なぜ今★2を狙うのか
SCS評価制度★1は中小企業にとって「サイバーハイジーンの最低ライン」です。一方★2は「中堅企業として標準的なセキュリティ運用ができている」レベルで、大手取引先からの調達条件として実質的な要件になりつつあります。
2026年度に入り、★1取得済みの中小企業が「次は★2を求められた」「★1だけだと差別化にならない」と次のステップを模索しています。本記事では★1取得済みの企業が★2へステップアップする際に、新たに整備すべき5領域を整理します。
★1と★2の差分サマリー
| 領域 | ★1の要件 | ★2で追加される要件 |
|---|---|---|
| 監視・検知 | EDR導入 | SIEM/SOCによる相関分析と24時間監視 |
| インシデント対応 | 対応手順の文書化 | 年1回以上の机上訓練、レポート提出 |
| 脆弱性管理 | OS自動更新 | 脆弱性スキャン、CVSSスコアによる優先順位付け |
| ログ管理 | 監査ログの収集 | 1年以上の保存、改ざん検知 |
| サプライチェーン | 主要委託先の把握 | 取引先のセキュリティ評価実施、契約条項に明記 |
領域1:SIEM/SOCの導入
★1のEDRは「個別端末での検知・隔離」が主目的ですが、★2では複数のログソース(M365、Defender、ファイアウォール、サーバー)の相関分析が求められます。中小企業向けの実装パターンは以下です。
| パターン | 構成 | 月額目安(50名規模) | 運用負荷 |
|---|---|---|---|
| A: Sentinel + 自社運用 | Microsoft Sentinelを構築、社内で運用 | ¥80K〜¥200K | 高(情シス2名以上必要) |
| B: Sentinel + MSSP委託 | Sentinelを構築、24時間監視はMSSPに委託 | ¥300K〜¥600K | 中(情シス1名で対応可) |
| C: クラウド型MDRサービス | SIEM不要、MDRサービスにEDRログを連携 | ¥200K〜¥400K | 低(ほぼお任せ) |
50名以下の中小企業はパターンBまたはCが現実的です。Aは情シスの専門人材を確保できる企業のみ推奨します。
領域2:インシデント対応訓練の年次実施
★2では「インシデント対応手順が文書化されている」だけでなく、年1回以上の机上訓練(テーブルトップエクササイズ)と訓練レポートの提出が求められます。
机上訓練の進め方
- シナリオ設計:ランサムウェア感染、フィッシング侵入、サプライチェーン経由の侵害など3〜5パターン
- 参加者:情シス、経営層、広報、法務(社外弁護士可)、業務部門代表
- 進行:シナリオに沿って2時間程度。判断ポイントごとに「誰が」「何分以内に」「何を判断するか」を確認
- 振り返り:判断遅れ・連絡漏れ・手順書の不備をリストアップ
- 記録:参加者リスト、シナリオ、議事録、改善アクションを文書化
NISCやIPAが机上訓練のサンプルシナリオを公開しています。ゼロから作る必要はなく、自社業務に合わせて改変すれば十分です。初年度は外部コンサルにファシリテーションを依頼すると質が大きく上がります(1回¥300K〜¥800K目安)。
領域3:脆弱性管理プロセス
★2では定期的な脆弱性スキャンとCVSSスコアによる優先順位付け、是正期限の設定と達成率管理が必要です。
| 項目 | 要件 | 実装例 |
|---|---|---|
| スキャン頻度 | 四半期に1回以上、Critical検知時は随時 | Defender Vulnerability Management、Tenable、Qualys |
| 優先順位 | CVSS 9.0以上:30日以内、7.0-8.9:90日以内 | 定期レポート+管理台帳 |
| 是正記録 | パッチ適用日、対応者、検証結果 | 運用台帳(Excel/SharePointリスト) |
| 例外管理 | 是正不可な脆弱性は補完的統制を文書化 | 例外申請フロー |
領域4:ログ管理(1年保存・改ざん検知)
★2の要件は「監査ログを1年以上保存」「改ざん検知」です。Microsoft 365を使う中小企業なら以下の組み合わせが現実的です。
- Microsoft Purview Audit (Premium):M365監査ログを最大10年保存。E5またはアドオンで利用可
- Sentinel Workspace:1年保存設定、Immutable Storage連携で改ざん検知
- Defender for Cloud Apps:SaaSのアクティビティログを統合
- 外部ファイアウォール・VPN機器:syslog経由でSentinelに転送
ログの保存期間延長はライセンスコストに直結します。Purview Audit Premiumのアドオンは年間¥5K〜¥7K/ユーザー目安です。
領域5:サプライチェーン(取引先)のセキュリティ評価
★2では「自社が委託している主要取引先のセキュリティ状況を評価していること」が新たに求められます。
評価のステップ
- 取引先の棚卸し:システム開発・運用委託、データ処理委託、物流の主要先をリスト化
- リスク格付け:取扱情報の機密度・契約金額・依存度で高/中/低に分類
- セキュリティ確認書の送付:高リスク取引先に対しチェックリスト(30〜50項目)を年1回送付
- 契約条項への反映:「SCS★1相当の対策実施」「インシデント時の即時通知」などを契約に明記
- 結果の集約・対応:未対応取引先への改善要請、必要に応じて取引縮小判断
大企業の下請け中小企業の場合、自社の取引先(孫請け・SaaS事業者)の評価が必要です。クラウドサービス利用先(M365、Salesforce、AWS等)は各社のセキュリティ報告書(SOC 2、ISO 27001)を取得・保管することで評価とみなせます。
★2取得の総コスト目安
| 項目 | 初期費用 | 年間運用費 |
|---|---|---|
| SIEM/SOC(パターンB) | ¥1,000K〜¥2,000K | ¥3,600K〜¥7,200K |
| インシデント机上訓練 | ¥500K(初回外部委託時) | ¥300K〜¥800K(年1回) |
| 脆弱性スキャン(Defender VM) | — | ¥360K〜¥720K |
| ログ保存(Purview Premium) | — | ¥420K〜¥600K(50名) |
| 取引先評価(自社運用) | — | 情シス工数 5〜10人日/年 |
| 合計目安(50名規模) | ¥1,500K〜¥2,500K | ¥4,700K〜¥9,500K |
★2取得は決して安くありません。投資の正当化には「取引維持」「サイバー保険料の引き下げ」「事故時の損害回避」を経営層に説明することが重要です。
★2取得までの3ヶ月スケジュール
- 1ヶ月目:SIEM/MDR選定・契約、机上訓練の外部委託先選定、脆弱性スキャナー選定
- 2ヶ月目:SIEM構築、ログ転送設定、脆弱性スキャン初回実施、取引先棚卸し
- 3ヶ月目:机上訓練実施、是正対応、自己評価シート★2版で再評価、第三者評価機関に申請
BTNコンサルティングの支援
★2取得は「投資判断」「設計」「運用」の3つで悩みが集中します。BTNコンサルティングでは情シス365のセキュリティパックで★2取得をワンストップ支援します。MDRサービス連携、机上訓練ファシリテーション、取引先評価ひな形提供など必要な部分のみのスポット支援にも対応します。
SIEM/MDR導入、机上訓練、脆弱性管理プロセス整備、取引先評価ひな形提供までワンストップで対応します。
→ SCS評価制度 対応支援の詳細はこちら
→ ★1未満の企業向け:自己評価初動ロードマップ
まとめ
★1から★2へのステップアップは「監視」「訓練」「脆弱性」「ログ」「サプライチェーン」の5領域の強化が鍵です。50名規模の中小企業でも年間¥500万〜¥1,000万程度の運用コストが発生します。投資判断は経営層を巻き込み、取引維持・保険料・損害回避の3点で訴求することが重要です。