SECURITY ACTION・ISO 27001・SCSの組み合わせ方

ISO/IEC 27001認証を既に取得または検討している企業であっても、2026年時点の日本では、もう少し広い視点でセキュリティ姿勢を考える必要があります。

3つの制度があります — SECURITY ACTION（IPA）、ISO/IEC 27001（国際標準、日本ではJIS Q 27001として採用）、そしてSCS評価制度（経済産業省、2026年3月に制度構築方針が公表）。それぞれが異なる役割を持ち、国内市場で事業を続けるうえで、3つすべてとの関わりが深まりつつあります。その組み合わせ方と取り組む順序は、格付けの順と同じではありません。

SECURITY ACTIONとは（そして何ではないか）

SECURITY ACTION（セキュリティアクション）は、独立行政法人情報処理推進機構（IPA）が運営する自己宣言制度です。二段階構成で、★1はIPAの中小企業向けセキュリティガイドラインへの取り組みを公に宣言するもの、★2はそれに加えて自社のセキュリティ方針の公表と、IPAの25項目「5分でできる自社診断」の実施を求めます。いずれも無料、自己宣言、年次更新です。

ただし、SECURITY ACTIONは第三者監査による認証ではありません。宣言内容を誰かが検証するわけではありません。これは制度設計の意図そのものです。Pマーク（プライバシーマーク）やISO 27001が「検証済み」の位置を占めているのに対し、SECURITY ACTIONはその手前の段階に設けられています。できるだけ多くの中小企業に、最低限の姿勢を形にしてもらうことが目的です。

★1と★2の参照ベースとなっているIPA 中小企業の情報セキュリティ対策ガイドラインは、ISO/IEC 27001およびNIST CSF 2.0と整合的に設計されています。外枠は国内独自でも、参照している管理策の体系は国内の大企業が採用している国際標準と同じです。海外本社に説明する場合、「SECURITY ACTIONは独自の制度だが、その中身はISO 27001およびNIST CSFと整合している」と示すのが正確です。

2026年4月のgBizIDプライム移行

2026年3月まで、SECURITY ACTIONの宣言手続きは軽量なWebフォームで行えました。2026年4月1日、IPAは宣言手続き全体を新しい管理システムに移行し、gBizIDプライムの取得を必須条件としました。gBizIDプライムは政府が運営する法人向け統一認証制度で、各種補助金申請、行政手続きなどの共通認証基盤として用途が広がりつつあります。代表者が未取得の場合、SECURITY ACTIONのためというより、一般的な行政対応の準備として取得しておく価値があります。

外国籍の代表者が在籍する企業の場合、実務的な障壁は手続きそのものよりも上流にあります。オンライン申請はマイナンバーカード（署名用電子証明書が有効であること）が必要で、郵送申請には代表者本人の登録済み印鑑と印鑑証明書が必要です。いずれも住民登録（住民票）が前提となるため、住民票のない代表者はgBizIDの手前で手詰まりとなります。

全体像 — SCSはSECURITY ACTIONの上に続く階梯

2026年3月、経済産業省は**SCS（サプライチェーン強化に向けたセキュリティ対策評価制度）**の制度構築方針を公表しました。★3および★4の制度開始はFY2026末（2027年3月頃）を予定しています。評価基準はNIST CSF 2.0を下敷きに、6つの領域（ガバナンス、取引先管理、識別、防御、検知、対応・復旧）で整備されています。

大手プライム企業がSCSを調達要件に組み込むことが想定されています。現在、トヨタ、NTT、三菱系のいずれかの子会社に納品しており、ISMSやPマークを求められているのであれば、2〜3年後にはSCSの星評価を求められる可能性が高いです。これはSCS制度の明示的な目的であり、副次的な想定ではありません。

SECURITY ACTIONとSCSは番号付けが連続しています — SECURITY ACTIONが★1と★2、SCSが★3から★5。これは制度設計として意図的な連続性です。SECURITY ACTION ★★取得企業にとって、SCSは「振り出しに戻る」ものではなく「次の段階に進む」ものになるように構成されています。

★4は第三者評価（文書審査・現地監査・技術検証）を伴い、費用的には軽くありません。しかし連続した番号付けにより、★★取得者にとってSCSの最下段（★3）への到達コストは大きく下がります。

ISO 27001を持っていても取るべき理由

ISO 27001を既に取得している場合、SECURITY ACTION ★★の要件は既存のISMSで十分に満たせます。★★に必要な「公表された方針と25項目自己診断」は、真っ当なISMS運用があれば当然備わっているものの部分集合です。問題は「SECURITY ACTIONが冗長か」ではなく、「各層が何のためにあるか」 です。

3つの層はそれぞれ異なる役割を持ちます：

• ISO 27001 → 管理策の基盤層。 第三者監査を経た国際的な情報セキュリティマネジメントシステム。厳格で、エビデンスベースで、海外で広く認知されています。海外本社が理解・期待するのはまずこれです。
• SECURITY ACTION ★★ → 国内向けの信頼シグナル層。 国内の中小企業顧客、調達部門、取引先は、サイトフッターの★★ロゴを「ISMS登録番号」よりも認知しやすい傾向があります。ISO 27001を見る層とSECURITY ACTIONを見る層は、国内では必ずしも同じではありません。
• SCS ★3以上 → 調達評価向けランク層。 サプライチェーン向け評価に特化した書式です。専門家確認または第三者評価による星評価は、プライム企業の調達担当が取引先を横並びで比較できる形式になっています。ISMSの実質を、プライム企業の調達担当が消費できる形式に変換するのがSCSです。

これら3層は競合ではなく積層関係にあります。次の層に進むコストは、最初の層をゼロから構築するコストに比べれば小さくなります。ISO 27001を真っ当に運用していれば、SECURITY ACTION ★★は半日、SCS ★3も25項目程度で大半がISO附属書Aの管理策に対応するため、フォーマット変換作業が中心となります。実質は共有され、プレゼンテーション形式だけが変わります。

eSoliaが自社で進めていること

クライアントが直面している「取り組み順序の問題」は、当社自身が直面している問題と同じものです。

• 進行中 — ISO/IEC 27001認証。 4階層のISMS体系は整備済み、開発セキュリティ、アクセス管理、リスクマネジメントの手順も整備済み、予定通り第一段階審査を受ける段階に入っています。ISO 27001を上位層の実質的な基盤と位置付けています。
• 宣言済み — SECURITY ACTION ★★。 gBizIDプライムの取得後、新しいIPA管理システムから★★を自己宣言済み、サイトにロゴを掲示しています。実質の要件が既存のISMSで満たされていたため、新規の管理策構築ではなくフォーマット作業となりました。
• FY2027ロードマップ — SCS ★3。 経済産業省のガイダンス資料公開後にSCS ★3のギャップ分析を行い、エビデンス形式の差異を埋めたうえで、登録セキスペ（登録情報セキュリティスペシャリスト）による専門家確認を経て申請する予定です。Q2 2027を目標としています。
• 保留 — SCS ★4。 ★4は第三者評価が加わるため、特定の顧客契約がトリガーになるまで保留しています。投機的な投資ではなく、需要ベースでの対応としています。

層間で実質を共有するため、ISO 27001:2022附属書A × NIST CSF 2.0 × SCS ★3／★4 要求事項を対応付ける社内クロスウォークを整備しています。ISMS文書が改訂されるたびにクロスウォークを更新することで、ISMSを真実の情報源として、そこからSCS形式のエビデンスを再生成できます — 2つの独立した管理体系を運用するのではなく、1つをソースとして扱うのが要点です。

この進め方は、同じ意思決定に直面するクライアントへもおすすめしています — ISMSをエビデンスの源泉として扱う、SECURITY ACTIONは宣言作業として扱う、SCSはISMSに対するフォーマット変換作業として扱う。3つの並行運用にはしない、というスタンスです。

自社にあてはめると

出発点によって、推奨されるアプローチが変わります。

• 現時点で正式なコンプライアンス姿勢がない場合。 SECURITY ACTION ★1 または ★2 から始めるのが妥当です。より上位のものが取り組みを阻んでいるわけではありません。無料で、gBizIDプライム取得後は半日程度の作業、そして公に見える位置付けを得られます。また、ほとんどの申請カテゴリでIT導入補助金の前提条件も自動的に満たします。
• ISO 27001を既に取得または認証手続き中の場合。 SECURITY ACTION ★★を形式的に追加する。半日程度の作業で、国内中小企業が理解しやすいシグナルを得られます。あわせてSCSの動向を注視し始めてください。
• 国内の大企業のサプライチェーンに納入している場合。 注視すべきはSCSです。FY2027から要求が出始めると想定されます。ISO 27001ベースのISMS＋SECURITY ACTION ★★を基盤とすれば、SCS ★3到達は1四半期のフォーマット作業で実現できる位置に立てます。★4はより大きな投資となるため、契約による明示的な要求があった場合のみ取り組むことをおすすめします。
• 規制業種に属する場合。 他のフレームワークが加わります — 金融ならFISC、医療なら厚生労働省ガイドライン、政府関連業務ならNISC／NCOの統一基準など。付属のセキュリティフレームワーク参考資料で主なものを整理しています。

日本の調達の場では、「ISMSを取得していますか？」から「SCSの星評価は何ですか？」へと質問が移行しつつあります。最初に大手プライム企業から問われる前に、各層の取り組み順序を整理しておくのが賢明です。

実務ワークシート

本記事の考え方を自社向けのアクションプランに落とし込むための付属ワークシートを用意しました — 5問のスコアカード、該当パスの特定、パスごとの90日／12ヶ月のロードマップです。海外本社への説明用資料としても活用できます。

よくあるご質問

SECURITY ACTIONは認証ですか？

いいえ。SECURITY ACTIONはIPAが運営する自己宣言制度であり、第三者監査による認証ではありません。企業が特定のセキュリティ行動を公に宣言し、ロゴを使用できる制度です。国内ではPマークとISO 27001が「検証済み」の位置を占めています。SECURITY ACTIONはその手前に意図的に設けられており、正式なセキュリティ姿勢を持たない中小企業の底上げを目的としています。

ISO 27001を取得している場合もSECURITY ACTIONは必要ですか？

必須ではありませんが、両者は異なる役割を担うため、追加する価値があります。ISO 27001は実質を、SECURITY ACTION ★★は国内で認知されやすいシグナルを提供します。ISMSを運用していれば、★★の自己診断要件は半日程度で対応できます。

SCSとは何ですか、またいつ調達要件となりますか？

SCS（サプライチェーン強化に向けたセキュリティ対策評価制度）は経済産業省による新しい段階制評価制度で、2026年3月に制度構築方針が最終化されました。★3および★4の制度開始はFY2026末（2027年3月頃）を予定しています。国内の大手プライム企業は、FY2027以降、調達契約にSCSの星評価を組み込み始めると予想されます。

2026年4月1日にSECURITY ACTIONで何が変わりましたか？

IPAはSECURITY ACTIONの宣言手続きをgBizIDプライム経由に移行しました。gBizIDプライムは政府が運営する法人統一認証制度です。代表者がまずgBizIDプライムを取得し、その後、メンバーアカウントを実務担当者へ発行します。宣言そのものは半日程度の作業ですが、上流となるgBizIDプライム取得は、マイナンバーカードを使うオンライン申請で即日、郵送申請で約2週間かかります。

SCS ★3とISO 27001の関係は？

大部分が重複しています。SCS ★3のおよそ25項目の大多数は、ISO 27001附属書AおよびNIST CSF 2.0で既にカバーされている管理策に直接対応します。ISMSを真っ当に運用している企業にとって、SCS ★3は新規の管理策構築というより、ISMSエビデンスからSCS評価シートを生成するフォーマット変換作業になります。

中小企業はSCS ★4を目指すべきですか？

特定の顧客契約から要求された場合のみ取り組むことをおすすめします。★4は★3に加えて第三者評価（文書審査、現地監査、技術検証）が必要で、高コストです。ITベンダーや、操業停止がサプライチェーンに重大な影響を与える企業向けに位置付けられています。ほとんどの中小企業はまず★3を目標とし、★4は契約によるトリガー型として扱うのが現実的です。

SECURITY ACTION ★★はIT導入補助金の申請要件を満たしますか？

はい — SECURITY ACTION ★1または★2は、IT導入補助金のほとんどの申請カテゴリで前提条件となっています。Microsoft 365、会計パッケージ、エンドポイント保護などの導入費用をIT導入補助金で賄うことを検討している中小企業にとって、SECURITY ACTIONの自己宣言は申請資格を得る最も安価な方法です。

---

著者について

Rick Cogley（リック・コグレー）は、東京を拠点とするバイリンガルITマネジメント企業、株式会社イソリアの代表取締役CEOです。1999年以来、イソリアは日本で事業を展開する国際企業にB2B ITサービスを提供し、日本のビジネス文化と国際的なIT標準との架け橋となっています。