こんな課題ありませんか?
- ① SCS評価制度への対応を求められたが、何から着手すべきか分からない
- ② 規程・体制・運用・技術要件が分散しており、「どこが不足しているか」を説明できない
- ③ 評価取得後も更新・年次自己評価があり、一度整えただけでは運用が続かない
「SCS評価制度」とは
サプライチェーン全体のセキュリティリスク低減を目的に、
受注時に求められるセキュリティ対策の“ばらつき”や、発注先の対策状況の“不透明さ”を解消するための評価制度です。
SCS評価制度の要求事項は、NIST CSFの機能に対応した分類で整理され、
サイバーセキュリティ動向を踏まえて定期的に見直しが行われます。
SCS評価制度の適用対象範囲
主な対象
※企業は範囲を柔軟に定めることができる
-
サーバー
業務に共通するIT基盤を構成するサーバー群
-
端末
PC、モバイルデバイス等
-
外部ネットワーク
適用範囲の境界を定義するネットワーク機器(ファイアウォール、ルータ、VPN設置等)
-
クラウドサービス
IT基盤を構成するものであって、クラウドサービス事業者により提供されるもの
対象外
-
製造環境などの制御(OT)システム
発注元に提供する製品など、自社のIT基盤に係るネットワークに接続していない機器
評価段階と概要
サービス内容
SCS評価制度への対応に向けて、現状分析から課題整理、統制・技術要件の整備、
(★3の)評価結果への署名、評価取得後の保守対応までを一貫して支援します。
ギャップ分析
現状の体制・規程・運用とSCS評価基準との差分を可視化
- ・ギャップ分析結果(~1.5ヶ月程度)
課題/対応策整理
ギャップ分析結果に基づき、課題と対応策を整理(優先度・難易度つき)
- ・課題/対応策一覧(~0.5ヶ月程度)
準拠支援
基準準拠に向けた統制構築(体制・規程)および技術要件の実装を伴走
- ・課題対応スケジュール(~0.5ヶ月程度)
- ・技術証跡取得設定、規定整備等
(~3ヶ月程度)
評価結果への署名
(★3のみ)
登録に必要なセキュリティ専門家の署名を外部資格者として対応
- ・署名付き評価結果(〜0.5ヶ月程度)
保守対応
評価取得後の体制/運用維持、評価更新(★4の年次自己評価支援を含む)
- ・技術証跡取得設定、規定整備等(1年〜)
AIセキュリティの
SCS評価取得支援の特長
現状分析から“運用まで”を前提にした
一気通貫支援
机上の整備で終わらず、統制(体制・規程)と技術要件、運用への落とし込みまで伴走します。
ギャップを「一覧化」し、
優先順位つきで実行計画へ
不足点を“説明できる状態”に可視化し、対応の順番・難易度まで整理します。
評価取得後も見据えた
保守・更新支援
取得後の運用維持、更新対応、★4の年次自己評価など、継続対応まで支援可能です。
サービス提供の流れ
キックオフ/対象範囲の確定
取得する★レベル(★3/★4)と対象範囲(IT基盤・クラウド等)を定義
現状把握(体制・規程・運用・システム)
関連資料/運用実態を整理し、評価に必要な論点を洗い出し
ギャップ分析
SCS評価基準との差分を可視化し、不足点と改善ポイントを明確化
課題/対応策整理 → 実行計画
優先度・難易度を加味し、実行順序とロードマップを策定
準拠支援(統制+技術要件)/(★3)署名/保守
規程整備・体制構築・技術要件実装を支援
★3は評価結果の署名対応、取得後は更新・運用維持まで支援
よくある質問
どのくらいの期間で評価取得まで進められますか?
対象範囲と現状成熟度により異なりますが、一般的には「ギャップ分析→計画→準拠対応」で段階的に進めます。目安はサービス内容の「成果物と所要日数」をご参照ください。
★3と★4、どちらを目指すべきでしょうか?
サプライチェーン上の事業継続リスクや機密情報の取り扱い有無等を踏まえ、取得段階を決定します。初回ヒアリングで適切な段階と範囲をご提案します。
★3の「評価結果への署名」も対応可能ですか?
はい。要求事項を満たした評価結果となった場合、登録に必要なセキュリティ専門家の署名を外部資格者として対応する支援を想定しています。
評価取得後の更新や(★4の)年次自己評価も支援できますか?
はい。体制/運用維持、評価更新、年次自己評価対応を含む保守サポートまで支援可能です。
