SCS評価制度★3とは
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の★3は、自己評価によって取得できる基礎レベルの格付けです。25の要求事項への準拠を自社で評価し、申請することで取得できます。第三者の監査が不要なため、中小企業でも比較的取り組みやすい制度設計になっています。
★3取得には平均2〜4ヶ月の準備期間が必要です。本記事では6つのステップに分解し、それぞれの進め方とよくある躓きポイントを解説します。
Step 1:制度理解と経営判断
最初のステップは、SCS評価制度の概要を理解し、経営層の意思決定を得ることです。セキュリティ対策は現場だけで進められないため、経営者のコミットメントが不可欠です。
- 制度の目的と背景を経営層に説明する(取引条件化の動向を含む)
- 取得のメリットを整理する(取引継続、入札加点、サイバー保険料の低減等)
- 対応の予算と担当者を確保する
- 取得の目標時期を設定する(2026年10月の運用開始を見据える)
「セキュリティはIT部門の仕事」という認識のまま進めると、文書化や体制整備で停滞します。経営者がセキュリティ方針にコミットすることが★3の要求事項にも含まれています。
Step 2:現状のセキュリティ対策棚卸し
自社で現在実施しているセキュリティ対策を洗い出します。IT資産・ネットワーク構成・運用ルール・既存の文書を棚卸しすることで、次のギャップ分析の基礎データになります。
| 棚卸し対象 | 確認すべき内容 |
|---|---|
| IT資産 | PC・サーバー・ネットワーク機器・クラウドサービスの一覧 |
| アカウント管理 | MFAの適用状況、退職者アカウントの処理状況 |
| エンドポイント防御 | ウイルス対策・EDRの導入状況と更新頻度 |
| バックアップ | 取得頻度、保管場所、復旧テストの実施有無 |
| 文書類 | セキュリティ方針、インシデント対応計画、委託先管理規程の有無 |
Step 3:25要求事項とのギャップ分析
★3の25要求事項と現状を突合し、対応済み・部分対応・未対応の3段階で分類します。
| 対応状況 | 判定基準 | 次のアクション |
|---|---|---|
| 対応済み | 技術対策が実装済みかつ文書化されている | エビデンスを整理 |
| 部分対応 | 技術対策はあるが文書化が不十分、または一部未適用 | 文書整備・適用範囲の拡大 |
| 未対応 | 技術対策も文書も存在しない | 対策の実装と文書化 |
中小企業の場合、MFA未適用・EDR未導入・インシデント対応計画の不在が主な未対応項目となるケースが多く見られます。
Step 4:不足対策の実装
ギャップ分析の結果をもとに、未対応・部分対応の項目に対して具体的な対策を実装します。費用の詳細はこちらを参照してください。
| 対策カテゴリ | 主な実装内容 | 推奨ツール |
|---|---|---|
| MFA(多要素認証) | 全ユーザーへのMFA適用、条件付きアクセスの設定 | Entra ID |
| EDR | エンドポイント検知・応答の導入 | Defender for Business |
| バックアップ | 3-2-1ルールに基づくバックアップ体制構築 | M365 Backup |
| ログ管理 | 監査ログの有効化、1年以上の保存設定 | Unified Audit Log |
| 文書整備 | セキュリティ方針、インシデント対応計画、資産台帳の作成 | テンプレート活用 |
Microsoft 365 Business Premiumを導入すれば、MFA・EDR・ログ管理・資産管理の4要件を1つのライセンスでカバーできます。個別ツールを導入するよりもコスト効率が高い選択肢です。
Step 5:自己評価書の作成
25要求事項すべてについて、対応状況と根拠(エビデンス)を記載した自己評価書を作成します。
- 各要求事項に対する対応方法の説明(具体的にどのような対策を実施しているか)
- エビデンスの添付(設定画面のスクリーンショット、方針文書、台帳の抜粋等)
- 未対応項目がある場合の対応計画と期限の記載
「対策は実施しているが文書化していない」ケースが最も多い躓きポイントです。自己評価書では「やっている」ことを証明できる記録が必要です。設定変更時のスクリーンショット保存を習慣化しましょう。
Step 6:申請と公表
自己評価書が完成したら、制度運営機関への申請手続きを行います。
| 手順 | 内容 | 備考 |
|---|---|---|
| 1 | 制度ポータルサイトでアカウント作成 | 法人番号・担当者情報が必要 |
| 2 | 自己評価書のアップロード | 所定フォーマットに記入 |
| 3 | 申請内容の確認・受理 | 不備があれば差し戻し |
| 4 | ★3格付けの付与・公表 | ポータルサイトで公開 |
★3は自己評価のため、申請から付与までの期間は比較的短い(目安:2〜4週間)ことが見込まれています。
取得スケジュールの目安
| フェーズ | 内容 | 期間 |
|---|---|---|
| Step 1-2 | 経営判断・棚卸し | 2〜3週間 |
| Step 3 | ギャップ分析 | 1〜2週間 |
| Step 4 | 対策実装 | 1〜3ヶ月 |
| Step 5 | 自己評価書作成 | 1〜2週間 |
| Step 6 | 申請・公表 | 2〜4週間 |
| 合計 | 約2〜4ヶ月 | |
まとめ
SCS評価制度★3は自己評価で取得できるため、中小企業でも十分に対応可能です。ポイントは経営層のコミットメント、ギャップ分析の精度、文書化の徹底の3点です。2026年10月の制度開始に向けて、今からステップを踏んで準備を進めましょう。外部支援が必要な場合は、SCS評価制度対応支援サービスもご活用ください。