それが継続的に運用されている記録も証跡になります。IPS シグネチャや脆弱性定義の更新履歴、ファームウェアのアップグレード記録、ログの取得・保管状況などが該当します。特に前掲の仮想パッチ運用を ★4 の代替措置として位置づける場合、IPS が実際に有効化され、シグネチャが最新に保たれていることを示せる状態が求められます。

公開資産の棚卸し

技術検証がインターネット公開資産を対象とする以上、自社がインターネットに公開している資産を漏れなく把握していることが前提になります。意図せず公開されている管理インターフェースや、放置された検証環境が検査対象に含まれると、想定外の指摘につながります。ASM(Attack Surface Management)の考え方で、外部から見える自社の資産を定期的に棚卸ししておくことを推奨します。

既存の認証・ガイドラインとの関係

SCS 評価制度は既存の認証やガイドラインを置き換えるものではなく、相互補完的な位置づけとして整理されています。すでに何らかの取り組みを進めている場合、その資産を SCS 対応に活かせる部分は少なくありません。主な制度・ガイドラインとの対応関係を整理します。

制度・ガイドラインSCS 評価制度との対応関係インフラ担当者の観点
SECURITY ACTION(★1・★2)★1・★2 として制度体系に組み込まれる自己宣言。★3 の準備段階に位置づけられる自己宣言のため技術的検証はない。★3 への土台づくりとして着手できる
ISMS(ISO/IEC 27001)相互補完的に発展させる方針。★3 の要求事項の多くをカバーし得るルールの整備に強い一方、技術的対策の実装状況は SCS 側で別途確認が必要
自工会・部工会ガイドライン★3 が Lv1、★4 が Lv2 に対応自動車系サプライヤーで Lv2 対応済みなら ★4 取得を進めやすい
NIST CSF★3・★4 の 7 分類のベース(CSF の 6 機能+取引先管理)CSF ベースで対策してきた企業は既存の整理を流用しやすい

ISMS を取得済みの企業は ★3 の要求事項の多くをすでにカバーしている可能性がありますが、SCS 評価制度はサプライチェーン固有の取引先管理や、対策が実際に稼働しているかという技術面を重視する傾向があります。ISMS の文書体系がそのまま ★4 の技術検証を通過させるわけではないため、要求事項との差分(ギャップ)を確認したうえで、技術的対策の実装漏れを埋める作業が必要になります。

制度開始に向けた準備と対応費用の考え方

2026 年 3 月 27 日に正式確定した制度構築方針により、★3・★4 の要求事項と評価基準の項目数が公開されました。

確定した要求事項・評価基準の概要

★3(Basic): 要求事項 26 件・評価基準 81 項目。自己評価の後、制度用研修を受けたセキュリティ専門家(情報処理安全確保支援士・公認情報セキュリティ監査人・CISSP・CISA・CISM・ISO27001 主任審査員等)による確認を経て申請する「専門家確認付き自己評価」方式。有効期限は 1 年間。

★4(Standard): 要求事項 43 件・評価基準 153 項目。認定を受けた評価機関による第三者評価に加え、技術検証事業者による技術検証を実施する方式。

なお、★3 の確認を担うセキュリティ専門家の要件として、IPA は上記資格のいずれかの保持に加えて、制度専用研修の受講と事務局への登録を挙げています。専門家向け研修を実施する研修事業者は 2026 年 12 月末頃より公表予定です。また、具体的な審査チェックリストに相当する「評価ガイド」は、2026 年秋頃を目途に公表される予定です。

参考: 経済産業省「SCS 評価制度の構築方針」
“要求事項・評価基準を満たす具体的な実装例などをまとめた評価ガイド等は、2026 年秋頃を目途に公表する予定です。”
https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html

今から始められる準備

現段階では、公表済みの要求事項をベースとした自社インフラの現状把握が第一歩となります。あわせて、IPA が 2026 年 3 月 27 日付で改訂・公開した「中小企業の情報セキュリティ対策ガイドライン」は、SCS 評価制度の要求事項に対応する形で内容が拡充されており、自己評価の際の参考資料として活用できます。

自社単独での評価が難しい場合は、実績のあるセキュリティ診断(脆弱性診断)サービスの活用や、IPA の「中小企業向けサイバーセキュリティ対策支援者リスト」に掲載される登録セキスペによるセキュリティアセスメントを先行して受けておくことも、制度開始に備えた有効な準備といえます。

また、中小企業向けの支援策として、★3・★4 の取得を安価かつ簡便に支援する「サイバーセキュリティお助け隊サービス(新類型)」の創設が予定されています。その制度設計のための実証事業は IPA が実施主体となり、現在サービス提供事業者の募集が行われています。中小企業向けの実証参加の申込みは 2026 年 8 月頃より受付開始予定で、実証期間は 2026 年 8 月頃から 2027 年 9 月頃までの約 1 年間とされています。実証参加企業は、★3 または ★4 取得のための支援サービスを試行的に受けられるため、制度開始前に対応を進めたい中小企業にとって有力な選択肢となります。

対応費用の考え方と補助金の活用

SCS 対応にかかる費用については、活用できる制度と、取引上の考え方の両面があります。

★3・★4 対応に向けた IT 製品・サービスの導入では、補助金を活用できる場合があります。中小企業向けの補助制度は年度ごとに枠組みや名称、公募期間が変わるため、活用を検討する際は、独立行政法人中小企業基盤整備機構や IPA の公式ページで最新の公募情報を確認することを推奨します。

あわせて知っておきたいのが、対策費用の取引価格への反映です。経済産業省と公正取引委員会は、発注元がセキュリティ対策を要請する際の独占禁止法・下請法との関係を整理し、対策費用の取引価格への反映(価格転嫁)について協議することが「問題とならない」ケースを示しています。発注元から ★4 相当の対策を求められた場合、それに伴う設備導入費や運用の人件費を、持ち出しのコストではなく取引価格に反映すべき費用として協議する余地があります。インフラ投資の予算取りにおいて知っておく価値のある論点です。

まとめ

本記事では、SCS 評価制度の要求水準を実際のネットワーク環境やインフラ設計に落とし込むための考え方を解説しました。★3 と ★4 では評価方式が大きく異なり、★4 では設定・運用の実態が技術検証で確認されます。要求水準を満たす設計に加えて、その状態を証跡として示せる準備が要点になります。

  • SCS 評価制度の制度構築方針が 2026 年 3 月に確定し、2026 年度末頃の開始を予定
  • 評価対象は IT 基盤に限られ、OT システムや提供製品は直接の対象外
  • ★4 は文書確認に加え実地審査と技術検証を伴い、設定・運用の実態が問われる
  • 期限内のパッチ適用が難しい場合、FortiGate の IPS による仮想パッチ運用が代替策
  • FortiOS 7.6.3 以降は SSL-VPN トンネルモードが廃止され IPsec VPN への移行が前提
  • 技術検証に備え、設定と運用継続を示すエビデンスと公開資産の棚卸しを準備
  • ISMS や自工会ガイドライン等の既存の取り組みは SCS 対応に活用できる

以上、最後までお読みいただきありがとうございました。

よかったらシェアしてね!
  • URLをコピーしました!

この記事を書いた人

関西を拠点に活動する、現役インフラエンジニア。経験20年超。

大手通信キャリアにて、中〜大規模インフラ(ネットワーク・サーバ・クラウド・セキュリティ)の設計・構築およびプロジェクトマネジメントに従事。現場で直面した技術課題への対処や、最新の脆弱性情報への実務対応を、一次情報として発信しています。

保有資格
CCIE Lifetime Emeritus(取得から20年以上)/ VCAP-DCA / Azure Solutions Architect Expert

▶ 運営者プロフィール(詳細)

目次