「SCSを取らないとマズい」と気付いた経営者へ
2026年度の本格運用開始から1ヶ月。取引先から「御社のSCS格付けを教えてください」という照会が届き始め、慌てて社内を確認したものの「うちはまだ何も準備していない」と気付く経営者・情シス担当が増えています。
本記事は、まさに今その状況にある中小企業向けに、自己評価シートで現状を可視化する方法と、★1取得までの30日アクションプランを提示します。完璧を目指さず、まず動き出すことを目的としています。
なぜまず「自己評価」から始めるのか
SCS評価制度では、★1〜★3の格付けがあります。★3以上は第三者評価機関の審査が必要ですが、★1は自己宣言型です。つまり、企業が自社で要件を満たしているかをチェックし、結果を取引先に提示できます。
経産省が公開する自己評価シート(Excel)に「Yes/No」で回答し、すべて該当する場合は★1相当として宣言できます。第三者監査は不要で、コストはほぼゼロです。ただし虚偽申告は契約違反のリスクがあるため、回答根拠は社内に保存しておく必要があります。
つまり、最初の30日でやるべきは「自己評価シートに正直に回答する」「Noの項目を可視化する」「Noを30日でYesに変える計画を立てる」の3ステップです。
Day1〜3:自己評価シートの入手と棚卸し
① 自己評価シートを入手する
経産省・IPAのSCS評価制度ポータルから最新版の自己評価シート(Excel)をダウンロードします。2026年4月時点の最新版は約60項目で構成されています。
② 回答の責任者を1名決める
「誰が回答するか」が曖昧だと進みません。情シス担当(兼任で可)を回答責任者とし、社長から正式に任命します。回答に必要な情報を社内から集める権限を付与します。
③ 現状を「Yes/No/不明」の3択で粗く回答する
初回はYesと言い切れない場合はNoまたは不明にするのがコツです。「やっているつもり」「多分Yes」を避けます。3日で60項目を一巡することが目的なので、深く考えずに進めます。
Day4〜10:Noの項目を分類してギャップを可視化
Noになった項目を以下の4分類で整理します。
| 分類 | 意味 | 対応難度 | 典型例 |
|---|---|---|---|
| A: 設定すれば即解決 | 既存ツールの設定変更だけで対応可能 | 低(1日〜1週間) | MFA有効化、Defender for Business有効化、自動更新設定 |
| B: 文書化が必要 | 運用は実施しているが文書がない | 中(1〜2週間) | セキュリティポリシー、インシデント対応手順、バックアップ手順 |
| C: 投資が必要 | 追加ライセンス・ツール購入が必要 | 高(1〜3ヶ月) | EDR新規導入、ログ管理基盤、SIEM |
| D: 体制が必要 | 人的リソース・教育の整備が必要 | 高(3ヶ月〜) | セキュリティ責任者の任命、全社員教育の実施 |
Aから順に潰していくことで、初期コストを抑えながら短期で多数の項目をクリアできます。
Day11〜20:A項目(設定変更で解決)の即時実施
★1要件のうち、Microsoft 365 Business Premiumを契約していれば設定変更だけで満たせる項目が多数あります。
| ★1要件 | M365での設定方法 | 所要時間 |
|---|---|---|
| MFA必須化 | セキュリティの既定値群を有効化、または条件付きアクセスでMFA要求 | 30分 |
| EDR導入 | Defender for Businessをポリシー配信。Intune未導入なら基本ポリシーから | 2時間 |
| パスワードポリシー | Entra IDのパスワードプロテクションを有効化、禁止単語リスト整備 | 30分 |
| 未承認デバイス制御 | 条件付きアクセスで「準拠デバイスのみ許可」を設定 | 1時間 |
| OS自動更新 | Intune Update Ringsで自動更新ポリシーを配信 | 1時間 |
| バックアップ | OneDrive既知フォルダ移動、SharePointバージョン履歴有効化 | 1時間 |
Day21〜30:B項目(文書化)の整備
★1要件には「セキュリティポリシーが文書化されていること」「インシデント対応手順が定められていること」が含まれます。ゼロから書く必要はなく、IPAの中小企業向けひな形をベースに、自社の状況に合わせて修正すれば十分です。
- 情報セキュリティ基本方針:A4 1枚程度。社長承認の押印を入れる
- セキュリティ運用ルール:パスワード管理、デバイス管理、メール取扱い等
- インシデント対応手順書:誰が何時間以内に何を判断するかを明記
- バックアップ運用手順:対象範囲、頻度、復旧テストの実施記録
- 従業員教育の実施記録:年次セキュリティ研修の実施記録(過去1年分)
SCS自己評価では、文書が「実態に即して運用されているか」を後から第三者が検証できる状態が重要です。改訂履歴を残し、最新版を共有フォルダ(SharePointやBox)の所定の場所に置いておきます。紙のみの管理は避けます。
C項目・D項目(投資・体制)は90日プランへ繰り越す
30日で全項目をYesにする必要はありません。C・Dは90日プラン(Day31〜120)に繰り越します。重要なのは「30日後の時点で、Noのままの項目について是正計画書を持っていること」です。取引先から照会が来た際、「★1自己宣言済み」または「★1取得に向けて90日以内に対応計画あり」と回答できる状態を作ります。
★1自己宣言で済ませず、★3を目指す場合
大企業との取引で★3相当の第三者評価を求められる場合は、自己評価で★1の状態を確立した上で、その後★2→★3とステップアップしていきます。★2取得には1〜3ヶ月、★3取得には4〜6ヶ月が目安です。
BTNコンサルティングの支援
「自己評価シートを見たがNoが多すぎて手が止まった」「文書整備の方法がわからない」「取引先に出す回答書の書き方がわからない」といった個別相談を、初回60分無料でお受けしています。情シス365のセキュリティパックでは、自己評価サポートから★3取得まで一貫対応します。
★1自己評価から★3第三者評価取得まで、現状アセスメント・ギャップ分析・技術対策・文書整備・申請サポートまでワンストップで対応します。
→ SCS評価制度 対応支援の詳細はこちら
→ SCS評価制度の概要を改めて確認する
まとめ
SCS評価制度に未着手の企業がまずやるべきは「自己評価シートの粗い回答」です。Noになった項目を4分類(即解決/文書化/投資/体制)で整理し、A・B項目を30日で潰すことで★1自己宣言の体制を構築できます。完璧を目指さず、まず動き出すことが取引機会の損失を防ぎます。