サプライチェーンの「信頼」を可視化する —— 経済産業省が実施予定のサプライチェーン強化に向けたセキュリティ対策評価制度の全体像と実務対応のポイント
はじめに
近年、サプライチェーンを狙ったセキュリティインシデントが頻発しており、委託先を踏み台とした不正侵入や、部品供給停止による事業中断リスクが増大しています。しかし、サプライチェーン全体のセキュリティを高めていくうえで、委託元では取引先の対策状況が見えず、委託先ではバラバラな要求を突きつけられるといった課題がそれぞれ存在しています。
そこで、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」[1] (以下、「SCS評価制度」と表記)と表した制度を2026年度下期に運用開始する見込みであることを発表しています。この記事では、SCS評価制度の概要や具体的にどのような対策が求められるかなどをご紹介します。
※本記事は2026年5月時点の情報をもとに執筆しております。SCS評価制度については今後詳細化予定であり、細かい内容は変更される場合があります。
そこで、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」[1] (以下、「SCS評価制度」と表記)と表した制度を2026年度下期に運用開始する見込みであることを発表しています。この記事では、SCS評価制度の概要や具体的にどのような対策が求められるかなどをご紹介します。
※本記事は2026年5月時点の情報をもとに執筆しております。SCS評価制度については今後詳細化予定であり、細かい内容は変更される場合があります。
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)とは —— 5段階の「★」で対策水準を可視化
SCS評価制度は、委託元が委託先に適切な段階(★)を提示することで、共通基準に基づく対策の可視化とサプライチェーン全体のレジリエンス強化を目的としています。あくまでも求められる水準を定めるものであり、セキュリティ対策のレベルを競う「格付け制度」のようなものではないと明示されています。また、★1・★2についてはIPAが運営する「SECURITY ACTION」[2]という制度がすでに施行されているため、本記事では取り扱いません。
以下の表に、現時点での★3~5の対象や要件などを示します。
SCS評価制度の認定は、★3は「専門家確認付き自己評価」、★4、5は「第三者評価」によって行われます。
★3の「専門家確認付き自己評価」とは、情報処理安全確保支援士やCISSPなどの資格を所持し、かつ特定の研修を受講したセキュリティ専門家(社内外を問わない)による確認を実施したうえで評価結果を提出する方法とされています。
★4の第三者評価では、証跡確認等の実地審査に加え技術検証が行われます。技術検証では、インターネットに公開している機器のうち脆弱性を悪用された場合に組織への侵入リスクが高い機器(例:VPN装置、ルータ)に対して脆弱性検査が実施される予定です。
★5の評価スキームについては検討段階であり、2026年度下期にかけて具体化される見込みです。
要求事項は★3が26件、★4が43件ありますが、原則としてすべての要求事項への対応が求められます。また、上位の段階はそれ以下の段階で求められる事項を包括します。要求事項の詳細については、公表されているSCS評価制度の要求事項・評価基準[3]をご参照ください。
以下の表に、現時点での★3~5の対象や要件などを示します。
| 段階 | 対象 | 要件 | 要求事項数 | 認定方法 | 有効期間 |
|---|---|---|---|---|---|
| ★3 | サプライチェーン形成企業として最低限満たすべき基準 | 基礎的なガバナンス、システム防御策 | 26件 | 専門家確認付き自己評価 | 1年 |
| ★4 | サプライチェーン形成企業として標準的に満たすべき基準 | 組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等 | 43件 | 第三者評価 | 3年 |
| ★5 | サプライチェーン形成企業がさらに目指すべき高度な基準 | 国際規格等に基づくマネジメントシステム、サイバーレジリエンス確保策 | 今後検討予定 | 第三者評価 | 今後検討予定 |
※経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(令和8年3月)のデータを基に作成
認定方法
SCS評価制度の認定は、★3は「専門家確認付き自己評価」、★4、5は「第三者評価」によって行われます。
★3の「専門家確認付き自己評価」とは、情報処理安全確保支援士やCISSPなどの資格を所持し、かつ特定の研修を受講したセキュリティ専門家(社内外を問わない)による確認を実施したうえで評価結果を提出する方法とされています。
★4の第三者評価では、証跡確認等の実地審査に加え技術検証が行われます。技術検証では、インターネットに公開している機器のうち脆弱性を悪用された場合に組織への侵入リスクが高い機器(例:VPN装置、ルータ)に対して脆弱性検査が実施される予定です。
★5の評価スキームについては検討段階であり、2026年度下期にかけて具体化される見込みです。
合格基準
要求事項は★3が26件、★4が43件ありますが、原則としてすべての要求事項への対応が求められます。また、上位の段階はそれ以下の段階で求められる事項を包括します。要求事項の詳細については、公表されているSCS評価制度の要求事項・評価基準[3]をご参照ください。
★3、4の取得に向けた具体的対策
それでは、★3、4を取得するためには具体的にどのようなことを行っていく必要があるでしょうか。本記事では具体的なアクションを3つのポイントでご紹介します。
最初のステップは、自社がどの段階(★3または★4)を目指すべきか、そして社内のどの範囲を対象にするかを明確にすることです。
取引先が提示する事業継続リスクや情報管理リスクの基準に照らし合わせ、自社がどちらに該当するかを判断します 。
- ★3(一般的なサイバー脅威への対処):すべてのサプライチェーン企業が最低限実装すべき基礎的なレベル。
- ★4(サプライチェーンの強靭化):自社の事業中断が委託元の事業継続に重大な影響を及ぼす場合や、重要な機密情報を扱う場合に求められる標準的なレベル。
- 申請主体と適用範囲の定義:
評価を受ける範囲は原則として法人単位ですが、セキュリティ専門家や評価機関の妥当性確認を経ることで事業部・グループ単位に絞り込むことも可能です 。
本制度が対象とするのは、インターネットに接続されている自社のIT基盤です 。工場などの制御(OT)システムや販売する製品そのものは対象外となるため、明確に境界を区切る必要があります。
次に示すのは、システムの防御力を高めるのに必要な対策です。具体的な要求事項に沿って、特に重要な以下の3つのポイントを解説します。
「見えないものは守れない」という原則に基づき、パソコン、サーバ、スマートデバイスのOSや台数、ネットワーク構成(★4ではネットワーク図の作成が必須)を常に把握・点検する仕組みを作ります。
また、見落としがちなのが自社のIT基盤の外にある外部情報サービス(SaaSやクラウドサービス、ホスティングなど)の存在です 。★3・★4ともに、自社の機密情報を扱う外部サービスをすべて洗い出して管理することが求められます。
<関連する要求事項・評価基準の例>
- 3-1-1-1(★3):パソコン及びシンクライアントの製造元、OS及び台数を把握するための仕組みを整備すること。
- 3-1-1-2(★3):サーバ、仮想サーバ及びハイパーバイザの製造元、OS及び台数を把握するための仕組みを整備すること。
- 3-1-1-5(★4):スマートデバイスの製造元、OS及び台数を把握するための仕組みを整備すること。
- 3-1-2-3(★4):ネットワークを対象として、ネットワーク図を作成すること。
- 3-1-3(★3):自社の機密情報を扱う外部情報サービスを管理すること。
重要な機密情報を扱うクラウドサービス(★3・★4共通)、およびインターネット経由で社内環境へ接続する際(★4)には、多要素認証(MFA)の利用が強く求められます。
また、パスワードルールを厳格に定める必要があります。具体的には、デフォルトパスワードの変更、使い回しの禁止、アカウントロック制御(10回失敗でロック等)が挙げられます。
<関連する要求事項・評価基準の例>
- 4-1-3-2(★3):重要な機密情報を取り扱うクラウドサービスにおいて、ユーザ及び管理者がサービスにアクセスする場合は、常にNo.4-1-3-3※で示す認証要素を利用した多要素認証を使用すること。
- 4-1-3-5(★4):重要な機密情報を取り扱うシステムにおいて、No.4-1-3-2で対象としているクラウドサービスへのアクセスに加えて、以下に示す場合は、常にNo.4-1-3-3で示す認証要素(※知識、所有、生体、IPアドレス等その他情報から2種類以上)を使用した多要素認証を使用すること。
- インターネットを経由して社内環境へ接続する場合
- 管理者がインターネット経由でシステムにアクセスする場合
- ユーザがインターネット経由で重要な機密情報を取り扱うシステムにアクセスする場合
- 4-1-4-1(★3):パソコンへのログオン及びスマートデバイスのロック解除にあたって、以下のいずれかを適用すること。
- 試行回数を調整し、試行が失敗するたびに試行間隔が長くなるようにする。
- 試行が少なくとも10回以上失敗すると端末をロックする。
- 上記で示す要件のいずれも設定することができない場合、No.4-1-5で求められる(※英大文字小文字、数字を含めた10文字以上)よりも強度の高いパスワードを用いる等の代替策を用いること。
- 4-1-5-1(★3):パソコン、サーバ、スマートデバイス及びクラウドサービスの利用者又は管理者は、それらにおけるデフォルトパスワードを変更するよう社内ルールを定めること。
- 4-1-5-4(★3):ユーザ認証にパスワードを利用する場合、情報機器及びサービス間でのパスワードを使い回さないよう社内ルールを定めること。
OSやソフトウェアのサポート期限切れを放置せず、ベンダーから重大なアップデートが公開された場合は14日以内に適用する手続を定めます。また、ファイアウォールで不要なインバウンド通信を遮断することも必須です。
<関連する要求事項・評価基準の例>
- 4-4-2-1(★4):利用するOS及びソフトウェアについて、以下のいずれかを適用すること。
- 全てのOS及びソフトウェアについてサポートのあるものを利用すること。
- やむを得ずサポート切れの OS及びソフトウェアを利用する場合(例えば、代替システムを調達する必要があり、直ちに更改できない場合)は、更改計画を策定した上で、更改するまでの間、No.4-4-4-2で求める脆弱性悪用のリスクを低減する対策を実施すること。
- 4-4-4-2(★3):利用している機能又は設定に関して、以下のいずれかに該当するアップデートプログラムがリリースされてから14日以内に、アップデートすること。
- 当該アップデートが、ベンダーにより「重大」(Critical)又は 「高リスク」(High Risk)と説明される脆弱性を修正するものである。
- 当該アップデートが、CVSSの基本値が7.0以上の脆弱性を修正するものである。
- 当該アップデートが修正する脆弱性のレベルの詳細がベンダーから提供されていない。
やむを得ず上記のとおりアップデートができない場合(例えば、動作検証に一定期間を要し、期限内にアップデートが完了しない場合)は、アップデート適用までの間、以下のいずれかにより脆弱性悪用のリスクを低減する対策を実施すること。
- 脆弱性悪用の対象となる機能を無効化すること。
- ベンダーが推奨する回避策を実施すること。
- 対象となる情報機器を適用範囲内のネットワークから分離すること。
- 対象となる情報機器と適用範囲内のネットワークとの通信を監視し、当該脆弱性を悪用する不正な通信を遮断する機器又はソフトウェアを導入すること。
[対象]
- 会社支給のパソコンの OS、ブラウザ及びOffice ソフト
- サーバの OS及びミドルウェア
- 会社支給のスマートデバイスのOS及びアプリ
- インターネットとの境界に設置されているネットワーク機器のOS及びファームウェア
- 4-5-1-4(★3):全てのファイアウォール(又はファイアウォール機能を持つネットワーク機器)について、認証されていないインバウンド通信を遮断すること。
ツールを入れるだけでなく、組織としてセキュリティを維持・回復するための体制を整えます。
セキュリティを統括する役員(CISOなど)や担当部署の役割を明確にします。さらに★4では、経営に重大な影響を及ぼすリスクへの対応を判断するため、経営層が参加する情報セキュリティ委員会等の体制設置や、定期的な状況報告・是正計画の承認が義務づけられます。
<関連する要求事項・評価基準の例>
- 1-2-1-1(★3):セキュリティを統括する役員(例えば、CISOを設置する会社の場合は、当該CISO)及びセキュリティ担当部署の役割・責任を定めること。
- 1-2-1-4(★4):セキュリティリスクは、経営に重大な影響を及ぼすことを前提として、その対応について、経営層が参加する情報セキュリティ委員会等の経営判断ができる体制を設置すること。
- 1-4-1-1(★4):セキュリティ担当部署は、年1回以上、セキュリティを統括する役員(例えば、CISOを設置する会社の場合は、当該CISO)及び関係部門に対して、以下にて求める対策の点検の結果を踏まえたセキュリティ対策の実態及び当該実態を踏まえて策定した今後の対策推進計画を報告し承認を得た上で、当該報告結果を社内部署と共有すること。(以下省略)
「インシデントは起こるもの」という前提に立ち、①発見報告、②初動、③調査・対応、④復旧、⑤最終報告 という一連の手順と、関係当局や取引先を含めた連絡ルートをあらかじめ整備しておきます。
<関連する要求事項・評価基準の例>
- 6-1-1-1(★3):以下の手順を含んだセキュリティインシデントへの対応手順を定めること。
①発見報告、 ②初動、③調査・対応、④復旧、⑤最終報告
- 6-1-1-2(★3):セキュリティインシデント発生時における社内外組織(関係当局及び所管省庁への報告又は情報共有を含む。)の連絡先及び報告・情報共有ルートを定めること。
- 事業継続を見据えた復旧準備:
単にデータを守るだけでなく、サイバー攻撃を受けた後にどう業務を再開するかを定めます。
- ★3:目標復旧レベルを定め、予備機やクラウドによる代替、あるいは電話・FAXなど人手による業務継続手段を準備する。
- ★4:遠隔地バックアップを確保した上で、定めた目標復旧時間(RTO)内で確実にシステムをリストアできるかを手順書に沿って確認・テストする。
<関連する要求事項・評価基準の例>
- 7-1-1-1(★3):事業継続上重要なシステムについて、サイバー攻撃を念頭に、業務の目標復旧レベルを定めたうえで、当該レベルまで業務を回復するために必要な対策を、以下の例を参考として整備すること。
[復旧のための対策(例)]
- システムによる業務継続(例:予備機、クラウド環境等により待機系を整備する。)
- 人手による業務継続(例:電話、FAX等による連絡又は業務の実施に備え、影響のある取引先の連絡先及び複数の連絡手段を整備する。)
- 4-3-4-2(★3):重要な機密情報については、No.4-3-4-1におけるバックアップに加えて、遠隔地バックアップを実施すること。
- 7-1-1-2(★4):事業継続上重要なシステムについて、サイバー攻撃を念頭に、以下の対策を構じること。
- 目標復旧時点への復旧ができるようにNo.4-3-4-1及びNo.4-3-4-2で取得したバックアップを保管すること。
- No.4-3-4-3で定めたリストア手順書どおりに、かつ、目標復旧時間でバックアップの復元ができることを確認すること。
①自社の立ち位置と適用範囲の決定
最初のステップは、自社がどの段階(★3または★4)を目指すべきか、そして社内のどの範囲を対象にするかを明確にすることです。
求められる要求水準の確認:
取引先が提示する事業継続リスクや情報管理リスクの基準に照らし合わせ、自社がどちらに該当するかを判断します 。
- ★3(一般的なサイバー脅威への対処):すべてのサプライチェーン企業が最低限実装すべき基礎的なレベル。
- ★4(サプライチェーンの強靭化):自社の事業中断が委託元の事業継続に重大な影響を及ぼす場合や、重要な機密情報を扱う場合に求められる標準的なレベル。
- 申請主体と適用範囲の定義:
評価を受ける範囲は原則として法人単位ですが、セキュリティ専門家や評価機関の妥当性確認を経ることで事業部・グループ単位に絞り込むことも可能です 。
IT基盤の棚卸し:
本制度が対象とするのは、インターネットに接続されている自社のIT基盤です 。工場などの制御(OT)システムや販売する製品そのものは対象外となるため、明確に境界を区切る必要があります。
②現状の可視化とシステム防御のための技術的対策
次に示すのは、システムの防御力を高めるのに必要な対策です。具体的な要求事項に沿って、特に重要な以下の3つのポイントを解説します。
台帳による資産管理と外部サービスの可視化:
「見えないものは守れない」という原則に基づき、パソコン、サーバ、スマートデバイスのOSや台数、ネットワーク構成(★4ではネットワーク図の作成が必須)を常に把握・点検する仕組みを作ります。
また、見落としがちなのが自社のIT基盤の外にある外部情報サービス(SaaSやクラウドサービス、ホスティングなど)の存在です 。★3・★4ともに、自社の機密情報を扱う外部サービスをすべて洗い出して管理することが求められます。
<関連する要求事項・評価基準の例>
- 3-1-1-1(★3):パソコン及びシンクライアントの製造元、OS及び台数を把握するための仕組みを整備すること。
- 3-1-1-2(★3):サーバ、仮想サーバ及びハイパーバイザの製造元、OS及び台数を把握するための仕組みを整備すること。
- 3-1-1-5(★4):スマートデバイスの製造元、OS及び台数を把握するための仕組みを整備すること。
- 3-1-2-3(★4):ネットワークを対象として、ネットワーク図を作成すること。
- 3-1-3(★3):自社の機密情報を扱う外部情報サービスを管理すること。
認証の強化:
重要な機密情報を扱うクラウドサービス(★3・★4共通)、およびインターネット経由で社内環境へ接続する際(★4)には、多要素認証(MFA)の利用が強く求められます。
また、パスワードルールを厳格に定める必要があります。具体的には、デフォルトパスワードの変更、使い回しの禁止、アカウントロック制御(10回失敗でロック等)が挙げられます。
<関連する要求事項・評価基準の例>
- 4-1-3-2(★3):重要な機密情報を取り扱うクラウドサービスにおいて、ユーザ及び管理者がサービスにアクセスする場合は、常にNo.4-1-3-3※で示す認証要素を利用した多要素認証を使用すること。
- 4-1-3-5(★4):重要な機密情報を取り扱うシステムにおいて、No.4-1-3-2で対象としているクラウドサービスへのアクセスに加えて、以下に示す場合は、常にNo.4-1-3-3で示す認証要素(※知識、所有、生体、IPアドレス等その他情報から2種類以上)を使用した多要素認証を使用すること。
- インターネットを経由して社内環境へ接続する場合
- 管理者がインターネット経由でシステムにアクセスする場合
- ユーザがインターネット経由で重要な機密情報を取り扱うシステムにアクセスする場合
- 4-1-4-1(★3):パソコンへのログオン及びスマートデバイスのロック解除にあたって、以下のいずれかを適用すること。
- 試行回数を調整し、試行が失敗するたびに試行間隔が長くなるようにする。
- 試行が少なくとも10回以上失敗すると端末をロックする。
- 上記で示す要件のいずれも設定することができない場合、No.4-1-5で求められる(※英大文字小文字、数字を含めた10文字以上)よりも強度の高いパスワードを用いる等の代替策を用いること。
- 4-1-5-1(★3):パソコン、サーバ、スマートデバイス及びクラウドサービスの利用者又は管理者は、それらにおけるデフォルトパスワードを変更するよう社内ルールを定めること。
- 4-1-5-4(★3):ユーザ認証にパスワードを利用する場合、情報機器及びサービス間でのパスワードを使い回さないよう社内ルールを定めること。
脆弱性管理とネットワーク境界防護:
OSやソフトウェアのサポート期限切れを放置せず、ベンダーから重大なアップデートが公開された場合は14日以内に適用する手続を定めます。また、ファイアウォールで不要なインバウンド通信を遮断することも必須です。
<関連する要求事項・評価基準の例>
- 4-4-2-1(★4):利用するOS及びソフトウェアについて、以下のいずれかを適用すること。
- 全てのOS及びソフトウェアについてサポートのあるものを利用すること。
- やむを得ずサポート切れの OS及びソフトウェアを利用する場合(例えば、代替システムを調達する必要があり、直ちに更改できない場合)は、更改計画を策定した上で、更改するまでの間、No.4-4-4-2で求める脆弱性悪用のリスクを低減する対策を実施すること。
- 4-4-4-2(★3):利用している機能又は設定に関して、以下のいずれかに該当するアップデートプログラムがリリースされてから14日以内に、アップデートすること。
- 当該アップデートが、ベンダーにより「重大」(Critical)又は 「高リスク」(High Risk)と説明される脆弱性を修正するものである。
- 当該アップデートが、CVSSの基本値が7.0以上の脆弱性を修正するものである。
- 当該アップデートが修正する脆弱性のレベルの詳細がベンダーから提供されていない。
やむを得ず上記のとおりアップデートができない場合(例えば、動作検証に一定期間を要し、期限内にアップデートが完了しない場合)は、アップデート適用までの間、以下のいずれかにより脆弱性悪用のリスクを低減する対策を実施すること。
- 脆弱性悪用の対象となる機能を無効化すること。
- ベンダーが推奨する回避策を実施すること。
- 対象となる情報機器を適用範囲内のネットワークから分離すること。
- 対象となる情報機器と適用範囲内のネットワークとの通信を監視し、当該脆弱性を悪用する不正な通信を遮断する機器又はソフトウェアを導入すること。
[対象]
- 会社支給のパソコンの OS、ブラウザ及びOffice ソフト
- サーバの OS及びミドルウェア
- 会社支給のスマートデバイスのOS及びアプリ
- インターネットとの境界に設置されているネットワーク機器のOS及びファームウェア
- 4-5-1-4(★3):全てのファイアウォール(又はファイアウォール機能を持つネットワーク機器)について、認証されていないインバウンド通信を遮断すること。
③ガバナンスと復旧体制の整備
ツールを入れるだけでなく、組織としてセキュリティを維持・回復するための体制を整えます。
経営層の関与とガバナンス体制:
セキュリティを統括する役員(CISOなど)や担当部署の役割を明確にします。さらに★4では、経営に重大な影響を及ぼすリスクへの対応を判断するため、経営層が参加する情報セキュリティ委員会等の体制設置や、定期的な状況報告・是正計画の承認が義務づけられます。
<関連する要求事項・評価基準の例>
- 1-2-1-1(★3):セキュリティを統括する役員(例えば、CISOを設置する会社の場合は、当該CISO)及びセキュリティ担当部署の役割・責任を定めること。
- 1-2-1-4(★4):セキュリティリスクは、経営に重大な影響を及ぼすことを前提として、その対応について、経営層が参加する情報セキュリティ委員会等の経営判断ができる体制を設置すること。
- 1-4-1-1(★4):セキュリティ担当部署は、年1回以上、セキュリティを統括する役員(例えば、CISOを設置する会社の場合は、当該CISO)及び関係部門に対して、以下にて求める対策の点検の結果を踏まえたセキュリティ対策の実態及び当該実態を踏まえて策定した今後の対策推進計画を報告し承認を得た上で、当該報告結果を社内部署と共有すること。(以下省略)
インシデント対応手順の形式化:
「インシデントは起こるもの」という前提に立ち、①発見報告、②初動、③調査・対応、④復旧、⑤最終報告 という一連の手順と、関係当局や取引先を含めた連絡ルートをあらかじめ整備しておきます。
<関連する要求事項・評価基準の例>
- 6-1-1-1(★3):以下の手順を含んだセキュリティインシデントへの対応手順を定めること。
①発見報告、 ②初動、③調査・対応、④復旧、⑤最終報告
- 6-1-1-2(★3):セキュリティインシデント発生時における社内外組織(関係当局及び所管省庁への報告又は情報共有を含む。)の連絡先及び報告・情報共有ルートを定めること。
- 事業継続を見据えた復旧準備:
単にデータを守るだけでなく、サイバー攻撃を受けた後にどう業務を再開するかを定めます。
- ★3:目標復旧レベルを定め、予備機やクラウドによる代替、あるいは電話・FAXなど人手による業務継続手段を準備する。
- ★4:遠隔地バックアップを確保した上で、定めた目標復旧時間(RTO)内で確実にシステムをリストアできるかを手順書に沿って確認・テストする。
<関連する要求事項・評価基準の例>
- 7-1-1-1(★3):事業継続上重要なシステムについて、サイバー攻撃を念頭に、業務の目標復旧レベルを定めたうえで、当該レベルまで業務を回復するために必要な対策を、以下の例を参考として整備すること。
[復旧のための対策(例)]
- システムによる業務継続(例:予備機、クラウド環境等により待機系を整備する。)
- 人手による業務継続(例:電話、FAX等による連絡又は業務の実施に備え、影響のある取引先の連絡先及び複数の連絡手段を整備する。)
- 4-3-4-2(★3):重要な機密情報については、No.4-3-4-1におけるバックアップに加えて、遠隔地バックアップを実施すること。
- 7-1-1-2(★4):事業継続上重要なシステムについて、サイバー攻撃を念頭に、以下の対策を構じること。
- 目標復旧時点への復旧ができるようにNo.4-3-4-1及びNo.4-3-4-2で取得したバックアップを保管すること。
- No.4-3-4-3で定めたリストア手順書どおりに、かつ、目標復旧時間でバックアップの復元ができることを確認すること。
おわりに:令和8年度の運用開始に備えて
本記事でご紹介したSCS評価制度(★3、★4)は2026年度下期の運用開始が想定されています。現時点で要求事項や評価スキームの大枠は固まっていますが、実際にどのような評価が行われるかの詳細は、今年10月頃に公表予定の評価用ガイドで明らかになる見通しです。まずは今後の公式情報に注目しつつ、まだ先行の「SECURITY ACTION(★1・★2)」の取得をしていない企業は、そちらから先に取り組むことでスムーズに★3、4の取得が目指せるでしょう。
アクセリアでは、セキュリティサービスを提供しています。企業におけるサイバーセキュリティ上の課題の洗い出しや対策、サポートなどが必要となる際は、アクセリアまでお問い合わせください。
- [1]サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) | IPA
https://www.ipa.go.jp/security/scs/index.html
- [2]SECURITY ACTION セキュリティ対策自己宣言 | IPA
https://www.ipa.go.jp/security/security-action/
- [3]要求事項・評価基準(SCS評価制度) | IPA
https://www.ipa.go.jp/security/scs/requirements-criteria.html
アクセリアでは、セキュリティサービスを提供しています。企業におけるサイバーセキュリティ上の課題の洗い出しや対策、サポートなどが必要となる際は、アクセリアまでお問い合わせください。
参考サイト
- [1]サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) | IPA
https://www.ipa.go.jp/security/scs/index.html
- [2]SECURITY ACTION セキュリティ対策自己宣言 | IPA
https://www.ipa.go.jp/security/security-action/
- [3]要求事項・評価基準(SCS評価制度) | IPA
https://www.ipa.go.jp/security/scs/requirements-criteria.html
アクセリア
ソリューション本部
セキュリティ事業部
セキュリティ事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service