1. HOME
  2. ソリューション
  3. サービス・ソリューション
  4. Microsoft ソリューション
  5. SCS認定取得支援サービス~サプライチェーン強化に向けたセキュリティ対策評価制度~

SCS認定取得支援サービス~サプライチェーン強化に向けたセキュリティ対策評価制度~

経済産業省推進!
サプライチェーンのセキュリティ強化、「今から」始めませんか?

SCS認定取得支援サービス~サプライチェーン強化に向けたセキュリティ対策評価制度~
お問い合わせ・ご相談
資料ダウンロード

「サプライチェーン強化に向けたセキュリティ対策評価制度」とは

企業のセキュリティ対策を「星(★)」で可視化する公的制度

経済産業省が主導し、サプライチェーン全体のセキュリティ水準向上を目指す新たな枠組みです。 企業は自社の立ち位置に応じた対策を実施し、その達成度合いに応じて評価(★3〜★5)が付与されます。

制度の目的・背景(なぜ今、対策が急務なのか)
1.連鎖的サイバー攻撃の急増
サプライチェーンの弱点を狙った攻撃による、取引先への被害拡大や事業停止リスクが高止まりしている状況。
2.評価基準の統一
これまでバラバラだった取引要件やチェックシートを標準化し、信頼性を客観的に証明可能に。
3.競争力の源泉へ
セキュリティ対策が「コスト」から「取引条件」「信頼の証」へと変化。

経済産業省:「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS評価制度の構築方針(案))を公表しました

誰に関係があるのか?

企業規模を問わず、サプライチェーンに関わる幅広い業種が対象となります。
特に、重要インフラや機密情報を扱う取引がある場合は対応が急務です。

2つの視点:発注者と受注者


  • 発注者

    取引先に対し、契約条件としてセキュリティ要件(★の数)を提示し、準拠を求める立場です。


  • 受注者

    要件を満たす対策を実施し、評価・認証を取得して信頼性を証明する立場です。

制度に未対応の場合には以下のリスクが想定されます。
反面、制度へ対応している場合には以下のメリットが複数ございます。


  • 未対応のリスク
    事業基盤の喪失と損失
    •  契約喪失・取引停止 重要顧客からの指名停止、
      入札参加資格の喪失による事業縮小
    •  インシデント事故損失 ランサムウェア被害による身代金要求、
      調査費用、損害賠償請求
    •  社会的信用の失墜 ブランド毀損による顧客離れ、
      株価下落、優秀な人材の流出
    •  説明責任の困難化 社外説明・規制対応・取引先報告で、
      説明材料が乏しくなる
    •  人材採用・定着への悪影響 候補者・社員から、旧態依然と捉えられ
      採用力・エンゲージメントを損なう
  • 対応によるメリット
    競争優位の確立と成長
    •  取引継続・優先受注(ビジネス機会拡大) 「高セキュリティ企業」として選ばれ、
      競合他社に対し優位に立つ
    •  インシデント回避/被害の最小化 対策強化による
      攻撃の早期検知・被害拡大の抑制・迅速復旧が可能
    •  取引先からの信頼性向上 企業としての「信頼性」・「透明性」の高さが
      アピール可能
    •  社内の原因分析と再発防止が効率化 迅速な事実関係の把握と
      合理的な再発防止策の提示が可能
    •  社内セキュリティ文化の定着 人・プロセス・技術でセキュリティ意識が向上し、
      組織の強靭性が増す

こんなお悩み/お考えはありませんか?

サプライチェーン強化に向けたセキュリティ対策評価制度の導入にあたり、多くの企業様が抱える疑問とその解決のヒントをご紹介します。


Q:中小企業は対象とならず、大手企業のみが対応すればよいのか?
A:サプライチェーンに関わる全ての企業が対象です。
本制度はサプライチェーン全体のセキュリティ強化を目的としています。大手企業だけでなく、その取引先となる中小企業も含め、サプライチェーンに属する全ての企業が対象となり、それぞれの立ち位置に応じた対策が求められます。
Q:制度開始はまだ先だから今からやらなくてもいいのでは?
A.早期の準備と着手が推奨されています。
初期の段階から制度に対応しておくことで、「競合他社との差別化」といった恩恵を受けられるほか、自社のブランディングにも繋がります。直前になって慌てず、競争優位性を確保するためにも、早期に現状把握とギャップ分析を始めることが重要です。
Q:ISMS認証を取得済みだから何もしなくて大丈夫なのでは?
A.対応範囲が異なるため別途対応が必要です。
ISMSと本制度は相互補完的な関係にありますが、評価基準や対象範囲が異なります。ISMSを取得していても、本制度独自の要求事項への対応確認が必要です。ただし、既存の対策を活かせる部分は多々あります。
Q:結局、★3と★4、どれを取得すればよいのか分からない
A.取引先(発注元)からの要求によって決まります。
基本的には発注元企業が、取引内容や扱う情報の重要度に応じて必要なレベル(★の数)を指定します。自社のリスク状況と取引先の要求を確認し、適切な段階を目指すことになります。まずは基礎的な★3の理解から始めましょう。

本評価制度の詳細について

本制度に使用される評価軸の各種星(★)要件の違いや情報について以下でご説明いたします!


横スクロールできます。

項目 BASIC
基本対策(★3)		 ADVANCED
高度対策(★4) 推奨 STANDARD 		SUPREME
最高レベル(★5)
想定脅威 一般的なサイバー攻撃
(既知の脆弱性悪用など)		 供給停止・機密漏えいによるサプライチェーンへの大影響 国家支援型攻撃(APT)等の高度なサイバー攻撃
対象・項目数 最低限実装すべき組織的・技術的対策(約25項目) 包括的な防御・検知・対応策(約44項目) リスクベースの対策と継続的な改善プロセス
評価方法 専門家確認付き自己評価
(資格保有者による確認必須)		 第三者評価
(実地審査・技術検証を含む)		 第三者評価
(2027年度以降に具体化予定)
有効期間 1年 3年 未定
主要要件 ・MFA(多要素認証)の導入
・資産管理・脆弱性対策
・基本的な防御策
・インシデント対応手順の整備		 (★3に加えて)
・ログの集中管理と分析
・取引先管理・統制の厳格化
・復旧計画の策定と定期演習
・ネットワーク分離等の高度防御
ベンチマーク/参考 ・ISO/IEC 27001
・NIST CSF(Tier 4)
・自工会ガイドライン Lv3相当
・ベストプラクティスの適用

※★1 / ★2 は、IPA「SECURITY ACTION」(一つ星/二つ星)の取り組みが相当します。

まずは、自社がどの水準の認定が必要になるか「把握」することから始めましょう

以下のとおり自社で扱う「情報の重要性」と「自社外のシステムとの接続有無」といった観点から、自社で対応すべき星(★)の種別を決定することができます。


情報の重要度
(機密・可用性)		 他社・親会社システムとの接続
接続なし(限定的) 常時接続(依存度大)

(事業停止・漏えい影響大)
★3〜★4(推奨)
重要情報 × 接続なし

自社内での漏えい対策を重視。
★3をベースに一部強化を検討。
★4(検討が必須)
重要情報 × 接続あり

サプライチェーン攻撃の踏み台リスク大。
高度な検知・対応が必要。

(限定的・代替手段あり)
★3(推奨)
限定情報 × 接続なし

基礎的な衛生管理でリスクを低減。
★3〜★4(推奨)
限定情報 × 接続あり

接続点の管理を中心に、基礎対策を徹底。

カコムスのご支援内容

サプライチェーン強化に向けたセキュリティ対策評価制度への対応にあたり、初期の現状把握から認定取得に至るまで、貴社を継続的に伴走支援いたします。

  • アドバイザリー支援 制度対応の設計・準備
    • 現状確認・ギャップ分析のサポート★3/★4要件に対する充足度を可視化
    • ロードマップ策定無理のない段階的な対策計画を立案
    • 規程見直しのサポート規程類との整合性及び改定の助言
  • ソリューション実装 Microsoft製品による技術対策
    • ID・アクセス管理多要素認証(MFA)、高度な認証制御
    • 統合防御・検知(XDR)端末、メール、クラウドの脅威を遮断
    • ログ監視・分析(SIEM)要件となる「6ヶ月以上のログ保管」と相関分析基盤の構築
  • 運用・教育 定着化と継続的改善
    • 運用設計・運用引継ぎアラート検知時の対応フロー確立
    • セキュリティ教育従業員向け研修・標的型メール訓練等
    • 定期点検・レポートのサポート自己評価の更新と対策状況の報告
Step①
現状評価(Assessment)
期間:約1か月
  • セキュリティ設定確認
  • 規程類との整合性確認
  • 担当者ヒアリング
成果物
規程チェックシート
主な役割
  • 主担当:情報システム部門(調査主体・調整)
  • 意思決定:経営層(予算承認)
  • サポート:カコムス(分析支援・助言)
Step②
是正計画策定(Planning)
期間:約1か月
  • 対策方針の決定
  • 導入製品選定
  • スケジュール詳細化
成果物
展開計画書(ロードマップ)
主な役割
  • 主担当:情報システム部門(調査主体・調整)
  • 意思決定:経営層(予算承認)
  • サポート:カコムス(分析支援・助言)
Step③
技術実装(Implementation)
期間:3〜6か月
  • M365/Azure環境構築
  • ポリシー設定・展開
  • 動作検証・テスト
成果物
設定シート/試験報告書
主な役割
  • 主担当:カコムス(設計・構築支援)
  • 意思決定:情報システム部門(方針承認)
Step④
証跡整備(Documentation/Training)
期間:1〜2か月
  • 運用ルールの文書化
  • 教育資料作成
  • 監査対応エビデンス
成果物
運用手順書/台帳一式
主な役割
  • 主担当:カコムス(文書作成)/ 情報システム部門(エビデンス管理)
  • ヒアリング:該当部門(購買等)
Step⑤
運用伴走(Operation)
期間:継続支援
  • ログ監視・分析
  • 月次定例
  • セキュリティ最新化
成果物
月次レポート/改善案
主な役割
  • 主担当:情報システム部門(運用統括・監視)
  • サポート:カコムス(運用伴走)

※ フェーズごとの部分的なご支援や、既存環境のアドバイザリー契約も可能です。
柔軟にご相談ください。

Action

まずは自社の対象と到達目標(★3/★4)を一緒に決めましょう

制度の詳細が不透明な段階でも、「今やるべき対応事項」は明確です。
現実的なセキュリティ対策の第一歩をご支援します。


SCS認定取得支援サービス
~サプライチェーン強化に向けたセキュリティ対策評価制度~
資料ダウンロード

ダウンロードはこちら

SCS認定取得支援サービス
~サプライチェーン強化に向けたセキュリティ対策評価制度~
に関するお問い合わせ

担当窓口:営業部

電話番号:06-6342-7811

お問い合わせはこちら
ソリューション