検索
連載

SCS評価制度、我が社はどこに気を付けたらいいの? 乗り遅れないためのポイント解説

ランサムウェアをはじめとするサイバー攻撃に対処すべく打ち出された「SCS評価制度」の運用開始が近づいている。しかし、どこから手を付けたものか分からないという戸惑いも多い。そのような悩みを持つ企業に向けて、リスクマネジメントの専門家が制度の詳細を解説した。

PC用表示
Share
Tweet
LINE
Hatena

 経済産業省が打ち出した「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の認知は高まっているものの、制度のポイントは何か、対応を図る企業は何から着手すべきなのか悩む企業も多いだろう。

 そのような企業に向けて、ニュートン・コンサルティングの木村俊輔氏(チーフコンサルタント)が、SCS評価制度が定められた背景と制度のポイント、特に留意すべき項目などを解説した。

セキュリティ認証は世界的な潮流に 乗り遅れるとビジネスチャンスの喪失も

 取引先のセキュリティを強化するにしても、自社で管理しきれない第三者に対策を強いるのは困難だ。これまでは、「セキュリティ調査票」を取り交わし、対策状況を確認する方法が広く用いられてきた。しかし、調査票の展開は工数がかかる上に、回答内容が信頼できるものかどうかの懸念も残り、万全とは言いがたい。

 そこで今、日本のみならず世界中で、セキュリティ調査票ではなく、各国の規制やガイドラインに基づく「セキュリティ認証」を基盤としてサプライチェーンセキュリティを高めようと取り組まれている。いわば、「われわれの市場で仕事をしたいなら、その基準に準拠せよ」という枠組みだ。第三者による審査を経ることで、信頼性が確保されることも利点といえる。

 グローバルに視野を広げると、自動車業界向けに整備されたドイツの「TISAX」をはじめ、アメリカの「CMMC」、イギリスの「Cyber Essentials」など、同様の枠組みが整備されつつある。SCS評価制度もこうした流れの中で生まれたものだ。木村氏は「世界各国で、入札条件や取引条件にセキュリティ対応が含まれるようにもなってきました。つまり、セキュリティ条件をクリアできなければビジネスチャンスを失うような時代に入りつつあります」と述べた。

SCS評価制度の「★3」と「★4」 我が社はどちらにすればいいの?

 SCS評価制度は、企業のセキュリティ対策状況を5段階で評価し、認定する制度だ。評価のうち、★1、★2については、既存の「Security Action」制度で代替される。一方、★5は現時点では詳細が検討されている段階だ。現時点で主眼に置かれているのは、2026年度末をめどに新たに開始予定の★3、★4といえる。

 ★3は、自己評価を行い、その結果をセキュリティ専門家がレビュー・助言した上で署名する「自己宣言」によって認定される。★4については第三者認証が求められる。多くの企業がまず悩むのが、★3を取得するか、それとも★4取得を目指すかだろう。

 では、一体どちらを取得するべきなのか、その決め手を解説する。

 経済産業省が示した考え方によると、★4の取得が推奨される業務は、「発注側の重要な機密情報を相手方のIT基盤で取り扱う場合」「相手方の事業中断が発注側の業務に許容できない遅延を生じさせる場合」、そして「相手方の環境から発注側の内部システムにアクセスする場合」だ。また、取引先や同業他社でインシデントが発生するなど、リスクの増大が懸念される場合も、状況に応じて★4への引き上げを検討すべきという。

 次に検討が必要なのは、SCS評価制度の適用範囲だ。経済産業省では制度の適用範囲を「IT基盤」としており、いわゆる制御システムやOT(Operational Technology)、製品そのものは対象外となる。さらに、IT基盤であっても、ネットワークセグメントの分割により、特定のシステムを取得範囲から除外していくことが可能なことも重要なポイントだ。「どのIT基盤を取得範囲に含め、何を除外していくのかを、★適用の考え方やサプライチェーンへの影響を考慮しながら取捨選択していくことが重要になります」(木村氏)

 こうした観点から制度への対応を検討していく必要がある上で、木村氏はさらに、2026年3月に公表された「制度構築方針」で示された、3つの事項にも十分留意すべきだと述べた。多くの企業が同制度に対して抱く疑問点や不安へのポイントが示されているからだ。

 第一に、制度構築方針において経済産業省は、「SCS評価制度のそもそもの趣旨は、取引において適切な★の取得段階を示して対策を促し、実施状況を確認していくこと」としている。つまり、取引先各社のセキュリティレベルを競わせることを目的とした「格付け制度」ではないし、何か特定のセキュリティ製品の導入を必須とするものでもない。

 従って、それぞれの組織の状況に応じて適切な範囲で導入・運用していくことが重要だ。「自社が協力会社にSCS取得を要請する際、『このシステム・製品を導入しなさい』と案内をしたり、逆に取得を要請された際に『このシステム・製品を導入しなさい』と案内される場合には注意が必要です」と木村氏は述べた。

 2つ目は、独占禁止法・取適法との関係から注意すべきポイントだ。制度構築方針では実際に事例を挙げて紹介している。

 SCS評価制度に基づいてセキュリティ対策を要請する場合でも、「あくまで合理的範囲を超えた負担を課すものではない」という大前提がある。そして要請する際は、「説明会を開催するなどして発注者と受注者の双方のパートナーシップを構築し、対応の意義を共有した上で進めることが重要であり、その経費は価格交渉の対象となること」も重要だ。さらに、価格交渉においては、支援機関や公正取引委員会の事前相談制度なども活用するよう記されている。

 3つ目は、★3を取得する際、自己評価結果の確認・署名を行う「セキュリティ専門家」にはどんな資格が求められるかについての解説だ。ここでは具体的に「情報処理安全確保支援士やそれに類する資格を保持し、SCS評価制度が定める研修を受講していること」という要件が示されている。

 木村氏はさらに「組織内にこの資格要件を満たす方がいない場合は外部に助けを求める形になります。ただ、確認作業は、一から十まで全てセキュリティ専門家が行わなければならないわけではなく、専門家の監督の下、研修を受講した作業従事者に担わせることが可能です」と付け加えた。

★3と★4の差分から見る、制度対応時に留意すべきポイント

 木村氏はこのようにSCS評価制度の背景と全体概要を紹介し、続けて対応時に留意すべきポイントを幾つか紹介した。

 SCS評価制度では、NISTのサイバーセキュリティフレームワークを下敷きにした7つの大分類の下に「要求事項」を定めており、その要求事項を満たすための具体的な対策内容を示す「評価基準」という、3段階構成で満たすべき対策を示している。★3では26の要求事項と81の評価基準が定義されており、★4になるとこれが43の要求事項と153の評価基準に増える。

 木村氏は、「★4は★3を完全に包含する関係にあります。従って、ストレートに★4を目指すアプローチも可能な一方で、まずは★3から取得し、段階的に★4の取得を目指すアプローチも可能です」と述べた。

 例えば、「3:リスクの特定」に含まれる「3-1:資産管理」という要求事項においては、★3では「PCやサーバの資産管理を行い、セキュリティパッチの適用に関するルールを作ること」と定められている。一方、★4になると、スマートデバイスやIoT機器なども資産管理の対象に加わる上に、「重要なシステムを構成する機器に関しては、設定情報を把握すること」が求められる。

 SCS評価制度は、さまざまな観点から対応が求められるため、何から対策するかの悩みは尽きないかもしれない。木村氏は「★3と★4の評価基準の差分を確認し、ストレートに★4取得を目指すのか、もしくは★3から段階的にステップアップしていくのかという観点で判断していくのが重要になるでしょう」と呼び掛け、状況に合わせて取り組むようアドバイスした。

本稿は、2026年6月24日にニュートン・コンサルティングが開催したウェビナー「いよいよ全貌が明らかに! 経済産業省『SCS評価制度』の最新動向を徹底解説」における木村俊輔氏(チーフコンサルタント)の解説内容を基に、編集部で再構成した。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る