作成日: 2026-06-10
はじめに
「153項目……見ただけで頭が痛い」
そう思う方も多いのではないでしょうか。
SCS評価制度の要求事項は、Excelファイルで公開されています。初めて開いた人は、その項目数と専門用語の多さに、ページを閉じたくなるかもしれません。同じ自動車業界にいる方なら、似たようなチェックシートを見たことがあるかもしれません。あれと同じ感覚です。中堅企業のセキュリティ担当者が、理解と回答に苦労している場面をいくつも見てきました。
でも、全部を一度に読み解く必要はありません。
今回は「まず1項目だけ」試しに見てみようと思います。153項目のうち、最初の1つを一緒に読み解くことで、「このシートはこういう読み方をするものか」という感覚をつかんでいただければと思います。今後、大分類7つに分けて全体を整理していく予定ですので、今回はその入口として気軽にお付き合いください。
要求事項のExcelを開いてみる
まず、実際の要求事項を確認してみましょう。経産省が公開しているExcelファイルがこちらです。
→ SCS評価制度 要求事項一覧(経産省)
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_supply_chain/downloadfiles/20260327_3.xlsx
開いてすぐに理解できた方は、正直このブログを読まなくても大丈夫だと思います(笑)。
そうでない方は、一緒に整理していきましょう。
要求事項の基本的な数字
今回は★3(スター3)の取得を前提に話を進めます。★3は、中堅・中小企業を含む幅広い企業が最初に目指すレベルです(★3と★4の違いは第1回の記事で整理しています)。
- 全体の評価基準数: 153項目
- ★3で対象となる評価基準数: 81項目(26の要求事項に対して81の評価基準が定義されている)
要求事項の大分類:7つのテーマに分かれている
153項目は大きく7つのカテゴリに分かれています。今後、このブログではこの7つを順番に読み解いていく予定です。
| No | 大分類 |
|---|---|
| 1 | ガバナンスの整備 |
| 2 | 取引先の管理 |
| 3 | リスクの特定 |
| 4 | 資産の特定 |
| 5 | 攻撃等の防御 |
| 6 | 攻撃等の検知 |
| 7 | インシデントへの対応・復旧 |
今回は「①ガバナンスの整備」の中から、1項目だけを見てみます。
最初の1項目を読んでみる
要求事項 1-3-1-1:セキュリティに関する社内ルールの策定・周知
実際の要求事項の文章はこうなっています。
ガバナンスの整備 1-3-1-1
「・自社のセキュリティ対応方針を定めること。」
読んでみると、案外シンプルなことを求めているな、という印象ではないでしょうか。
すでにSECURITY ACTIONの★1を宣言していれば、クリアしている可能性が高い
SECURITY ACTION(★1〜★2)とSCS評価制度(★3〜★5)は、★1〜★5の5段階でセキュリティレベルを可視化する、一つの評価体系としてつながっています。「まずSECURITY ACTIONから始め、ステップアップしてSCS評価制度(★3以上)の取得を目指す」という流れで設計されているので、いきなり★3から見ると項目の多さに圧倒されてしまうかもしれません。
SECURITY ACTIONは「情報セキュリティ5か条」や「情報セキュリティ基本方針の策定」に取り組むことを自己宣言する制度です。★1の自己宣言をしている企業であれば、この要求事項(1-3-1-1)はすでに達成しているか、達成に近い状態にあると思います。
参考:経産省 SECURITY ACTION
https://www.meti.go.jp/policy/netsecurity/security_action.html
SECURITY ACTIONについては別の回で改めて整理しますので、今回は「そういう制度もある」という認識だけ持っておいていただければ大丈夫です。
「社内規定があればOK」ではない
ただし、実際には「社内規定にセキュリティのことが書いてある」だけでは不十分な場合があります。以下のような点も確認される可能性があります。
- 策定プロセス: そのルールがどのように作られたか。責任ある立場の人(役員・管理職など)が承認しているか
- 保管場所: 社員が見られる場所にあるか(共有フォルダ、社内ポータルなど)
- 周知の記録: メールや会議などでアナウンスした記録が残っているか
これらは他の要求項目となっています。
セキュリティルールって、何を書けばいいの?
「ルールを作れと言われても、何を書けばいいかわからない」という声は多いです。
その場合は、IPA(情報処理推進機構)が公開している情報セキュリティ基本方針のひな型が参考になります。中小企業向けに、自社用にカスタマイズしやすい形で整備されています。
参考:IPA 中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/guide/sme/about.html
このひな型を使えば、「ゼロから考える」負担をかなり減らせます。自社の事業内容に合わせて、必要な部分を書き足していくイメージです。
「1項目だけ」でも見えてくること
今回、153項目のうちの最初の1つだけを読みましたが、この1項目を通じて少し見えてきたことがあるのではないでしょうか。
SCSの要求事項は、「高度な技術的対策」だけを求めているわけではありません。「ルールを作る」「周知する」「記録を残す」といった、組織としての基本的な管理プロセスも、評価の対象になっています。
言い換えると、「セキュリティの技術的な知識がなくてもできることが、要求事項の中にたくさんある」ということです。これは、担当者にとってはある意味では取り組みやすいポイントかもしれません。
逆に言えば、技術的な対策はしているが「プロセスの記録がない」「承認フローがない」という企業は、意外なところで評価を落とす可能性があります。
このブログが目指していること
私はグローバルな製造業グループのCSIRTリーダーとして働いており、セキュリティ製品を売る立場ではありません。自動車部品メーカーに勤めているため、取引先にセキュリティ要件を「求める側」であり、完成車メーカーから要件を「求められる側」でもあります。
その立場から、「このブログを読んだ担当者が、経営者を動かすための言葉と資料を手に入れられる」ことを目指して書いています。
ベンダーには書けない「要求する側の現場目線」を込めるのが、このブログの差別化です。難しい言葉をわかりやすく言い換えるだけでなく、「現場では実際にどう判断するか」という視点を大事にします。
次回の予告
次回は、SCS評価制度の前段階として知っておきたい「SECURITY ACTION(1つ星・2つ星)」を整理します。
今回の記事で少し触れた「SECURITY ACTION」の実態と、SCSとの関係を丁寧に確認していきます。「まず何から手をつければいいか」という問いへの答えにもなる内容ですので、引き続きお付き合いください。
相談してみませんか?
「ちょっと聞いてみたい」という段階でも構いません。私の経歴・支援内容の詳細は「このブログについて」をご覧ください。
なお、SCSへの関心が高まる中、制度に便乗した不審な勧誘も出てきています。私のことも含め、見知らぬ相手を安易に信用しすぎないようご注意ください。経産省も注意喚起を出しています。
→ サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)に係る不適切な勧誘に御注意ください
https://www.meti.go.jp/policy/netsecurity/20260427_scs.html
CISSP・情報処理安全確保支援士 | けい
コメント