SCS評価制度、まず何を確認すべき?自社の状態を整理する7つのタイプ
SCS評価制度への対応を考え始めたとき、最初に迷いやすいのが「自社では何から確認すればよいのか」という点です。
要求事項を見れば、目指すべき状態はある程度わかります。
しかし、それを自社のルールや運用、記録に当てはめると、判断に迷う場面があります。
たとえば、次のようなケースです。
- ルールはあるが、実際に運用した記録が残っていない
- ログは取得しているが、確認履歴までは整理できていない
- IDや権限の管理はしているつもりだが、退職者・異動者の権限削除まで説明できるか不安がある
- 有事対応の連絡先はあるが、判断者や復旧手順までは整理できていない
このような状態では、要求事項を読んでも「できていると言えるのか」「何が不足しているのか」まで判断するのは簡単ではありません。
そこで本記事では、SCS評価制度への対応を考え始めた企業で見られやすい状態を、7つのタイプに分けて紹介します。自社がどのタイプに近いのかを把握することで、まず確認すべき領域を整理しやすくなります。
なお、本記事はSCS評価制度への適合可否や取得可否を判定するものではありません。自社の対策状況を整理し、まず確認したいポイントを考えるための参考情報としてご覧ください。
1. SCS評価制度の目的は、対策状況を共通の尺度で見える化すること
SCS評価制度は、サプライチェーン上の企業のセキュリティ対策状況を、共通の基準で確認しやすくするための制度です。
取引先からセキュリティ対策について確認を受ける場面では、企業ごとに質問内容や確認方法が異なり、回答する側の負担が大きくなることがあります。確認する側にとっても、取引先の対策状況を同じ基準で把握しづらいという課題があります。
SCS評価制度は、こうした状況に対して、セキュリティ対策の状況を一定の尺度で見える化し、取引関係の中で確認しやすくするための仕組みといえます。
ただし、情報収集を始めた段階で、いきなり「どの対策を追加すべきか」「どこまで整備すべきか」から考えると、かえって整理しづらくなることがあります。
まず確認したいのは、自社が今どのような状態にあるかです。
- どのようなルールがあるのか。
- 実際にはどのように運用しているのか。
- 運用記録や確認履歴は残っているのか。
- 誰が判断し、誰が確認しているのか。
- どのシステムやIDが管理対象なのか。
こうした現状が見えていないまま要求事項だけを見ても、自社にとって何が不足しているのか、どこから確認すべきなのかは見えにくいままです。
2. 要求事項を読むだけでは、自社の優先課題は見えにくい
要求事項一覧を確認すれば、目指す状態は見えてきます。
しかし、自社の運用に当てはめたときに「できていると言えるのか」「何が不足しているのか」まで判断するには、もう一段階の整理が必要です。
たとえば、情報セキュリティに関するルールはあっても、実際に確認した記録が残っていない場合です。
この場合、「ルールはある」とは言えます。では、「ルールに沿って運用していることを説明できる」と言えるでしょうか。
ログについても同じです。
ログを取得していることと、そのログを確認し、必要なときに説明できることは同じではありません。
ID管理も、台帳があるだけで十分とは限りません。
退職者や異動者の権限が削除されているか。管理者権限を誰が持っているか。権限変更の記録が残っているか。管理者権限の利用状況を後から確認できるか。そこまで見ていくと、整理できていない部分が見えてくることがあります。
有事対応についても、連絡先一覧があるだけでは不十分な場合があります。
誰が判断するのか。どのシステムから復旧するのか。対応内容をどこに記録するのか。対応後の振り返りをどう行うのか。こうした点が曖昧なままだと、実際に問題が起きたときに動きづらくなります。
そのため、まずは自社の状態を大まかに言語化し、優先的に確認すべき領域を見つけることが重要です。
3. 自社の状態を整理する7つのタイプ
SCS評価制度への対応を考え始めた企業では、次のような状態が見られます。
| タイプ | 近い状態 | まず確認したいこと |
|---|---|---|
| ①まず全体像整理タイプ | 情報収集を始めたばかりで、自社の管理対象や関係部署が整理できていない | 管理対象、関係部署、既存資料の所在 |
| ②ルール先行・証跡整理タイプ | 規程やルールはあるが、運用記録や確認履歴が不足している | 点検記録、承認履歴、確認証跡 |
| ③担当者依存・運用整理タイプ | 日々の対応が特定の担当者の経験や記憶に依存している | 手順、判断基準、対応履歴 |
| ④対象範囲整理タイプ | システム、ID、外部サービス、委託先などの確認対象が曖昧 | システム台帳、ID一覧、外部サービス、委託先 |
| ⑤ID・権限管理整理タイプ | 利用者ID、管理者権限、特権ID、退職者・異動者の権限削除に不安がある | 権限一覧、権限変更履歴、管理者権限の利用状況 |
| ⑥有事対応フロー整理タイプ | インシデント発生時の連絡、判断、復旧、記録の流れが整理できていない | 連絡先、判断者、復旧手順、記録方法 |
| ⑦継続確認タイプ | 基本的なルールや運用はあるが、最新状態の維持や説明材料に不安がある | 台帳更新、定期確認、記録の保管状況 |
どれか1つに完全に当てはまるとは限りません。複数のタイプにまたがるケースもあります。
大切なのは、自社がどのタイプかを厳密に決めることではありません。
自社の状態を言葉にし、まず確認すべき領域を見つけることです。
7つのタイプを見ても自社がどこに近いか判断しづらい場合は、質問に沿って確認できる簡易診断を提供しております。ぜひご活用ください。
①まず全体像整理タイプ
管理対象や関係部署、既存資料の所在がまだ整理できていないタイプです。
SCS評価制度について情報収集を始めたばかりで、まだ自社の状況を整理しきれていない企業は、このタイプに近い状態です。
要求事項一覧は確認したものの、自社に関係するシステムや部署、管理対象の範囲がまだ見えていない。既存のルールや台帳、管理資料がどこにあるのか把握しきれていない。情シス専任者が少なく、総務や管理部門が兼任で対応している。
このような場合、いきなりID管理やログ確認などの個別対策に入るよりも、まずは全体像を整理することが先になります。
まずは、次のような点から確認するとよいでしょう。
- 対象になりそうなシステムやサーバー、端末は何か
- 関係する部署や担当者は誰か
- 既存の規程、台帳、運用資料はどこにあるか
- 取引先から過去にどのような確認を受けたことがあるか
②ルール先行・証跡整理タイプ
ルールはあるものの、運用記録や確認履歴の説明に不安が残るタイプです。
規程やルールは整備されていても、実際に運用していることを示す記録や証跡が不足している企業は、このタイプに近い状態です。
情報セキュリティ規程やアクセス権限のルール、バックアップやログ管理の方針はある。
しかし、実際に点検した記録、承認した履歴、確認した証跡が十分に残っていない。
ルールがあると、対応できているように見えます。
ただし、取引先から確認を受ける場面では、「ルールがあるか」だけでなく、「そのルールに沿って運用されているか」を説明する必要が出てくる場合があります。
このタイプでは、新しいルールを増やすよりも、既存の運用を説明できる形に整えることが重要です。
まずは、次のような点を確認したいところです。
- 定期点検や確認の記録が残っているか
- 権限付与・変更・削除の承認履歴が残っているか
- ログ確認の実施履歴を説明できるか
- バックアップや復旧確認の記録が残っているか
③担当者依存・運用整理タイプ
日々の対応が、特定の担当者の経験や記憶に頼っているタイプです。
日々の対応はできているものの、その多くが特定の担当者に依存している企業は、このタイプに近い状態です。
担当者に聞けばわかる。トラブル時も、いつもの担当者が対応している。権限変更やログ確認も、実務上は回っている。
しかし、手順書や判断基準としては十分に残っていない。
中小企業や兼任体制の企業では、こうした状態は珍しくありません。普段は問題なく回っていても、担当者が異動・退職したり、急に不在になったりすると、対応方法がわからなくなる可能性があります。
このタイプでは、完璧なマニュアルを作ることよりも、担当者の頭の中にある運用を少しずつ見える形にしていくことが大切です。
まずは、次のような点を確認するとよいでしょう。
- 権限変更や削除の手順は共有されているか
- ログ確認や異常時対応の判断基準は残っているか
- トラブル時に誰が何をするかが明確か
- 担当者が不在でも最低限の対応ができるか
④対象範囲整理タイプ
どのシステム、ID、外部サービス、委託先を確認対象にすべきかが曖昧なタイプです。
管理対象の範囲が整理できていない企業は、このタイプに近い状態です。
社内システムは把握しているが、クラウドサービスや外部委託先の管理状況までは十分に整理できていない。部署ごとに導入したツールがあり、全体を一覧で把握できていない。管理対象の台帳が古く、実態と合っているか不安がある。
対象範囲が曖昧なままでは、どの要求事項をどこに当てはめるべきか判断しにくくなります。
ID管理を確認するにしても、どのシステムのIDを見るのか。ログ管理を確認するにしても、どのサーバーや端末のログを見るのか。そこが曖昧だと、確認作業全体がぼやけてしまいます。
このタイプでは、最初から細かく整理しきろうとするより、重要なシステム、利用中の外部サービス、関係する委託先などを大枠で把握することから始めるとよいでしょう。
まずは、次のような点を確認したいところです。
- 業務上重要なシステムは何か
- 管理者権限が存在するシステムはどれか
- 利用中のクラウドサービスや外部サービスは何か
- 委託先や保守ベンダーが関与している範囲はどこか
- 台帳の内容が現在の実態と合っているか
⑤ID・権限管理整理タイプ
利用者ID、管理者権限、特権ID、退職者・異動者の権限削除に不安があるタイプです。
IDや権限の管理に不安がある企業は、このタイプに近い状態です。
誰がどのシステムにアクセスできるのかを一覧で確認しづらい。管理者権限を持っている人が限られていない。退職者や異動者の権限削除が、担当者の手作業や記憶に依存している。管理者権限をいつ誰が使ったのか確認しにくい。
ID・権限管理が曖昧だと、不要な権限が残ったり、管理者権限の利用状況が説明できなかったりする可能性があります。特に管理者権限や特権IDは、通常の利用者IDよりも影響範囲が大きいため、早めに確認しておきたい領域です。
まずは、次のような点を確認したいところです。
- 誰がどのシステムにアクセスできるか
- 管理者権限や特権IDを誰が持っているか
- 退職者・異動者の権限が削除されているか
- 権限付与・変更・削除の記録が残っているか
- 管理者権限の利用状況を後から確認できるか
⑥有事対応フロー整理タイプ
インシデント発生時の連絡、判断、復旧、記録の流れが整理できていないタイプです。
有事対応の流れが十分に整理できていない企業は、このタイプに近い状態です。
トラブル時の連絡先一覧はあるが、誰が判断するのかは曖昧。復旧手順は担当者の経験に頼っている。対応後の記録や振り返りを残す運用が決まっていない。休日や夜間に発生した場合の対応が整理されていない。
平常時の管理がある程度できていても、有事対応の流れが曖昧だと、実際に問題が起きたときに対応が遅れる可能性があります。
また、対応後に何が起き、誰が判断し、どのように復旧したのかを説明できないと、再発防止や取引先への説明にも支障が出ます。
このタイプでは、細かな手順をすべて作り込む前に、連絡・判断・対応・復旧・記録の流れを整理することが重要です。
まずは、次のような点を確認したいところです。
- 問題発生時に誰へ連絡するか
- 影響範囲を誰が判断するか
- どのシステムから復旧するか
- 対応内容をどこに記録するか
- 対応後の振り返りや再発防止をどう行うか
⑦継続確認タイプ
基本的なルールや運用はあるものの、最新状態を維持できているかに不安があるタイプです。
基本的なルール整備や運用が一定程度進んでいる企業は、このタイプに近い状態です。
セキュリティルールはある。ID管理やログ管理も運用している。有事対応の手順も一定程度整理されている。
ただし、それらが継続的に確認され、最新の状態に保たれているかには少し不安がある。
一度整備したルールや運用は、時間が経つと実態とずれていくことがあります。担当者が変わる。システムが増える。外部サービスを追加する。記録の残し方が部署ごとに変わる。
このタイプでは、新しい対策を増やすよりも、現在の運用を継続的に確認し、説明できる状態を維持することが重要です。
まずは、次のような点を確認したいところです。
- ルールや台帳は最新の状態に更新されているか
- ID・権限の確認は定期的に行われているか
- ログ確認の記録は継続的に残っているか
- 有事対応の連絡先や手順は最新か
- 取引先から確認を受けたときに説明できる資料があるか
4. 複数のタイプに当てはまる場合もある
ここまで7つのタイプを紹介しましたが、自社の状態が1つのタイプだけにきれいに当てはまるとは限りません。
たとえば、次のようなケースです。
- 管理対象の範囲が曖昧でありながら、ID・権限管理にも不安がある
- ルールはあるものの証跡が不足していて、さらに担当者依存にもなっている
- 有事対応の流れも整理できていない
- 基本的な運用はあるが、最新状態を維持できているか不安がある
このように、複数のタイプが重なることは十分にあります。
大切なのは、「自社はどのタイプか」を厳密に決めることではありません。
自社の状態を言葉にし、どの領域を優先的に確認すべきかを考えることです。
要求事項一覧を見るだけでは、自社の優先課題までは見えにくい場合があります。
しかし、自社の状態をタイプとして整理してみると、最初に確認すべきことが少し見えやすくなります。
5. 要求事項を読むだけでなく、自社の状態に当てはめて考える
SCS評価制度への対応を考える際、要求事項一覧を確認することは重要です。
ただし、要求事項を読むだけで、自社の状況がそのまま整理できるわけではありません。
- ルールはあるのか。
- 運用記録は残っているのか。
- 担当者に依存していないか。
- 対象範囲は明確か。
- ID・権限管理に不安はないか。
- 有事対応の流れは整理されているか。
- 既存の運用は継続的に確認されているか。
こうした観点から、自社の状態を一度整理してみることが大切です。
本記事で紹介した7つのタイプは、自社の対策状況を言語化するための参考です。すべてを一度に整える必要はありません。まずは、自社がどの状態に近いのかを確認し、優先的に確認すべき領域を見つけることから始めてみてはいかがでしょうか。
取引先から確認を受けてから整理しようとすると、必要な資料や記録をすぐに示せない場合があります。まずは現時点で説明できることと、追加で確認が必要なことを分けておくことが重要です。
自社の状態をもう少し具体的に確認したい方へ
SCS評価制度★3対応に向けて、自社の状態を約3分で確認できる無料の簡易診断をご用意しています。質問に回答するだけで、ID・権限、ログ確認、有事対応など、自社で優先的に確認したいポイントを整理できます。
希望者には、回答内容に基づく個別診断レポートも無料で提供しています。
まずは現状整理の一つとして、ぜひご活用ください。