経済産業省は 2025年12月26日、「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の制度構築方針案を公表し、2026年度の制度開始に向けて準備が進んでいます。
この制度は、サプライチェーン全体で最低限満たすべきセキュリティ対策を ★3〜★5 の段階で可視化する仕組みで、今後は「取引条件として準拠を求められる」ケースも増えていくと見込まれます。

その一方で、実際に準拠を目指す企業の現場では、次のような悩みが聞こえてきます。

「アラートは出ているのに、夜間は誰も見ていない。翌朝の対応では手遅れかもしれない…」
「ログがあちこちに散らばっていて、攻撃全体像を上司に説明できない。毎回の報告書が地獄…」
「クラウドの設定ってどこまで自社責任? 設定ミスも評価対象って言われると不安しかない…」

こうした悩みは、まさに制度で求められる★3・★4の要件と密接に関係しています。
そこで本記事では、まず 制度の全体像(特に★3・★4) を整理したうえで、
その中でも企業が最もつまずきやすい 「24/365の監視・検知・対応運用」 にフォーカスして解説します。

1. 制度の全容:まず押さえたい ★3・★4 の要求事項

制度の要求事項は、NIST CSF を基にした 7分類(ガバナンス、取引先管理、防御、検知、対応、復旧など) に沿って整理されています。

■ ★3(Basic)

  • 基礎的なセキュリティ対策
  • インシデント発生を前提とした復旧対策が必須に変更(実証事業の結果)
  • 専門家確認付きの自己評価

■ ★4(Standard)

  • ガバナンス、取引先管理、攻撃防御、検知、対応、復旧の包括的対策
  • 第三者による文書審査+実地審査+技術検証 が発生
  • 高度なログ管理・検知体制が必須

★3・★4に共通する重要ポイント

  • ログ収集と監視体制
  • 異常検知とアラート対応
  • インシデント対応能力(初動〜復旧)
  • 設定不備や脅威への継続的な対処(クラウドも含む)

これらは「文書を揃えるだけ」では達成できません。
実際の運用が継続していること を示す証跡が必須になります。

2. ★3・★4取得には「24/365監視・検知・対応」が実質必須な理由

■ 理由①:★3から“インシデント発生前提”の復旧対策が必須

制度改定で、復旧対策が★3から必須となりました。
これは企業から「攻撃を受けた経験から復旧は不可欠」との実証結果に基づく判断です。

復旧には以下が必要です:

  • そもそも 攻撃を検知 する
  • 早急に封じ込める
  • 復旧プロセスへ移行する

つまり、★3の時点で
検知 → 初動対応 → 復旧 が機能するセキュリティ体制
が必須です。

■ 理由②:★4では第三者が“リアルに運用状況をチェックする”

★4の技術検証では、以下が第三者により確認されます

  • 監視ログが実際に収集・保持されているか
  • アラート発生時の 対応記録(証跡)
  • 24時間監視が本当に動いているか
  • 脆弱性スキャンの実施記録
  • EDR/SIEM などの有効性

つまり、

“SOCが動いている証拠” をそのまま提出する必要がある

ということです。

■ 理由③:クラウド・SaaSの設定も評価対象(責任共有モデル)

制度では、クラウドやSaaSの 利用者側の設定 が評価対象と明示されています。3
例:

  • 多要素認証
  • 権限設定
  • 監査ログの有効化
  • セキュリティ構成の維持

これらは 継続監視 が必須の領域です。

▼ 結論

★3・★4取得には、
24/365の監視・検知・対応を担う SOC が事実上の前提要件
となります。

文書だけ揃えても不合格になる構造です。

3. 当社SOCが提供する “24/365 監視・検知・対応” サービス

制度対応の中心となる領域に絞って、当社SOCがご支援できる内容を紹介します。

■ ① 24/365 監視

  • SIEM/EDR/Firewall などのログ統合監視
  • 異常検知ルールの調整・最適化
  • クラウド(Azure/AWS/GCP、Microsoft 365)の監視

■ ② インシデント検知

  • MITRE ATT&CK ベースの検知
  • リスクレベル判定
  • 影響範囲の横展開調査

■ ③ 初動対応

  • 端末隔離(EDR連携)
  • アカウントロック/強制ログアウト
  • 不審通信の遮断

■ ④ 証跡管理(★4審査対応)

  • 審査で求められる監視ログの管理
  • アラート対応記録
  • 技術検証時の証跡提出

★4では「動いているセキュリティ」の証拠が最重要です。
当社SOCはこの部分を最も得意としています。

4. それ以外の要求事項(ガバナンス・取引先管理など)

制度では、24/365監視以外にも多くの要求(★3で25項目/★4で44項目)が存在します:

  • ガバナンス体制
  • サイバー教育
  • 取引先管理
  • 資産管理
  • 脆弱性管理
  • リスクアセスメント
  • 文書整備

これらについては、企業ごとに状況が大きく異なるため、
必要に応じてサポートいたします。お気軽にご相談ください。

5. まとめ:制度対応の核心は「運用証跡」。だから SOC が必要

SCS評価制度は 書類中心ではなく “実運用重視” の制度 です。

  • ★3では「復旧前提」が追加
  • ★4では「実地審査+技術検証」で運用そのものを確認

よって、
24/365の監視・検知・対応が機能していることが評価の中心になります。

当社SOCサービスは、この最も負荷の高い要求をワンストップで支援し、
企業の★3・★4取得に直結する「動いているセキュリティ」を実現します。

制度対応に課題がある企業様は、ぜひ一度ご相談ください。

参考
経産省の制度構築方針案(2025年12月26日公表)