
2026年7月13日(月)
「自治体のホームページを作っている」「保守を任されている」――そんなWEB制作会社にとって、これから知っておきたい新しい制度があります。名前は「SCS評価制度」。国が主導する、企業のセキュリティ対策を星の数で評価するしくみです。
まだ聞き慣れない名前かもしれません。ですが、この制度がきっかけになって、自治体から取引先(つまりWEB制作会社)に対して、これまでより厳しいセキュリティの要求が来る可能性があります。
この記事では、SCS評価制度がどんな制度なのか、なぜ自治体まわりが早く影響を受けそうなのか、そして自治体サイトを保守している会社は何から始めればいいのかを、できるだけわかりやすく説明します。
2026年3月、経済産業省と内閣官房国家サイバー統括室(国の機関)が、新しいセキュリティの評価制度を発表しました。名前は「SCS評価制度」(正式名称:サプライチェーン強化に向けたセキュリティ対策評価制度)です (経済産業省の発表)。
サプライチェーンとは、かんたんに言うと「取引先を含めた、仕事のつながり全体」のことです。自社だけでなく、外部に委託している会社(取引先)まで含めて、セキュリティ対策がしっかりできているかをチェックしよう、という考え方です。
SCS評価制度では、企業のセキュリティ対策のレベルを「★3」〜「★5」の3段階で表します。星が多いほど、しっかり対策できている、という意味になります。
| レベル | どんな会社向けか | 誰がチェックするか | チェック項目の数 | 有効期間 |
|---|---|---|---|---|
| ★3 (三つ星) |
最低限の対策ができている会社 | 専門家が確認したうえでの自己採点 | 83項目 | 1年間 |
| ★4 (四つ星) |
標準的な対策ができている会社 | 外部の専門機関が直接チェック | 157項目 | 3年間 |
| ★5 (五つ星) |
理想的な対策ができている会社 | まだ検討中 | まだ検討中 | まだ検討中 |
★3と★4は、2026年度末(2027年1〜3月ごろ)から申し込みを受け付ける予定です(NTTドコモビジネスの解説記事)。
チェックする項目は、大きく7つに分かれています。「体制づくり」「取引先の管理」「リスクの洗い出し」「攻撃を防ぐ対策」「攻撃に気づく対策」「事件が起きたときの対応」「事件からの復旧」の7つです。
今のところ、この制度に参加するかどうかは会社の自由(任意)です。ただし、すでに始まっている「SECURITY ACTION」という自己申告の制度(★1・★2)の延長線上にある制度で、この自己申告がすでに補助金の条件になっている例もあります。そのため今後は、取引先から「SCS評価制度に対応してほしい」と言われるケースが増えていくと見られています。
こうした制度ができた理由は、取引先を通じたサイバー攻撃が増えているからです。2022年には大手自動車メーカーの取引先が攻撃を受け、工場のラインが止まりました。2024年には大手印刷会社の委託先が攻撃を受け、自治体に関係する個人情報を含む大量の情報が流出しました。IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」でも、「取引先を狙った攻撃」は2026年版で組織向け脅威の2位に入っており、8年連続でランキング入りしています(IPA「情報セキュリティ10大脅威2026」)。
つまり、取引先1社の対策不足が、その先の会社や自治体にまで広がってしまう――ということが、もう珍しくなくなっているのです。
SCS評価制度そのものは、経済産業省が進める民間企業向けの制度です。「自治体から先に始まります」と国が正式に発表しているわけではありません。この点は、先にはっきりさせておきます。
とはいえ、いくつかの動きを合わせて見ると、自治体まわりが早めに影響を受けそうだと考えられる理由があります。
つまり、SCS評価制度が自治体そのものを対象にするかどうかは別として、「自治体が取引先に求めるセキュリティのものさし」として、この制度の考え方が使われていく可能性は十分にあります。そしてその場合、最初に対応を求められるのは、自治体のホームページを作ったり保守を任されたりしているWEB制作会社です。この記事では、これから「取引先」「ベンダー」という言葉を、自治体のホームページを制作・保守しているWEB制作会社という意味で使います。
そしてこの動きは、ただの建前で終わらないかもしれません。次の章で紹介するように、自治体サイトの被害は、自治体自身ではなく取引先側の管理の甘さがきっかけで起きているケースが何度も起きています。「任せているから大丈夫」では済まされない状況が生まれつつあり、自治体側がWEB制作会社に対して、これまでよりも具体的で厳しい要求(監視の証拠を見せてほしい、記録を提出してほしい、など)を出してくる可能性は十分に考えられます。
「取引先が原因で被害が起きる」というのは、想像の話ではありません。実際に何度も起きています。ここでは3つの実例を紹介します。
2026年2月25日の昼過ぎ、岐阜県大垣市にある会社「ミライコミュニケーションネットワーク」が提供するクラウドの仕組みに不具合が起きました。その影響で、全国100以上の自治体のホームページが、一時的に見られなくなりました。この日の夜には復旧しています。原因は不正アクセスやサイバー攻撃ではなく、システム側の不具合だったと発表されています(ミライコミュニケーションネットワークの発表)。
これはサイバー攻撃ではありませんが、「1つの会社の仕組みに、たくさんの自治体サイトが乗っている」という状態が、全国規模のトラブルにつながることを示す例です。
同じころ、名古屋短期大学と桜花学園大学のホームページが、CMS(ホームページを管理する仕組み)の弱点をつかれて不正アクセスを受けました。トップページのリンク先が、まったく関係のない海外のサイトに書き換えられてしまったのです。被害は2026年2月25日の朝から3月5日のお昼ごろまで、気づかれないまま続いていました(Security NEXTの記事)。
こちらは実際に「サイトが書き換えられた」例です。F-PATのような改ざん検知の仕組みが、まさに役立つ場面です。
2023年4月11日、自治体の議会中継などを請け負っていた「フューチャーイン」という会社のサーバーが、ID・パスワードを次々に試す攻撃(総当たり攻撃)を受けました。侵入された形跡が見つかったため、この会社が提供していた4つのシステムが、その日のうちに止まりました。影響を受けたのは、全国およそ90の自治体です(日経クロステックの記事)。
これは、取引先1社のパスワード管理の甘さが、90もの自治体に一気に広がった、わかりやすい例です。
この3つの例に共通しているのは、「自治体自身がしっかりしているかどうか」ではなく、「取引先の管理状態やシステムの作り」が、被害やトラブルのきっかけになっているという点です。SCS評価制度が「取引先の管理」を評価項目の柱の一つにしているのは、まさにこうした問題に対応するためだといえます。自治体サイトに関わるWEB制作会社にとって、これは他人事ではありません。
SCS評価制度の7つの分類の中に、「攻撃に気づく対策」という項目があります。専門用語ではNIST CSF(アメリカの機関が作ったセキュリティの考え方の枠組み)の「検知」という機能にあたる部分です。★3・★4のどちらにも含まれていますが、求められるレベルが違います。
| ★3 (基礎レベル) |
★4 (しっかりレベル) |
|
|---|---|---|
| どんな感じか | 最低限の防御を固める | 防御に加えて、気づく・対応する・組織で回すところまで整える |
| 求められること | 記録(ログ)を取って残しておく程度 | すぐに異常に気づける仕組み(改ざんを防ぐ、監視する、異常を検知する) |
| チェックの方法 | 専門家が確認したうえでの自己採点 | 外部の専門機関が実際に確認・検証 |
| 有効期間 | 1年間 | 3年間 |
※この項目の呼び方や区分は、まだ「案」の段階の情報にもとづいています。2026年秋ごろに発表予定の正式なガイドが出たら、内容を見直すことをおすすめします。
つまりこの制度は、「攻撃を防げているか」だけでなく、「攻撃や改ざんに、どれだけ早く気づけるか」も評価の対象にしているということです。どれだけ防御をがんばっていても、気づくのが数日〜数週間遅れれば、被害の範囲も、信頼の低下も、直す手間もどんどん大きくなります。さきほど紹介した名古屋短期大学の例でも、気づくまでに時間がかかっていました。
なお経済産業省は、「この制度に対応するために、特定のセキュリティ対策商品を必ず導入しなければいけない、というわけではない」とはっきり説明しています。改ざん検知サービスの導入は、あくまで「気づく力」を身につけるための、一つの方法です。
ここが、多くのWEB制作会社・保守担当者にとって、一番リアルな課題です。
弊社が以前、F-PATを提案するためにWEB制作会社各社のホームページを見て回っていたときのことです。ブラウザやセキュリティソフトが「マルウェアが見つかりました」という警告を出したことが、何度かありました。ホームページを”つくる側”であるはずの制作会社自身が、自社サイトの改ざんやウイルスの混入に気づいていない――これは特別なことではなく、取引先の実態として十分にあり得る話なのです。
口頭で「セキュリティ対策はしています」と聞くだけでは、こうした状態を自治体側が見抜くことはできません。SCS評価制度の★4で「外部の専門機関によるチェック」が求められているのは、こうした自己申告の限界も関係していると考えられます。
もし自社が制作・保守を任されているサイトで同じことが起きたら、どちらの責任かに関係なく、自治体などの委託元に対して説明する責任が発生します。SCS評価制度があるかどうかにかかわらず、「気づく仕組みを持っているか」は、これからも取引先として選ばれ続けられるかを左右するポイントになりつつあります。
改ざん検知サービス「F-PAT(ファイルパトロール)」は、ホームページのファイル(最大10万件)を、最短1時間おきに自動でチェックするサービスです。変化があったときは、メールですぐに知らせます。サーバーにPHPファイルを1つアップロードするだけで使い始められ、むずかしい専門知識は必要ありません。
SCS評価制度の評価項目に照らして整理すると、F-PATが役に立つのは、主に次の部分です。
すでに地方自治体をはじめ、大手のインフラ企業、機械メーカー、製薬会社など、いろいろな業種で導入されています。月額8,250円(税込)、初期費用はかかりません。SCS評価制度の申し込みが始まる前の今のうちに、「気づく仕組み」を整えておくことは、あとから慌てて対応する負担を減らすことにもつながります。
ホームページのファイル最大10万件を、最短1時間おきに監視。変化があればすぐにメールで知らせます。むずかしい設定は不要で、専門知識がなくても使えます。