7分類に基づく幅広い対応が求められる

SCS評価制度のセキュリティ要求事項・評価基準は、NIST（米国国立標準技術研究所）Cybersecurity Framework（CSF）の機能に対応した6分類に「取引先管理」を加えた、「ガバナンスの整備」「取引先管理」「リスクの特定」「攻撃等の防御」「攻撃等の検知」「インシデントへの対応」「インシデントからの復旧」の7分類から構成される。要求事項案や評価基準案の詳細は経済産業省サイトで公開されている。ここでは、★3、★4の段階を問わずITビジネスの観点からその一部を具体的に見ていきたい。

まず注目したいのは「リスクの特定」の「ハードウェア、OS及びソフトウェアの把握」（3-1-1）、「ネットワークの一覧作成」（3-1-2）、「外部情報サービスの管理」（3-1-3）、「リモートワークにおけるルール」（3-1-5）などの項目である。「外部情報サービス」とは、顧客や関係会社、BPOなどと共有して運用を行う外部システムを指す。

「攻撃等の防御」には、アクセス権の管理などを含む「アイデンティティ管理、認証、アクセス制御」（4-1）のほか、「ハードウェア、OS及びソフトウェアの安全な構成」（4-4-1）、「サポート期限の切れたOS及びソフトウェアへの対策」（4-4-2）、「ログの取得」（4-4-3）、「セキュリティパッチ・アップデートの手続」（4-4-4）、「社外への不正な通信の遮断」（4-5-2）などが含まれる。

「攻撃等の検知」では、「ネットワーク上の適切な場所でネットワーク接続及びデータ転送を監視すること」（5-1-1）、「ハードウェア及びソフトウェアの状態及び挙動を監視すること」（5-1-2）などが求められ、具体的には「外部から受け取ったファイルについて安全性を確認するため、マルウェア対策ソフトのリアルタイムスキャンを実行する、又は仮想環境上で安全性を確認するシステムを導入すること」（5-1-2-4）などの評価基準が設定されている。

ここからも分かるように、SCS評価への対応では、従来の「入口」「内部」「出口」のセキュリティ対策に加え、資産管理ツールの活用など、幅広い対策が求められる。

★3は専門家確認付き自己評価、★4は第三者評価を実施

次に評価取得の流れを見ていきたい。★3の取得では、セキュリティ専門家による確認を経た自己評価が採用される見通しだ。具体的には、取得を希望する企業の経営層が要求事項に基づいて自己評価を行い、それを社内外のセキュリティ専門家に確認。修正を含む助言を受け、最終的に制度事務局に提出する流れになる。セキュリティ専門家には、「情報処理安全確保支援士」をはじめとするセキュリティ関連資格と、指定された研修の受講が求められ、社内で人材が確保できない場合は社外サービスを利用することになる。

★4の取得には第三者評価が採用され、自己評価の検証を評価機関に依頼し、その結果を制度事務局に提出することが基本的な流れになる。評価機関には、1名以上のセキュリティ専門家の雇用などの条件を満たすことが求められるが、コンサルティングや製品・サービスを提供する企業が評価まで行うことは否定されていない。★3の有効期間は1年で、対策状況を年次で点検して更新される。★4の有効期間は3年で、1年ごとに自己評価を実施したうえで、更新時にはあらためて第三者評価を受けることになる。

★3、★4取得を支援する新類型のお助け隊サービスを準備

経済産業省はSCS評価制度の導入促進に向け、★3、★4取得に向けたセキュリティ方針を策定・周知する具体的なひな型である「中小企業の情報セキュリティガイドライン・付属サンプル規定」の整備などを進めていく考えだ。また、同制度が受注企業の負担増につながることを避けるため、発注企業、受注企業双方の費用負担・価格交渉のルール整備についても取り組みが進む。特に注目したいのが、★3、★4の取得支援を目的とした「サイバーセキュリティお助け隊サービス（新類型）」である。

中小企業のセキュリティ対策をパッケージ化して提供するために誕生したサイバーセキュリティお助け隊サービスには、対象企業の規模に応じて1類、2類があり、セキュリティ相談窓口、異常の監視、緊急時の対応支援などをワンストップで提供する。新類型は、企業の課題を診断し、ITツール導入とセキュリティポリシーなどの整備を通して★3、★4を取得できるサービスになる見通しだ。8月から行われる実証実験の結果を踏まえ、詳細はSCS評価制度の開始に合わせて公表される予定だ。新類型もこれまで同様、IT導入補助金のセキュリティ対策推進枠の対象になると考えられ、サイバーセキュリティお助け隊サービスの活用は、提案の重要な選択肢になるだろう。

SCS評価制度は、発注側が自社のサプライチェーン企業に対し、重要度に準じた対応を依頼することを前提にしているが、取り組みを客観的に評価する新たな仕組みへの中小企業の注目度は高い。今後、SCS評価制度の★取得がセキュリティ対策の重要なベンチマークとなることは間違いない