★4以上で必要になる第三者評価
SCS評価制度では、★3までは自己評価で取得可能ですが、★4以上は第三者評価が必須となります。第三者評価とは、外部の専門家が企業のセキュリティ対策状況を客観的に審査する仕組みです。
| 格付け | 評価方法 | 専門家の関与 |
|---|---|---|
| ★1・★2 | SECURITY ACTION(自己宣言) | 不要 |
| ★3 | 自己評価 | 不要(任意で外部支援活用可) |
| ★4 | 第三者評価 | 認定された専門家による評価が必須 |
| ★5 | 第三者評価(高度) | 高度な専門家チームによる評価が必須 |
★3を取得した後、取引先の要請や自社のセキュリティ成熟度向上に伴い★4を目指す企業が増えることが予想されます。★4取得準備の詳細はこちらで解説しています。
専門家の資格要件
SCS評価制度で第三者評価を実施できる専門家には、以下のような要件が求められます。
| 要件カテゴリ | 具体的な要件 |
|---|---|
| 資格 | 情報処理安全確保支援士(登録セキスペ)、CISA、CISM、CISSP等の国際的に認知されたセキュリティ資格 |
| 実務経験 | サイバーセキュリティに関する実務経験5年以上(評価・監査・コンサルティング等) |
| 独立性 | 評価対象企業と利害関係がないこと(自社評価は不可) |
| 継続教育 | 最新のセキュリティ動向に関する継続的な学習・研修の受講 |
資格を保有していても、SCS評価制度の評価者として認定を受ける必要があります。認定には制度固有の研修受講と試験合格が求められる見込みです。
認定評価機関の要件
第三者評価は個人の専門家だけでなく、認定評価機関に所属する評価者が実施することも可能です。認定評価機関には以下の要件が想定されています。
- 法人格を有すること(個人事業主は原則不可)
- 品質管理体制が整備されていること(評価手順書、レビュープロセス等)
- 所属する評価者が複数名在籍していること
- 賠償責任保険に加入していること
- 制度運営機関への登録・認定手続きを完了していること
ISMS審査機関やセキュリティ監査法人が認定評価機関として登録することが想定されます。
第三者評価プロセスの流れ
| フェーズ | 内容 | 期間目安 |
|---|---|---|
| 1. 事前準備 | 評価機関の選定、契約締結、評価スケジュールの策定 | 2〜4週間 |
| 2. 書類審査 | セキュリティ方針、対策実施状況の文書レビュー | 1〜2週間 |
| 3. 現地審査 | システム構成の確認、設定の実地検証、担当者へのインタビュー | 2〜5日 |
| 4. 評価レポート | 適合・不適合の判定、改善指摘事項の報告 | 1〜2週間 |
| 5. 是正対応 | 不適合事項がある場合の改善措置と確認 | 2〜8週間 |
| 6. 格付け付与 | 制度運営機関への評価結果提出、★4格付けの付与 | 2〜4週間 |
第三者評価にかかる費用
第三者評価の費用は、企業規模や評価範囲によって大きく変動します。
| 企業規模 | 評価費用(目安) | 内訳 |
|---|---|---|
| 50名以下 | 50〜80万円 | 書類審査+現地審査1日 |
| 50〜150名 | 80〜120万円 | 書類審査+現地審査2日 |
| 150〜300名 | 100〜150万円 | 書類審査+現地審査3日 |
費用の詳細や削減方法については、SCS評価制度の対応費用ガイドで解説しています。
社内に専門家がいない場合の対策
多くの中小企業には、セキュリティ専門家が社内にいません。その場合の対応策は以下の通りです。
- 外部のセキュリティコンサルタントに依頼:★4取得に向けた準備支援(ギャップ分析、対策実装、文書整備)を外部委託する
- 情シスアウトソーシングを活用:日常的なセキュリティ運用を外部に委託し、評価対応のベースとなる体制を構築する
- 認定評価機関に直接相談:評価前のプレ審査や事前コンサルティングを提供している機関もある
- サイバーセキュリティお助け隊の活用:IPAが運営する中小企業向け支援制度で、専門家の紹介を受けられる
社内に専門家がいない企業は、まず自己評価で取得できる★3を目指すことを推奨します。★3の取得過程でセキュリティ体制を整備し、その後★4へステップアップする戦略が現実的です。専門家不在での対応策の詳細はこちら。
まとめ
SCS評価制度★4以上の取得には、認定された専門家による第三者評価が必須です。専門家にはセキュリティ資格と実務経験が求められ、認定評価機関を通じた審査が基本となります。社内に専門家がいない場合は、外部コンサルタントの活用や段階的なアプローチ(まず★3取得)が有効です。BTNコンサルティングのSCS対応支援では、★3の自己評価支援から★4の第三者評価準備まで、ワンストップでサポートしています。