SCS評価制度とは？制度の概要と今から必要なセキュリティ対策を解説

SCS評価制度とは

SCS評価制度とは、「サプライチェーン強化に向けたセキュリティ対策評価制度」の略称です。サプライチェーンを構成する企業のセキュリティ対策状況を、共通の基準で評価・可視化することで、発注元企業と委託先企業の双方の負担を軽減しながら、サプライチェーン全体のセキュリティ対策を強化することを目的としています。

従来、発注元企業が取引先のセキュリティ対策状況を確認する場合、企業ごとに異なるチェックシートや個別の確認項目が使われるケースが多くありました。そのため、発注元企業にとっては取引先の対策状況を把握しづらく、委託先企業にとっては複数の取引先から異なる確認を受ける負担がありました。

SCS評価制度では、こうした確認を共通の評価基準に基づいて行えるようにすることで、取引先のセキュリティレベルを判断しやすくすることが期待されています。具体的には、取引契約などにおいて、委託元が委託先に対して適切な評価レベルを提示し、委託先が求められた対策を実施することが想定されています。

なお、評価レベル★3および★4については、2026年度末頃の制度開始、つまり申請受付の開始を目指すとされています。評価レベル★5については、2026年度以降に要求事項や評価基準、評価スキームの具体化が進められる予定です。

SCS評価制度が創設された背景

SCS評価制度が注目される背景には、サプライチェーンを狙ったサイバー攻撃の増加があります。近年のサイバー攻撃では、攻撃者がセキュリティ対策の強固な大企業を直接狙うのではなく、取引先や委託先など、比較的対策が手薄な企業を経由して侵入するケースが増えています。1社のセキュリティ対策が不十分だった場合でも、その影響が取引先や顧客、サプライチェーン全体に波及する可能性があります。

特に、製造業、情報通信、金融、医療、公共機関、重要インフラに関わる業種では、業務停止や情報漏洩が社会全体に大きな影響を与える可能性があります。そのため、自社だけでなく、取引先や委託先を含めたセキュリティ対策の確認が重要になっています。

一方で、発注元企業と委託先企業の双方には、次のような課題がありました。

• 発注元企業は、取引先のセキュリティ対策状況を客観的に判断しづらい
• 委託先企業は、取引先ごとに異なるセキュリティ確認への対応負担が大きい
• セキュリティ対策のレベルが企業によって異なり、比較しづらい
• 対策が必要だと分かっていても、どこから着手すべきか分かりにくい

SCS評価制度は、こうした課題を解消するために、企業のセキュリティ対策状況を共通の基準で評価し可視化する仕組みとして整備が進められています。

SCS評価制度の評価レベル：★1・★2・★3・★4・★5の違い

SCS評価制度では、企業のセキュリティ対策状況を段階的に示す仕組みが想定されています。新たに創設されるSCS評価制度は★3以上を中心とした制度ですが、その前段階として、IPAが運用する既存の「SECURITY ACTION」に相当する★1・★2も位置づけられています。

評価レベルの違い

★1・★2は、企業が情報セキュリティ対策に取り組むことを自ら宣言する制度です。セキュリティ対策の第一歩として取り組みやすく、★3・★4取得に向けた準備段階としても位置づけられています。

一方で、★3以上はより客観的にセキュリティ対策の実施状況を確認する段階です。★3は基本的な対策、★4はより高度な対策が求められるレベルとして整理されています。★5については、現時点では要求事項や評価スキームの具体化が今後進められる段階です。

SCS評価制度の対象となる企業

SCS評価制度は、大企業だけに関係する制度ではありません。サプライチェーンを構成する企業のセキュリティ対策状況を可視化する制度であるため、取引先や委託先として事業に関わる中堅・中小企業にも関係します。特に、製造業や情報通信業、金融、医療、公共、重要インフラ関連など、事業継続や機密情報の取り扱いが重要となる業種では、今後意識する必要性が高まると考えられます。

たとえば、次のような企業はSCS評価制度への対応を検討する必要があります。

• 大企業や公共機関と取引がある企業
• 重要情報や個人情報を扱う企業
• 委託先としてシステム運用や業務処理を行う企業
• 取引先からセキュリティチェックシートへの回答を求められている企業
• サプライチェーン上で重要な業務を担っている企業

制度そのものは任意の仕組みですが、取引先から一定の評価レベルを求められる可能性があります。そのため、現時点で直接の対応を求められていない企業でも、早めに自社のセキュリティ対策状況を確認しておくことが重要です。

SCS評価制度への対応は義務なのか

SCS評価制度は、現時点では法律上の義務として一律に企業へ課される制度ではありません。ただし、制度が任意であることと、実務上対応が不要であることは別です。今後、取引契約や調達要件の中で、委託元企業が委託先企業に対して一定の評価レベルを求める可能性があります。

たとえば、重要な情報を扱う業務を委託する場合や、業務停止がサプライチェーン全体に影響する場合、発注元企業が委託先に対して「★3相当の対策」や「★4相当の対策」を求めることが考えられます。

そのため、SCS評価制度への対応は単なる認証取得の問題ではなく、取引先に対して自社がどのようなセキュリティ対策を実施しているのかを説明できる状態にしておくことが重要です。

SCS評価制度に向けて企業が見直すべきセキュリティ対策

SCS評価制度への対応を考える際は、まず自社のセキュリティ対策状況を把握することが重要です。評価レベルの取得を目指す場合でも、いきなり個別の製品導入を検討するのではなく、自社の情報資産やIT資産、業務環境、社外からのアクセス方法などを整理し、どこにリスクがあるのかを確認する必要があります。

具体的には、次のような観点で見直しを進めるとよいでしょう。

情報資産・IT資産の棚卸し

まずは自社がどのような情報を保有しているのか、どのシステムや端末で扱っているのかを整理する必要があります。

顧客情報、契約情報、個人情報など、漏洩や改ざんが発生した場合に影響が大きい情報を把握し、それらがどこに保存され、誰がアクセスできるのかを明確にします。あわせて、PC、サーバー、ネットワーク機器、クラウドサービス、業務アプリケーションなど、業務に利用しているIT資産も棚卸ししておきましょう。

アカウント管理と認証の強化

ID・パスワードだけに依存した認証は、不正アクセスのリスクを高めます。退職者や異動者のアカウントが残っている場合や、権限が過剰に付与されている場合も注意が必要です。

アカウント管理では、不要なアカウントの削除、権限の見直し、多要素認証の導入などが重要です。特に、社外から社内システムへアクセスできる環境では、認証の強化が欠かせません。

脆弱性管理とアップデート

OSやソフトウェア、ネットワーク機器に脆弱性が残っていると攻撃者に悪用される可能性があります。

そのため、OSやアプリケーションの更新状況を定期的に確認し、セキュリティパッチを適用する体制を整えることが重要です。利用していないソフトウェアや古い機器を放置しないことも、攻撃リスクの低減につながります。

ログ管理とインシデント対応体制

サイバー攻撃や不正アクセスが発生した場合、早期に異常を検知し被害を最小限に抑えるためにはログ管理が重要です。

誰が、いつ、どのシステムにアクセスしたのかを確認できる状態にしておくことで、インシデント発生時の原因調査や再発防止に役立ちます。また、インシデントが発生した際の連絡体制や初動対応の手順も整備しておく必要があります。

社外アクセス環境の見直し

テレワークや外出先からの業務、委託先との情報共有が一般化したことで、社外から社内システムへアクセスする機会が増えています。

社外からのアクセスでは、認証だけでなく端末にデータを残さない仕組みや、接続先を適切に制御する仕組みも重要です。VPN機器をインターネットに公開している場合は、脆弱性の悪用や不正アクセスのリスクにも注意が必要です。

SCS対応で見落とされやすい「社外アクセス」と「端末利用」のリスク

SCS評価制度への対応では、規程や管理体制の整備に目が向きがちです。しかし、実際の業務環境においては社外からのアクセスや端末利用のリスクも見落とせません。

たとえば、次のような環境では注意が必要です。

• 在宅勤務で社内システムにアクセスしている
• 外出先からメールやファイルサーバーを利用している
• 持ち出しPCに業務データを保存している
• 私物端末を業務に利用している
• VPN経由で社内ネットワークへ接続している

これらの環境では、端末の紛失・盗難、マルウェア感染、不正アクセス、操作ミスによる情報漏洩など、さまざまなリスクが発生します。

特に持ち出しPCやBYODでは、端末に業務データが残ることが大きなリスクになります。端末内にファイルが保存されている場合、紛失や盗難が発生した際に情報漏洩につながる可能性があります。

また、VPN環境では、VPN機器をインターネットに公開している構成の場合、脆弱性を悪用した攻撃の対象となるおそれがあります。社外から安全に業務を行うためには、単に接続できる環境を用意するだけでなく、どの端末から、どの情報に、どのようにアクセスしているのかを管理できる状態にすることが重要です。

SCS評価制度への対応を進める際は、IT資産や規程だけでなく、実際の業務で使われているリモートアクセス環境や端末利用の実態も確認しておきましょう。

SCS評価制度への対応は、制度理解と業務環境の見直しから

SCS評価制度は、サプライチェーン全体のセキュリティ水準を高めるために、企業のセキュリティ対策状況を共通基準で評価・可視化する制度です。

制度そのものは任意ですが、今後は取引先や委託元から一定のセキュリティ対策レベルを求められる可能性があります。そのため、企業は自社の情報資産やIT資産、アカウント管理、脆弱性対策、ログ管理、インシデント対応体制などを早めに確認しておくことが重要です。

社外からのアクセスと端末のセキュリティ強化でできること

SCS評価制度への対応では、特定の製品を導入すれば評価レベルを取得できる、というものではありません。制度に沿った管理体制や運用、技術的な対策を総合的に整備する必要があります。

一方で、リモートアクセスや端末利用に関するリスクを低減するうえでは、端末にデータを残さない仕組みや、安全に社内システムへアクセスできる仕組みが有効です。CACHATTO Oneでは、企業のリモートアクセスやハイブリッドワークを支援するサービスとして、社外からの業務アクセスや端末データ保護に関する課題解決を支援します。

SCS評価制度への対応に向けて、リモートアクセス環境や持ち出しPCのセキュリティを見直したい方は、CACHATTOの資料をご確認ください。端末にデータを残さない業務環境や、VPN機器をインターネットに公開しない安全な接続方法について詳しく紹介しています。