★4の概要
SCS評価制度の★4は、★3の25項目に加えてより高度な要求事項を含む計44項目について、第三者による準拠評価が求められるレベルです。2026年10月からの運用開始が予定されています。
★4が求められる企業
経産省が発注者向けに示している基準案では、以下のいずれかに該当する受注者に★4の取得を求めることが想定されています。
- ビジネス観点①:発注者の機密性の高い情報(技術情報、個人情報等)を取り扱う企業
- ビジネス観点②:サービス停止が発注者の事業継続に重大な影響を与える企業
- システム観点:発注者のシステムとネットワーク接続がある企業
★3との差分
| 項目 | ★3 | ★4 |
|---|---|---|
| 要求事項数 | 25項目 | 44項目 |
| 評価方法 | 自己評価 | 第三者評価 |
| ガバナンス | 方針策定・責任者指定 | +定期的なリスク評価、経営層レビュー |
| 技術対策 | MFA、パッチ管理、EDR | +ネットワーク監視、脆弱性管理、暗号化の高度化 |
| インシデント対応 | 対応計画の策定 | +訓練の実施、外部連携体制、フォレンジック準備 |
| サプライチェーン管理 | 委託先への要件提示 | +委託先のセキュリティ状況の定期評価 |
要求事項の領域
★4の追加要求事項は、★3の6領域を深掘りする形で構成されています。
- ガバナンス:定期的なリスクアセスメント、セキュリティ投資計画、経営層へのレビュー報告
- リスクの特定:資産管理の網羅性向上、脆弱性の継続的な把握
- 防御:ネットワークセグメンテーション、特権アカウント管理、暗号化基準の厳格化
- 検知:ログの相関分析、SOC的な監視機能、異常検知の自動化
- 対応・復旧:インシデント対応訓練の定期実施、フォレンジック対応の準備、事業継続計画との連携
- サプライチェーン:委託先のセキュリティ対策状況の定期評価、契約でのセキュリティ要件の明確化
準備ロードマップ
| 時期 | アクション |
|---|---|
| 今すぐ | ★3の25項目を先に準拠し、基礎固め |
| 3ヶ月以内 | 44項目と自社のギャップ分析を実施 |
| 6ヶ月以内 | 未対応項目への技術的・組織的対策を実装 |
| 9ヶ月以内 | 第三者評価を受けるための証跡・文書を整備 |
| 2026年10月〜 | 第三者評価を受審し、★4を取得 |
まとめ
★4は44要求事項の第三者評価が必要な高度なレベルです。まず★3を準拠した上で、追加の19項目への対応を計画的に進めましょう。準備期間は6〜9ヶ月が目安です。