経済産業省が検討を進めるSCS評価制度は、2026年度末ごろの運用開始が見込まれている。制度開始後の対応が後手に回らないように情報システム部門が今から取り組んでおくべきことを整理する。
経済産業省と内閣官房国家サイバー統括室が制度構築を進め、情報処理推進機構(IPA)が運営する「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の運用開始は2026年度末(2027年3月)頃と見込まれている。しかし、制度が始まってから準備を始めるのでは遅い可能性がある。本稿では、情報システム部門(以下、情シス)が「今から現状を把握すべき理由」と、「★4取得を見据えて確認したいポイント」を整理する。
「制度の詳細が固まってから対応を考えればいい」。そう考える企業は少なくないだろう。しかし、SCS評価制度への対応は、制度開始後に短期間で完了できるものではない。
SCS評価制度は、経済産業省が2026年度末ごろの運用開始を目指して検討を進めている制度だ。サプライチェーンを構成する企業の役割や重要度に応じて必要なセキュリティ対策を可視化し、評価することを目的としている。
制度の詳細は2026年度中に具体化が進む段階にあるが、企業にとって重要なのは制度の開始日ではない。取引先から評価取得の有無を確認されたとき、自社がどの程度対応できているかである。
特にセキュリティ体制の整備や運用手順の文書化、資産管理の見直しといった取り組みは、一朝一夕で実現できるものではない。制度の詳細が確定してから着手した場合、必要な対応が間に合わない可能性もある。だからこそ今必要なのは、「制度対応を始めること」ではなく、「自社の現在地を把握すること」だ。
SCS評価制度は、単なるセキュリティ施策ではない。将来的には取引先から対応状況の説明を求められる場面が増える可能性がある。
その際に重要なのは、評価取得の有無だけではない。「自社はどのレベルを目指すのか」「どこまで対応できているのか」を経営層に説明できる状態になっていることだ。
情シスが今から現状を整理しておけば、事業継続や取引維持の観点から制度対応の必要性を経営層に説明しやすくなる。
SCS評価制度では、★3から★5までの評価区分が設けられる計画だ。このうち先行して運用が始まる見込みなのは★3と★4である
★3は、一般的なサイバー攻撃への対策を対象とした基礎的なレベルと位置付けられている。セキュリティ専門家による確認を伴う自己評価を軸とした仕組みになる見込みだ。
一方★4は、重要情報の取り扱いや事業継続への影響を考慮した標準的なセキュリティレベルを想定している。第三者による評価や、対策状況を客観的に示すための証跡が求められる見込みだ。
両者の違いは、「最低限の対策を実施していることを示す段階」なのか、「取引先に対して一定水準の対策を客観的に説明できる段階」なのかにある。
現時点で、どの企業に★4が求められるのかは確定していない。しかし、事業継続への影響が大きい取引や、機密情報を共有する取引では、発注側企業がより高いセキュリティ水準を求める可能性は十分に考えられる。
そのため情シスは、「★3の要求水準で足りるかどうか」を考える前に、自社が重要な取引先として見なされる可能性があるかを整理しておくことが有用だ。
ここで誤解しやすいのが、既存認証との関係だ。ISMS(情報セキュリティマネジメントシステム)やPマーク(プライバシーマーク)は、組織の管理体制や運用プロセスを評価する制度だ。
一方SCS評価制度は、サプライチェーン全体を意識したセキュリティ対策や技術的な防御策の実装状況も重視する想定だ。そのため、既存認証を取得している企業であっても、追加の対応が必要になる可能性がある。
SCS評価制度の要求事項は幅広い。しかし、その中でも企業が見落としやすく、対応に時間がかかるのが次の3つである。
サプライチェーンを対象とする制度である以上、自社だけではなく取引先の管理も重要になる。重要な情報を共有する委託先や協力会社に対して、どのようなセキュリティ要件を求めるのか。その確認方法や責任者が明確になっているかを確認したい。
取引先管理が担当者任せになっている場合、制度対応以前にリスク管理上の課題となる。
近年のサイバー攻撃では、「侵入を完全に防ぐ」ことよりも、「侵入後の被害を最小化する」ことが重視されている。
そのため、境界防御だけでなく、EDR(エンドポイント検知・対応)による端末監視やネットワーク内部での異常検知、多要素認証(MFA)など、複数の防御層が機能しているかを確認したい。
「ファイアウォールがあるから安心」という考え方だけでは不十分になりつつある。
インシデント対応で見落とされることがあるのが復旧計画だ。バックアップを取得していても、復旧手順が整理されていなければ迅速な業務再開は難しい。
復旧の優先順位や責任者、連絡体制、経営層への報告手順などが文書として整備されているかを確認しておきたい。
SCS評価制度への対応は、「制度開始後に何をするか」ではなく、「自社は今どこにいるのか」を把握するところから始まる。
まずは主要な取引先を洗い出し、以下を整理したい。
その上で、以下3項目を「対応済み」「一部対応」「未対応」で評価するだけでも、自社の課題は見えてくる。
SCS評価制度は、任意制度である点に留意しつつ、主要取引先から確認される可能性を見据えて準備する段階だ。情シスに求められるのは、制度開始を待つことではなく、取引先から問われたときに説明できる状態を今から整えておくことである。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
