SCS評価制度 2026年版 完全ガイド

SCS評価制度とは?
認証要件・評価レベル・FIDO2対応を
徹底解説

経済産業省が推進するサプライチェーン・セキュリティ評価制度(SCS)。防衛・半導体・重要インフラ産業での取引に必須となる認証要件と、効率的な対応方法を解説します。

2026年4月公開 2026年5月更新 Net Peace株式会社
目次
  1. SCS評価制度とは
  2. 評価レベル(Level 1〜4)
  3. 認証要件の詳細
  4. FIDO2・パスキーとの関係
  5. SCS対応ロードマップ
  6. サプライチェーン全体での対応
  7. Keyperによる対応ソリューション
  8. よくある質問(FAQ)

1SCS評価制度とは

定義

SCS(サプライチェーン・セキュリティ)評価制度とは、経済産業省が策定するサプライチェーン全体のセキュリティ水準を評価・認定するフレームワークです。防衛・重要インフラ・半導体産業を中心に、取引先企業のセキュリティ対策が一定基準を満たしているかを評価します。

背景には、近年急増するサプライチェーン攻撃があります。攻撃者はセキュリティの弱い下請け・協力会社を踏み台に、元請け企業や政府機関への侵入を試みます。2021年のSolarWinds攻撃、2023年の国内防衛関連企業への侵害など、サプライチェーンを経由した重大インシデントが続いています。

SCS評価制度は米国のCMMC(Cybersecurity Maturity Model Certification)およびNIST SP 800-171に相当する日本版フレームワークとして位置づけられており、日米双方の防衛調達に関わる企業はこれら両制度への対応が求められます。

対象産業

  • 防衛・航空宇宙
  • 半導体・電子部品
  • エネルギー・電力
  • 通信インフラ
  • 金融・決済

適用スケジュール

  • 2025年:試行運用開始
  • 2026年:防衛調達への段階適用
  • 2027年以降:全重要インフラへ展開

国際整合

  • NIST SP 800-171 対応
  • CMMC Level 2 相当
  • ISO/IEC 27001 連携

2評価レベル(Level 1〜4)

SCS評価制度は4段階の評価レベルで構成されています。取引内容・情報の機密度・産業分野によって要求されるレベルが異なります。

レベル 概要 認証要件 MFA要件 主な対象
Level 1 基本的なサイバーセキュリティ対策 自己評価 任意 一般取引先
Level 2 NIST SP 800-171 基本110項目 第三者評価 必須(TOTP可) 一般調達先
Level 3 フィッシング耐性MFA・アクセス制御強化 第三者評価+監査 フィッシング耐性MFA必須 重要情報取扱先
Level 4 高度な脅威への対応・継続的モニタリング 政府認定機関評価 AAL3相当(FIDO2/ハードウェアキー) 機密情報取扱先
注意:SMS認証・メールOTPはLevel 3以上の「フィッシング耐性MFA」要件を満たしません。Level 2以上の取引先になるためには、TOTP(Google Authenticator等)以上、Level 3以上ではFIDO2/パスキー等への移行が必要です。

3認証要件の詳細

SCS評価制度における認証要件は、NIST SP 800-63B の「Authenticator Assurance Level(AAL)」に基づいて設定されています。

AAL1

SCS Level 1相当

  • パスワード認証
  • SMS OTP
  • メール認証

フィッシング・リプレイ攻撃に脆弱

AAL2

SCS Level 2〜3相当

  • TOTP(Google Authenticator等)
  • プッシュ認証
  • FIDO2(ソフトウェア)

Level 3ではフィッシング耐性が必要

推奨
AAL3

SCS Level 3〜4相当

  • FIDO2/パスキー
  • ハードウェアセキュリティキー(YubiKey等)
  • PKI/スマートカード

フィッシング・リプレイ攻撃に根本耐性

その他の主要要件

IDライフサイクル管理

入社・異動・退職に応じたアカウントのプロビジョニング・変更・削除の自動化。残留アカウントはSCS審査の主要な指摘事項。

アクセス記録・監査証跡

誰がいつどのシステムにアクセスしたかの完全な記録。監査時に提出できる形式での保存が必要。

特権アクセス管理(PAM)

管理者権限・特権アカウントの管理。最小権限の原則に基づく承認ワークフロー。

ゼロトラスト・アクセス制御

ネットワーク境界に依存しない継続的な認証・認可。デバイス状態・リスクスコアの動的評価。

4FIDO2・パスキーとSCS評価制度

FIDO2(Fast Identity Online 2)は、パスワードを使わない公開鍵暗号方式の認証標準です。パスキー(Passkey)はFIDO2をより使いやすくしたもので、Apple・Google・Microsoftが共同で推進しています。

従来の認証

  • パスワード+SMS OTP
  • フィッシングで盗まれる
  • SIM スワッピング攻撃に脆弱
  • SCS Level 3 要件を満たせない

FIDO2/パスキー

  • パスワードレス認証
  • フィッシング耐性(秘密鍵はデバイス内)
  • リプレイ攻撃無効
  • NIST SP 800-63B AAL2〜3準拠
  • SCS Level 3〜4 要件を満たす
なぜFIDO2はフィッシング耐性があるのか?
FIDO2では認証時にサーバーへパスワードや秘密鍵を送信しません。デバイス内の秘密鍵でサーバーからのチャレンジに署名するだけです。偽サイトにアクセスしても、ドメインが異なるためチャレンジの署名が成立せず、クレデンシャルを盗むことができません。

5SCS対応ロードマップ

SCS評価制度への対応は段階的に進めることが現実的です。以下のロードマップを参考にしてください。

STEP 1

現状把握・ギャップ分析

目標とするSCS評価レベルを確認し、現状のID管理・認証方式・アクセス制御とのギャップを洗い出します。

  • 全アカウント・権限の棚卸し
  • 現在の認証方式の評価
  • 残留アカウント・過剰権限の特定
STEP 2

MFA導入(Level 2対応)

全システムへのMFA適用。まずTOTPやプッシュ認証から始め、Level 2認証要件をクリアします。

  • 認証基盤の選定・導入
  • 全ユーザーへのMFA展開
  • ヘルプデスク対応フロー整備
STEP 3

FIDO2/パスキー移行(Level 3対応)

フィッシング耐性MFAへの移行。FIDO2/パスキーを全ユーザーに展開し、Level 3認証要件を満たします。

  • FIDO2対応IdPの導入
  • パスキー登録・管理フロー整備
  • 既存AD/LDAPとの統合
STEP 4

IDライフサイクル自動化・監査証跡(Level 3〜4対応)

入退社・異動時のアカウント管理自動化と監査証跡の整備でLevel 3〜4の全要件に対応します。

  • HRシステム連携による自動プロビジョニング
  • アクセスログの一元管理・保存
  • 定期的な権限レビューフロー

6サプライチェーン全体での対応

SCS評価制度の本質は「自社だけでなくサプライチェーン全体のセキュリティ水準を確保する」ことにあります。元請け企業が独自に対応しても、下請け・協力会社の認証が脆弱であれば評価要件を満たせません。

元請け企業 SCS Level 3〜4
1次下請け SCS Level 2〜3
2次下請け SCS Level 1〜2
解決策:元請け企業が認証基盤を整備し、下請け・協力会社にもFIDO2認証アカウントを発行することで、追加コストを最小化しながらサプライチェーン全体のSCS対応を実現できます。Keyperはマルチテナント構造でこの統一認証基盤の提供に対応しています。

7KeyperによるSCS評価制度対応

KeyperはSCS評価制度のLevel 3〜4に必要な認証要件をすべてカバーするIDガバナンス基盤です。

FIDO2/パスキー認証

フィッシング耐性MFA要件に対応。NIST SP 800-63B AAL3準拠のパスワードレス認証を提供。

IDライフサイクル自動管理

入社・異動・退職に応じたアカウント管理の完全自動化。残留アカウントゼロを実現。

監査証跡自動化

すべてのアクセスログを自動収集・保存。SCS審査に必要な証跡を即時出力。

サプライチェーン統一認証

元請け〜下請けを一つの認証基盤で管理。マルチテナント構造でコストを最小化。

Keyperの詳細を見る 無料デモを申し込む

8よくある質問(FAQ)

SCS評価制度とは何ですか?

SCS(サプライチェーン・セキュリティ)評価制度は、経済産業省が策定するサプライチェーン全体のセキュリティ基準です。防衛・重要インフラ・半導体産業を中心に、取引先企業のセキュリティ水準を評価・認定する仕組みで、NIST SP 800-171およびCMMCに相当する日本版フレームワークです。

SCS評価制度の認証要件でMFAはどのレベルから必要ですか?

Level 2以上でMFAが必須となり、Level 3以上ではフィッシング耐性MFA(FIDO2/パスキーなどAAL2〜AAL3相当)が要求されます。SMS認証やメールOTPはフィッシング耐性がないため、Level 3認証の要件を満たしません。

FIDO2とパスキーはSCS評価制度の認証要件を満たしますか?

はい。FIDO2/パスキーはNIST SP 800-63B AAL2〜AAL3に対応するフィッシング耐性認証方式であり、SCS評価制度のLevel 3〜4認証要件を満たします。クレデンシャルはデバイスに紐づき、サーバーへの秘密鍵送信がないためフィッシング・リプレイ攻撃に対して根本的に耐性があります。

SCS評価制度に対応するために最初に何をすればよいですか?

まず対象となる評価レベルを確認し、現状のID管理・認証方式・アクセス制御のギャップ分析を行います。次に優先度の高いシステムへのMFA導入、その後フィッシング耐性MFA(FIDO2)への移行、IDライフサイクル管理の自動化と監査証跡整備の順で進めることが推奨されます。

SCS評価制度はいつから適用されますか?

SCS評価制度は段階的に整備が進んでいます。防衛省の調達要件では2026年度より段階適用が予定されており、半導体・重要インフラ分野でも同様のスケジュールで展開される見通しです。早期対応により競合他社との差別化と取引機会の確保が期待できます。

サプライチェーン全体(元請け〜下請け)でどう対応すればよいですか?

元請け企業が認証基盤(例:Keyper)を整備し、下請け・協力会社にもFIDO2認証アカウントを発行することで、サプライチェーン全体を一つの認証基盤で統一管理できます。これにより各社が個別にシステムを導入するコストを削減しつつ、SCS評価制度の「サプライチェーン全体の統制」要件を効率的に満たすことができます。

既存のActive Directory環境でSCS評価制度に対応できますか?

Active Directory単独ではSCS評価制度のLevel 3以上の認証要件(フィッシング耐性MFA)を満たせません。AD環境に対してFIDO2対応のIDガバナンス基盤を重ね合わせることで、既存インフラを大幅に変更せずにSCS評価制度対応を実現できます。KeyperはオンプレミスおよびクラウドAD環境に対応しています。

CMMC Level 2とSCS評価制度の違いは何ですか?

CMMC(米国)はNIST SP 800-171をベースとした防衛サプライチェーン向け認証制度で、SCS評価制度は日本版に相当します。認証要件の構造は類似しており、FIDO2/パスキーによるフィッシング耐性認証とIDライフサイクル管理の自動化は両制度で有効な対策です。日米双方の調達に関わる企業は両制度を同時に満たす統合対応が効率的です。

SCS評価制度対応の相談はNet Peaceへ

ギャップ分析から認証基盤導入・審査対応まで、専門スタッフが一貫支援します。

無料相談・デモを申し込む Keyperを見る