HOME  >  トピックス  >  SCS評価制度とは?自治体とWEB制作・運用ベンダーに広がる「改ざん早期検知」の必要性

トピックス : WEBサーバー監視サービスF-PAT【ファイルパトロール】

2026年7月13日(月)

SCS評価制度とは?自治体とWEB制作・運用ベンダーに広がる「改ざん早期検知」の必要性

「自治体のホームページを作っている」「保守を任されている」――そんなWEB制作会社にとって、これから知っておきたい新しい制度があります。名前は「SCS評価制度」。国が主導する、企業のセキュリティ対策を星の数で評価するしくみです。

まだ聞き慣れない名前かもしれません。ですが、この制度がきっかけになって、自治体から取引先(つまりWEB制作会社)に対して、これまでより厳しいセキュリティの要求が来る可能性があります。

この記事では、SCS評価制度がどんな制度なのか、なぜ自治体まわりが早く影響を受けそうなのか、そして自治体サイトを保守している会社は何から始めればいいのかを、できるだけわかりやすく説明します。

目次

  1. SCS評価制度とは?2026年度末に始まる新しいルール
  2. なぜ「まず自治体」が影響を受けそうなのか
  3. 自治体サイトの弱点は、取引先(WEB制作会社)にあることが多い
  4. SCS評価制度が求める「気づく力」とは
  5. 自社サイトの被害に、どれだけ早く気づけるか
  6. F-PATができること
  7. まとめ|制度が本格的に始まる前に、できることから

1. SCS評価制度とは?2026年度末に始まる新しいルール

2026年3月、経済産業省と内閣官房国家サイバー統括室(国の機関)が、新しいセキュリティの評価制度を発表しました。名前は「SCS評価制度」(正式名称:サプライチェーン強化に向けたセキュリティ対策評価制度)です (経済産業省の発表)。

サプライチェーンとは、かんたんに言うと「取引先を含めた、仕事のつながり全体」のことです。自社だけでなく、外部に委託している会社(取引先)まで含めて、セキュリティ対策がしっかりできているかをチェックしよう、という考え方です。

SCS評価制度では、企業のセキュリティ対策のレベルを「★3」〜「★5」の3段階で表します。星が多いほど、しっかり対策できている、という意味になります。

レベル どんな会社向けか 誰がチェックするか チェック項目の数 有効期間
★3
(三つ星)
最低限の対策ができている会社 専門家が確認したうえでの自己採点 83項目 1年間
★4
(四つ星)
標準的な対策ができている会社 外部の専門機関が直接チェック 157項目 3年間
★5
(五つ星)
理想的な対策ができている会社 まだ検討中 まだ検討中 まだ検討中

★3と★4は、2026年度末(2027年1〜3月ごろ)から申し込みを受け付ける予定です(NTTドコモビジネスの解説記事

チェックする項目は、大きく7つに分かれています。「体制づくり」「取引先の管理」「リスクの洗い出し」「攻撃を防ぐ対策」「攻撃に気づく対策」「事件が起きたときの対応」「事件からの復旧」の7つです。

今のところ、この制度に参加するかどうかは会社の自由(任意)です。ただし、すでに始まっている「SECURITY ACTION」という自己申告の制度(★1・★2)の延長線上にある制度で、この自己申告がすでに補助金の条件になっている例もあります。そのため今後は、取引先から「SCS評価制度に対応してほしい」と言われるケースが増えていくと見られています。

こうした制度ができた理由は、取引先を通じたサイバー攻撃が増えているからです。2022年には大手自動車メーカーの取引先が攻撃を受け、工場のラインが止まりました。2024年には大手印刷会社の委託先が攻撃を受け、自治体に関係する個人情報を含む大量の情報が流出しました。IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」でも、「取引先を狙った攻撃」は2026年版で組織向け脅威の2位に入っており、8年連続でランキング入りしています(IPA「情報セキュリティ10大脅威2026」

つまり、取引先1社の対策不足が、その先の会社や自治体にまで広がってしまう――ということが、もう珍しくなくなっているのです。

2. なぜ「まず自治体」が影響を受けそうなのか

SCS評価制度そのものは、経済産業省が進める民間企業向けの制度です。「自治体から先に始まります」と国が正式に発表しているわけではありません。この点は、先にはっきりさせておきます。

とはいえ、いくつかの動きを合わせて見ると、自治体まわりが早めに影響を受けそうだと考えられる理由があります。

  • 国の入札で使われ始める可能性がある:SCS評価制度の星の数を、国の仕事を発注するときの評価ポイントにする、という話がすでに出ています。将来は必須の条件になるかもしれない、とも言われています。実は、ISMSやプライバシーマークといった別の認証制度も、最初は自治体や官公庁の入札条件として広まっていきました。今回も同じ流れになる可能性があります。
  • 総務省のガイドラインと内容が似ている:総務省(自治体を指導する国の機関)が出している「地方公共団体における情報セキュリティポリシーに関するガイドライン」では、すでにホームページの見張り(監視)や、取引先の管理を求めています。これはSCS評価制度が求める内容と近く、今後、自治体のルールにSCS評価制度の考え方が取り込まれる可能性があります。
  • 今は自治体のシステム移行が進んでいる時期:多くの自治体が、今まさに「ガバメントクラウド」という新しい仕組みへの移行を進めています。移行の途中は、外部の会社が出入りしたり、一時的に権限を広げたりすることが多く、いつもよりリスクが高まりやすい時期です。

つまり、SCS評価制度が自治体そのものを対象にするかどうかは別として、「自治体が取引先に求めるセキュリティのものさし」として、この制度の考え方が使われていく可能性は十分にあります。そしてその場合、最初に対応を求められるのは、自治体のホームページを作ったり保守を任されたりしているWEB制作会社です。この記事では、これから「取引先」「ベンダー」という言葉を、自治体のホームページを制作・保守しているWEB制作会社という意味で使います。

そしてこの動きは、ただの建前で終わらないかもしれません。次の章で紹介するように、自治体サイトの被害は、自治体自身ではなく取引先側の管理の甘さがきっかけで起きているケースが何度も起きています。「任せているから大丈夫」では済まされない状況が生まれつつあり、自治体側がWEB制作会社に対して、これまでよりも具体的で厳しい要求(監視の証拠を見せてほしい、記録を提出してほしい、など)を出してくる可能性は十分に考えられます。

3. 自治体サイトの弱点は、取引先(WEB制作会社)にあることが多い

「取引先が原因で被害が起きる」というのは、想像の話ではありません。実際に何度も起きています。ここでは3つの実例を紹介します。

例1:1つの会社のトラブルで、100以上の自治体サイトが同時に止まった(2026年2月)

2026年2月25日の昼過ぎ、岐阜県大垣市にある会社「ミライコミュニケーションネットワーク」が提供するクラウドの仕組みに不具合が起きました。その影響で、全国100以上の自治体のホームページが、一時的に見られなくなりました。この日の夜には復旧しています。原因は不正アクセスやサイバー攻撃ではなく、システム側の不具合だったと発表されています(ミライコミュニケーションネットワークの発表

これはサイバー攻撃ではありませんが、「1つの会社の仕組みに、たくさんの自治体サイトが乗っている」という状態が、全国規模のトラブルにつながることを示す例です。

例2:CMSの弱点をつかれて、サイトが書き換えられた(2026年2〜3月)

同じころ、名古屋短期大学と桜花学園大学のホームページが、CMS(ホームページを管理する仕組み)の弱点をつかれて不正アクセスを受けました。トップページのリンク先が、まったく関係のない海外のサイトに書き換えられてしまったのです。被害は2026年2月25日の朝から3月5日のお昼ごろまで、気づかれないまま続いていました(Security NEXTの記事

こちらは実際に「サイトが書き換えられた」例です。F-PATのような改ざん検知の仕組みが、まさに役立つ場面です。

例3:取引先1社への攻撃で、約90の自治体のサイトが止まった(2023年4月)

2023年4月11日、自治体の議会中継などを請け負っていた「フューチャーイン」という会社のサーバーが、ID・パスワードを次々に試す攻撃(総当たり攻撃)を受けました。侵入された形跡が見つかったため、この会社が提供していた4つのシステムが、その日のうちに止まりました。影響を受けたのは、全国およそ90の自治体です(日経クロステックの記事

これは、取引先1社のパスワード管理の甘さが、90もの自治体に一気に広がった、わかりやすい例です。

この3つの例に共通しているのは、「自治体自身がしっかりしているかどうか」ではなく、「取引先の管理状態やシステムの作り」が、被害やトラブルのきっかけになっているという点です。SCS評価制度が「取引先の管理」を評価項目の柱の一つにしているのは、まさにこうした問題に対応するためだといえます。自治体サイトに関わるWEB制作会社にとって、これは他人事ではありません。

4. SCS評価制度が求める「気づく力」とは

SCS評価制度の7つの分類の中に、「攻撃に気づく対策」という項目があります。専門用語ではNIST CSF(アメリカの機関が作ったセキュリティの考え方の枠組み)の「検知」という機能にあたる部分です。★3・★4のどちらにも含まれていますが、求められるレベルが違います。

★3
(基礎レベル)
★4
(しっかりレベル)
どんな感じか 最低限の防御を固める 防御に加えて、気づく・対応する・組織で回すところまで整える
求められること 記録(ログ)を取って残しておく程度 すぐに異常に気づける仕組み(改ざんを防ぐ、監視する、異常を検知する)
チェックの方法 専門家が確認したうえでの自己採点 外部の専門機関が実際に確認・検証
有効期間 1年間 3年間

※この項目の呼び方や区分は、まだ「案」の段階の情報にもとづいています。2026年秋ごろに発表予定の正式なガイドが出たら、内容を見直すことをおすすめします。

つまりこの制度は、「攻撃を防げているか」だけでなく、「攻撃や改ざんに、どれだけ早く気づけるか」も評価の対象にしているということです。どれだけ防御をがんばっていても、気づくのが数日〜数週間遅れれば、被害の範囲も、信頼の低下も、直す手間もどんどん大きくなります。さきほど紹介した名古屋短期大学の例でも、気づくまでに時間がかかっていました。

なお経済産業省は、「この制度に対応するために、特定のセキュリティ対策商品を必ず導入しなければいけない、というわけではない」とはっきり説明しています。改ざん検知サービスの導入は、あくまで「気づく力」を身につけるための、一つの方法です。

5. 自社サイトの被害に、どれだけ早く気づけるか

ここが、多くのWEB制作会社・保守担当者にとって、一番リアルな課題です。

弊社が以前、F-PATを提案するためにWEB制作会社各社のホームページを見て回っていたときのことです。ブラウザやセキュリティソフトが「マルウェアが見つかりました」という警告を出したことが、何度かありました。ホームページを”つくる側”であるはずの制作会社自身が、自社サイトの改ざんやウイルスの混入に気づいていない――これは特別なことではなく、取引先の実態として十分にあり得る話なのです。

口頭で「セキュリティ対策はしています」と聞くだけでは、こうした状態を自治体側が見抜くことはできません。SCS評価制度の★4で「外部の専門機関によるチェック」が求められているのは、こうした自己申告の限界も関係していると考えられます。

  • ホームページは、「表示されているから安全」とは限りません。書き換えられていても、見た目はふつうに表示され続けることがほとんどです。
  • 多くの改ざん被害は、担当者自身ではなく、「サイトを見た人からの問い合わせ」や「検索エンジンの警告表示」で発覚しています。
  • 気づくのが遅れるほど、被害は広がります。ウイルス感染の拡大、検索順位の低下、報道対応など、あとから発生するコストがどんどん積み重なっていきます。

もし自社が制作・保守を任されているサイトで同じことが起きたら、どちらの責任かに関係なく、自治体などの委託元に対して説明する責任が発生します。SCS評価制度があるかどうかにかかわらず、「気づく仕組みを持っているか」は、これからも取引先として選ばれ続けられるかを左右するポイントになりつつあります。

6. F-PATができること

改ざん検知サービス「F-PAT(ファイルパトロール)」は、ホームページのファイル(最大10万件)を、最短1時間おきに自動でチェックするサービスです。変化があったときは、メールですぐに知らせます。サーバーにPHPファイルを1つアップロードするだけで使い始められ、むずかしい専門知識は必要ありません。

SCS評価制度の評価項目に照らして整理すると、F-PATが役に立つのは、主に次の部分です。

  • 攻撃に気づく対策:ファイルの変化を見張ることで、「すぐに異常に気づける仕組み」をそのまま実現できます。
  • 取引先の管理:委託元(自治体など)に対して、「もし改ざんが起きたら、どのくらいの時間で気づけるか」を、具体的に説明できるようになります。
  • 事件が起きたときの対応:気づいてから知らせるまでの時間が短いほど、公開停止や復旧といった初動判断を早くできます。
  • 評価のときの証拠になる:いつ、どのファイルが変わったかという記録は、SCS評価(特に★4の外部チェック)のときに、「実際に気づく仕組みを運用していた」ことを示す証拠として使えます。

すでに地方自治体をはじめ、大手のインフラ企業、機械メーカー、製薬会社など、いろいろな業種で導入されています。月額8,250円(税込)、初期費用はかかりません。SCS評価制度の申し込みが始まる前の今のうちに、「気づく仕組み」を整えておくことは、あとから慌てて対応する負担を減らすことにもつながります。

改ざん検知サービスF-PATは、すぐに導入できます

ホームページのファイル最大10万件を、最短1時間おきに監視。変化があればすぐにメールで知らせます。むずかしい設定は不要で、専門知識がなくても使えます。

無料トライアルに申し込む 
資料をダウンロードする

7. まとめ|制度が本格的に始まる前に、できることから

  • SCS評価制度は、経済産業省が進める任意の制度で、2026年度末ごろに★3・★4の申し込みが始まる予定
  • 「自治体から先に始まる」と決まっているわけではないが、国の入札での活用や、総務省のガイドラインとの近さから、自治体まわりが早めに影響を受ける可能性は高い
  • 自治体サイトの被害は、自治体自身ではなく、取引先側の管理状態がきっかけになっているケースが何度も起きている(2026年2月のクラウドの不具合、CMS改ざん被害、2023年の約90自治体の議会サイト同時停止など)
  • SCS評価制度は「防げているか」だけでなく、「気づく速さ」も評価の対象にしている
  • 制度が本格的に始まる前の今こそ、改ざんに気づく仕組みを整えておくチャンス

今すぐ確認したいチェックリスト

  • □ 自社が引き受けているサイトで、書き換えなどの不正な変更に、どのくらいの時間で気づけるか把握しているか
  • □ 気づく仕組みが「担当者が目で見て確認する」だけになっていないか
  • □ 委託元(自治体など)に、気づく仕組みの中身を具体的に説明できるか
  • □ 気づいてから直すまでの流れが、文書としてまとめられているか