★の取得はゴールではない
SCS評価制度の★3取得に向けた準備が各社で進んでいますが、見落とされがちなのが取得後の維持・更新です。SCS評価制度は一度取れば終わりの「資格」ではなく、対策状況を継続的に証明し続ける「格付け」です。
取引先は格付けを前提に取引を継続するため、更新時にレベルを維持できなければ、取得前よりも信用への影響が大きくなりかねません。本記事では、★取得後1年間の運用を設計するための実務を整理します。
有効期間と更新サイクル
制度設計の議論では、評価結果には有効期間が設けられ、定期的な更新が求められる方向で検討されています。
| レベル | 評価方法 | 更新の枠組み(想定) |
|---|---|---|
| ★3 | 自己評価 | 年1回程度の自己評価の更新が想定される |
| ★4・★5 | 第三者評価 | 定期的な再評価(ISMSの維持審査・更新審査に近い枠組みが想定される) |
有効期間・更新手続きの詳細は2026年6月時点で最終確定していません。確定情報は経産省の公表資料と申請ポータルの案内をご確認ください。本記事では「年1回の見直しを前提とした運用」を推奨ベースラインとして解説します。制度スケジュールの最新整理はこちら。
形骸化の典型パターン
ISMSやPマークの運用で繰り返されてきた「取得後の形骸化」は、SCS評価制度でも確実に起こります。典型パターンは以下の5つです。
- 台帳の陳腐化:資産管理台帳が取得時のスナップショットのまま。入退社・PC入替・SaaS追加が反映されない
- 例外の放置:「一時的に」MFAを除外したアカウント、EDR未導入の端末がそのまま残り続ける
- 文書と実態の乖離:インシデント対応計画に書かれた連絡先・体制が組織変更で古くなっている
- 訓練・教育の未実施:初年度だけ実施し、2年目以降は予定すら立てない
- 委託先評価の一回きり:取得時に委託先へ要件を提示したきり、その後の状況を確認しない
更新時の自己評価や再評価でこれらが露見すると、レベル維持ができず取引先への説明が必要になるリスクがあります。未対応・レベル低下のビジネスリスクも併せて確認してください。
年次運用カレンダー
形骸化を防ぐ最も確実な方法は、要求事項の維持活動を年間カレンダーに落とし込み、担当と期限を固定することです。★3(25項目)を前提とした推奨サイクルは以下のとおりです。
| 頻度 | タスク | 主な対応領域 |
|---|---|---|
| 月次 | パッチ適用状況の確認、EDRアラートのレビュー、入退社に伴うアカウント棚卸し | 技術対策・アクセス管理 |
| 四半期 | 資産台帳の更新確認、MFA除外・例外設定のレビュー、バックアップ復旧テスト | 資産管理・防御・復旧 |
| 半期 | セキュリティ教育の実施、フィッシング訓練、委託先のセキュリティ状況確認 | 人的対策・サプライチェーン |
| 年次 | リスクアセスメントの見直し、インシデント対応計画の改訂・机上訓練、自己評価の再実施と更新申請、経営層への報告 | ガバナンス・更新手続き |
情シスの年間業務に組み込む際は「情シスの年間カレンダー」のフォーマットが流用できます。
変更イベント時の対応
定期サイクルとは別に、以下のイベントが発生したときは都度、要求事項への影響を確認する必要があります。
| イベント | 確認すべきポイント |
|---|---|
| 組織変更・担当者交代 | セキュリティ責任者の指定、対応計画の連絡体制、経営層への報告ラインの更新 |
| M&A・グループ再編 | 被買収企業のセキュリティレベル統一。評価範囲の再定義が必要になる場合がある(PMI後のSCS対応参照) |
| 基幹システム・クラウドの刷新 | 資産台帳・ネットワーク構成図の更新、新システムへのMFA・ログ設定の適用 |
| 新規委託先の追加 | セキュリティ要件の提示、契約条項への反映 |
| インシデント発生 | 対応記録の保全、再発防止策の実装、必要に応じて評価機関・取引先への報告 |
証跡収集の自動化
更新時の最大の負荷は証跡(エビデンス)の収集です。Microsoft 365環境であれば、日常運用の中で証跡が自動的に溜まる仕組みを作れます。
- 資産台帳:Intuneのデバイスインベントリを正とし、月次でエクスポート。手動台帳の二重管理をやめる
- パッチ適用状況:Intuneの更新リング+コンプライアンスポリシーのレポートをそのまま証跡化
- MFA適用状況:Entra IDの認証方法レポートと条件付きアクセスのポリシー定義を四半期ごとに保存
- EDR稼働状況:Defenderのデバイス正常性レポートを月次で取得
- セキュアスコアの推移:Microsoft Secure Scoreを月次記録し、経営層報告と更新申請の両方に使う
初期設定の詳細は「M365でSCS★3に対応する設定チェックリスト」を参照してください。維持運用を外部に任せる選択肢は「専門家がいない企業のSCS対応」で解説しています。
BTNコンサルティングの「情シス365」セキュリティパックでは、年次運用カレンダーの設計、四半期レビューの代行、更新時の自己評価支援まで、★維持をワンストップでサポートします。
→ SCS評価制度 対応支援の詳細|→ SCS対応の完全ガイド|→ 対応費用ガイド
まとめ
SCS評価制度は取得よりも維持の方が長い戦いです。年1回の更新を前提に、月次・四半期・年次の運用カレンダーへ要求事項を落とし込み、組織変更やM&Aなどのイベント時には都度影響を確認しましょう。IntuneやDefenderのレポートを正とした証跡の自動収集を仕組み化すれば、更新時の負荷は大幅に減らせます。