特集
「SCS評価制度」で自社のセキュリティをどう強化する? 中小企業の情シスが今からできる備え方
【IPAに聞く 後編】取得への準備から、経営層・現場の巻き込みまで
2026年7月14日 07:00
セキュリティ新制度「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)について、前編ではその全体像と、自社が目指す★の見極め方までを見てきた。では、目標を定めた情シスは、実際に何から手をつければいいのか。後編は、★取得に向けた具体的なステップを、現場目線でたどっていく。
引き続いて、独立行政法人情報処理推進機構(IPA)への取材内容をもとに、情シスがひとりで抱え込まずに進められるよう、経営層や現場社員の巻き込み方まで含めて見ていきたい。
まずは「中小企業の情報セキュリティ対策ガイドライン」を確認
その前に、押さえておきたいことがある。前編のコラムで触れた★1、★2(SECURITY ACTION)の自己宣言は、SCS評価制度の運用開始を待たず、今すぐ行える。★1の「情報セキュリティ6か条」などはセキュリティ対策の基本そのもので、★3以上を目指す土台にもなる。
では、★3、★4を取得するには、何をどう準備すればいいのか。詳しく解説した公式の手引き「評価用ガイド」は、2026年10月頃に公表予定だ。とはいえ、その公表を待たなければ何もできない、というわけではない。
実は、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」が参考になる。2026年3月の改訂で、SCS評価制度の内容が新たに盛り込まれた。付録には、そのまま自社用に書き換えて使える社内規程のサンプルや、「どの対策が、どの要求項目に対応するか」を一覧にした突合せ表まで付いている。これらを見ていけば、★3、★4で何が求められるのか、おおよそつかめる。
江島氏も「評価用ガイドを待たずに始めたい企業は、このガイドラインとサンプル規程を参考にしてほしい」と勧める。本格的な準備は10月以降になるとしても、これらに目を通しておくと、いざ動き出すときの足がかりになる。
★3取得に必要なこと──自己評価に加え、専門家によるチェック
★3の取得は、自己評価から始まる。要求事項に沿って、自社の対策状況を一つずつ点検・構築する。その内容をセキュリティ専門家が確認し、必要に応じて助言や修正を加える。最後に事務局へ申請すれば、登録・公開される。これが★3の大まかな流れだ。
「専門家」は、情報処理安全確保支援士やCISSP(Certified Information Systems Security Professional)といった資格を持ち、所定の研修を受けていれば、社内の人材でも担える。条件は、身内に忖度せず(たとえば経営からの「これくらいOKにしてくれよ」という圧に屈することなく)中立的にものが言えること。自社に適任者がいなければ、IPAが整備を進めている専門家リストなどを活用し、外部の専門家に打診することもできる。
また、この制度には、従来の認証制度にはない特徴がある。事前のコンサルティングが認められていることだ。たとえば、ISMSでは、審査機関は審査のみで、事前に弱点を補う支援はできない。だがSCS評価制度は、英国の先行制度にならい、専門家がまず伴走して対策レベルを引き上げ、要件が満たせたところで独立した立場に切り替えて評価する、という流れを認めている。一度きりの合否判定で終わらせず、支援を通じてセキュリティを底上げしていく。そうやって★3、さらに★4へと、段階的に水準を引き上げていく狙いがある。
なお、★3の有効期間は1年だ。取得して終わりではなく、毎年、対策状況を点検し、専門家の確認を受けて更新していく。一度きりの取得ではなく、毎年見直すことで、セキュリティの水準を保っていく仕組みだ。
クラウドや生成AI、自社が守るべき範囲はどこまでか
いまや業務に欠かせないクラウドやSaaS。自社だけでは管理しきれないこれらのサービスは、★取得でどう扱われるのか。
まず、クラウドサービスも評価の対象に含まれる。ただし、事業者が提供する基盤そのもののセキュリティまで、自社で背負うわけではない。ここで鍵になるのが「責任分解点」という考え方。どこまでが事業者の担当で、どこからが利用者の担当か。その境界を指す。
事業者の担当部分は、SLA(サービス品質保証)などで、どんな対策が講じられているかを確認しておく。一方、利用者に委ねられた部分は、自社の責任で手当てする。たとえば、サービスへのログイン認証の管理。クラウドストレージなら、ファイルの共有範囲の設定だ。「クラウドに任せているから対象外」とはならず、こうした「自社がやるべきところ」を確実に押さえる必要がある。
生成AIも、考え方は同じだ。利用するプラットフォームは信頼できるか、ログインや認証は適切に管理されているか。そうした入り口の部分は、評価の対象になる。新しい技術だからと身構えず、クラウド同様「自社がやるべきところ」を押さえればいい。
★4では何が加わるのか──第三者評価と、脆弱性の検査
★4は、★3の内容をすべて含んだうえで、確認の方法が一段厳しくなる。最大の違いは、社外の評価機関による第三者評価が加わることだ。評価にあたっては、担当者が現地を訪れ、規程や運用が実際に機能しているかまで確認される。
もうひとつ加わるのが、技術的な検証だ。技術検証事業者が、インターネットに公開された機器に既知の攻撃を仕掛け、脆弱性が残っていないかを実際に調べる。標的になりやすいのは、VPN装置やルータといった機器。いま最も多い攻撃経路だからこそ、実機で確かめるのだ。
取得してからの運用も、★3とは異なる。★4を取った企業は、評価を担当した機関名とともに台帳へ登録され、Web上で公開される。取引先に対して、自社の対策水準を客観的に示せるわけだ。有効期間は3年。その間も毎年の自己評価で状況を確認し、3年ごとの更新時には改めて第三者評価を受ける。なお、妥当性が確認されれば、顧客情報を扱うコールセンター部門など、組織内で範囲を区切って取得することもできる。
お金とリソースを、どう工面するか
対策を進めたくても、人もお金も足りない。それが、多くの中小企業の本音だろう。だからこそ、使える支援は遠慮なく使いたい。
まず知っておきたいのが、IPAの「お助け隊サービス」だ。もともとは、センサーを設置・監視してもらい、トラブルが起きたときに駆け付けてもらうサービスだが、 これを★3、★4の取得支援にも活用できるようにする動きが進んでいるという。現状の診断から、ツールの導入、規程の整備、社員教育まで、取得に足りない部分をまとめてサポートする形が想定されている。
補助金を活用できる可能性もある。お助け隊サービス(新類型)実証事業では現状把握から構築・申請までを支援する仕組みが検討されているほか、既存のデジタル化・AI導入補助金が対象になることも期待される。さらに、コロナ禍以降に広がったテレワークやデジタル化の補助金など、地域によっては使える枠が残っているかもしれない。
ただし、こうした支援の多くは、まだ検討や整備の途中だという。経済産業省やIPA、自治体の発信をこまめに確認し、使える制度を取りこぼさない。そのひと手間が、自社の負担を軽くしてくれる可能性がある。
情シスひとりで抱え込まない、経営層と現場社員の動かし方
ここまで、準備から取得、更新までの流れを見てきた。ただ、これらを情シスひとりで抱え込む必要はない。むしろ経営層や現場を巻き込んでいくことが本筋で、結局は近道になる。
まず、経営層をどう動かすか。セキュリティは経営課題であり、トップが旗を振って全社で取り組むべき、と言う認識も広まりつつあるが、とはいえ、何度セキュリティ投資を訴えても、首を縦に振らない、稟議が通らない、が実態の会社もあるだろう。
そんなときは、「国の機関であるIPAがこう言っている」「国の制度で求められている」という説明が、強い説得力を発揮する。社内の理屈だけでは動かなかった経営層も、国の制度となれば、判断を変えるきっかけになりやすい。
社員はどうか。普段はセキュリティに興味がない社員も、取引先から届くチェックリストには無関心ではいられない。「応えられなければ取引に響くかもしれない」となれば、他人事ではなくなるからだ。強い関係のある会社間では協力しながら長期的に取得を目指すことも考えられるが、新規の契約獲得を目指すなら、★を取得済である方が有利に違いない。
これまで孤軍奮闘してきた情シスにとっては、SCS評価制度が後ろ盾になることもあるだろう。チェックリストに振り回される情シスから、セキュリティで企業価値向上をリードする情シスへ――SCS評価制度には、そんな転換を後押しする狙いも込められている。




