企業が行うべき具体的な対応と、対策に活用できるソリューションをご紹介します。
経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)を2026年度末から運用開始予定です。
「サプライチェーン強化に向けたセキュリティ対策評価制度」の目的は、企業が講じているセキュリティ対策を可視化し評価することで、取引先を含めたサプライチェーン全体の安全性向上を図ることです。どのようなセキュリティ対策を実施しているかだけでなく、今後は客観的な視点で継続的に運用できているかが評価され、企業としての信頼や競争力に影響を及ぼす可能性がでてきます。
サプライチェーンを狙うサイバー攻撃が経営リスクになる時代に何ができるのか。
企業が行うべき具体的な対応と、対策に活用できる実効性のあるソリューションをご紹介します。
「サプライチェーン強化に向けたセキュリティ対策評価制度」の要点を理解した上でどんな対応をすべきかを考えていかれるかと思います。
ただ、このコラムでは、企業が対応すべきことを具体的に知りたい、という方のために、順序を逆にしてご紹介します。
経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度」に関する解説については、このコラムの最後にご紹介します。
では、企業がすべき対応からお話ししていきます。
本評価制度への対応に向けて企業が最初に取り組むべきことは「課題の可視化」です。
「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の導入により、企業のセキュリティ対策は共通の基準に基づいて可視化され、その内容が評価されるようになります。
まずは自社の現状を正しく把握し課題を見つけ、次に、自社を取り巻くサプライチェーン全体のリスクを洗い出していきましょう。
まずは、自社のセキュリティ対策状況を客観的に把握しましょう。
対策のみではなく、運用体制や社内ルールが実際に現場で機能しているかについても確認します。現状(できている/不足している対策)を把握したうえで、「制度の評価基準に照らした場合、現在のレベルはどの位置にあるのか」を整理します。
評価制度で求められる主な観点と、現場で起きがちな事象および解決方針について解説します。評価指標としてご参考にしてください。
| 評価観点 | 現場で起きがちな状態(例) | 解決方針(例) |
|---|---|---|
| IT資産の把握 | 端末の台帳が最新ではない 誰が使っているかが曖昧 |
台帳更新のルール化 棚卸し頻度の設定 |
| ソフト/アプリ管理 | どんなアプリが入っているか分からない 野良アプリの存在 |
標準アプリの定義 配布/更新/禁止の運用 |
| ID管理/アクセス制御 | 退職者アカウントが残っている | アカウント廃止手順の明確化 権限の定期的な棚卸し |
| 脆弱性対応 | 更新のルールが曖昧で放置されている | パッチ適用ルールの明確化 適用期限の設定 |
| 検知・対応 | 侵入に気づけない アラートがでた場合に放置 |
監視体制と1次対応フローの整備 外部SOC活用の検討 |
| 評価観点 | IT資産の把握 |
|---|---|
| 現場で起きがちな状態(例) | 端末の台帳が最新ではない 誰が使っているかが曖昧 |
| 解決方針(例) | 台帳更新のルール化 棚卸し頻度の設定 |
| 評価観点 | ソフト/アプリ管理 |
| 現場で起きがちな状態(例) | どんなアプリが入っているか分からない 野良アプリの存在 |
| 解決方針(例) | 標準アプリの定義 配布/更新/禁止の運用 |
| 評価観点 | ID管理/アクセス制御 |
| 現場で起きがちな状態(例) | 退職者アカウントが残っている |
| 解決方針(例) | アカウント廃止手順の明確化 権限の定期的な棚卸し |
| 評価観点 | 脆弱性対応 |
| 現場で起きがちな状態(例) | 更新のルールが曖昧で放置されている |
| 解決方針(例) | パッチ適用ルールの明確化 適用期限の設定 |
| 評価観点 | 検知・対応 |
| 現場で起きがちな状態(例) | 侵入に気づけない アラートがでた場合に放置 |
| 解決方針(例) | 監視体制と1次対応フローの整備 外部SOC活用の検討 |
次に、サプライチェーン全体(取引先や業務委託先含む)でどのようなリスクが存在しているのかを把握します。
具体的には、自社の取引先/業務委託先を整理し、何が自社の情報や業務に影響を与え得るのかを洗い出します。
そして、自社の管理範囲はどこまでと捉えるか、どの領域に対策が必要なのか、を明確にします。
なぜここまでする必要があるのか…。それは、例えばPCやシステム利用の際に自社が高水準のセキュリティ対策を講じていても、委託先の管理が不十分である場合に攻撃の入り口となるリスクがあるためです。
★4レベル以上を見据え、現状の★3レベルから強化すべき項目を整理し、段階的にレベルを引き上げていくロードマップを描きます。
第三者評価を受けるタイミングや、体制や仕組みを整える計画を事前にしておくと良いでしょう。
運用開始時期やレベルの定義は以下の通りです。
| 成熟度の定義 | 想定される脅威 | セキュリティ対策の考え方 | 評価方法 | 運用開始時期 |
|---|---|---|---|---|
| ★3 | 広く認知された脆弱性等を悪用する一般的なサイバー攻撃 | 最低限実装すべき対策 基礎的な組織的対策とシステム防御策を中心に実施 |
自己評価 (専門家確認付き) |
2026年度末 |
| ★4 | 機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃など | 標準的に目指すべき対策 組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施 |
第三者評価 | 2026年度末 |
| ★5 検討中 |
未知の攻撃も含めた、高度なサイバー攻撃 | 到達点として目指すべき対策 国際規格等におけるリスクベースの考え方に基づき、現時点でのベストプラクティスの対策を実施 |
第三者評価 | 未定 |
| 成熟度の定義 | ★3 |
|---|---|
| 想定される脅威 | 広く認知された脆弱性等を悪用する一般的なサイバー攻撃 |
| セキュリティ対策の考え方 | 最低限実装すべき対策 基礎的な組織的対策とシステム防御策を中心に実施 |
| 評価方法 | 自己評価 (専門家確認付き) |
| 運用開始時期 | 2026年度末 |
| 成熟度の定義 | ★4 |
| 想定される脅威 | 機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃など |
| セキュリティ対策の考え方 | 標準的に目指すべき対策 組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施 |
| 評価方法 | 第三者評価 |
| 運用開始時期 | 2026年度末 |
| 成熟度の定義 | ★5 検討中 |
| 想定される脅威 | 未知の攻撃も含めた、高度なサイバー攻撃 |
| セキュリティ対策の考え方 | 到達点として目指すべき対策 国際規格等におけるリスクベースの考え方に基づき、現時点でのベストプラクティスの対策を実施 |
| 評価方法 | 第三者評価 |
| 運用開始時期 | 未定 |
情報システム部門の限られたリソースで継続運用するためには、体制と仕組みの両面から支える支援が有効です。
企業がすべき対応と、対策に活用できる実効性のあるソリューションをご紹介します。
評価基準の中で、「経営の責任」や「IT基盤の防御」に関わる重要な項目として位置付けられているのが、「自社のIT資産を正しく管理できているか」です。
例えば、高度なセキュリティ対策のみならず、脆弱性を狙った攻撃の被害を受けるリスクを避けるため、常にOSを最新状態に保つことが必要です。また、不正なプログラムの実行や想定外の挙動を防ぐために、PCのアプリケーションに関するリスク対策として、ポリシーに沿ったアプリケーションの管理が必要です。
ここからは、企業が抱えがちな課題と、対策に活用できるソリューションをご紹介します。
「サプライチェーン強化に向けたセキュリティ対策評価制度」では、PCのOSを常に最新の状態に維持し、その状況を把握および管理できていることが求められます。つまり、たとえ高度なセキュリティ対策を導入していても、OSが最新状態に保たれていなければ、評価制度においても管理体制不備として捉えられる可能性があるということです。
Windows Update の運用管理を支援するソリューション「 Flex Work Place Unifier Cast」が解決します。
横河レンタ・リースが提供する「Unifier Cast」は、Windows アップデートの管理を支援するソリューションです。
端末ごとのOSバージョンをはじめ、Feature Update (FU) や Quality Update (QU) の適用状況、アップデートに関するエラーの発生状況などを、ダッシュボード上で一元的に管理することが可能です。
さらに、分割配信機能とCast配信機能を組み合わせることで、ネットワーク負荷を抑えながら大容量ファイルを効率的に配信でき、業務への影響を最小限に抑えた運用を実現します。
情報システム部門の負担軽減に寄与するだけでなく、第三者評価においても統制された運用体制を説明しやすい特長があります。
「サプライチェーン強化に向けたセキュリティ対策評価制度」では、適切なアクセス制御とソフトウエア管理も重視されます。
業務内容などに応じて、部署や個人単位で使いたいアプリが異なる中で、「インストールはユーザー個人に委ねているため、どのPCに何のアプリケーションがインストールされているかが把握しきれていない」または「情報システム部門のみがインストール権限を保有しており、ユーザーからのアプリ利用申請に手を焼いている」ことはありませんか?
従業員の利便性を優先し管理者権限を与えると、管理者が許可していないアプリケーションの導入や、脆弱性のあるソフトウエアの利用を招くリスクが高まります。逆に、セキュリティ統制のためにPC端末の管理者権限を制限すると、アプリケーションのインストールや更新のたびに情報システム部門への依頼が集中し、情シス部門へ負荷がかかります。
こうした状態は、本評価制度においても、「管理体制」や「IT基盤の防御」が十分でないと評価基準上のリスク要因として捉えられてしまう可能性があります。
管理者が許可したアプリケーションのみを、ユーザーの手で安全にインストールできる環境を整えることが、運用負荷の軽減とリスク抑制の両立につながります。
Windows Update の運用管理を支援するソリューション「 Flex Work Place AppSelf」が解決します。
横河レンタ・リースが提供する「AppSelf」は、管理者権限を付与することなく、利用者自身の操作で管理者が許可したアプリケーションをインストールできるアプリケーション配布管理ツールです。
あらかじめ許可したアプリをパッケージ化し、一括配信できるため、情報システム部門は個別のインストール対応から解放されます。
権限管理の適正化とソフトウエア管理の統制を、高いレベルで両立できる特長があります。
この評価制度の概要と企業に求められる対応を整理するとともに、制度を単なる要件対応に終わらせず、実務に結びつけるための対応について詳しく解説しています。
目次:
横河レンタ・リース株式会社 マーケティング本部 CDセンター
