SCS評価制度の★3(三つ星)における全25項目の要求事項
officesuport_adminSCS評価制度の「★3(三つ星)」は、一般的なサイバー攻撃(既知の脆弱性を狙った攻撃やランサムウェア)から会社を守るために最低限クリアすべき25項目の要求事項で構成されています。
この25項目は、経済産業省やIPAのガイドラインに基づき、大きく7つの領域に分類されています。実務でそのまま使える具体的なチェックリストの例を、領域ごとに分かりやすく解説します。
SCS評価制度 ★3(三つ星)対応チェックリスト例
① ガバナンスの整備(4項目)
「組織としてセキュリティに取り組む姿勢と体制」が整っているかをチェックします。
| # | チェック項目 | 具体的なアクション・整備する証拠(例) |
| 1 | 経営層の関与と責任者 | セキュリティ対策の最終責任者(役員など)が明確になっており、年1回以上、経営層へ現状が報告されている。 |
| 2 | 基本ルールの文書化 | 自社の「情報セキュリティ基本方針(ポリシー)」を文書として策定し、社内に周知している。 |
| 3 | 役割と責任の明確化 | システムの管理担当者や、トラブルが起きた際の連絡窓口の役割分担が決まっている。 |
| 4 | 秘密保持の徹底 | 従業員が入社する際や、外部の委託業者と契約する際に、秘密保持(NDA)の取り決めを交わしている。 |
② 取引先管理(2項目)
自社だけでなく、繋がっている「他社」との情報のやり取りに関するルールです。
| # | チェック項目 | 具体的なアクション・整備する証拠(例) |
| 5 | 関係性の把握 | 自社がどこの企業(発注元・受注先)とネットワークやシステムを連携させているか把握している。 |
| 6 | 機密情報の取扱ルール | 取引先から預かったデータや、自社から渡すデータの「扱い方・守り方」のルールが明確になっている。 |
③ リスクの特定(4項目)
自社に「何がどこにあるか」を把握し、弱点(脆弱性)を見つけるための項目です。
| # | チェック項目 | 具体的なアクション・整備する証拠(例) |
| 7 | IT資産の台帳管理 | 社内にあるパソコン、スマートフォン、サーバ、ネットワーク機器の一覧(台帳)があり、最新に更新されている。 |
| 8 | データの分類 | 「極秘」「社内限り」など、情報の重要度に応じた分類と、それぞれの保管・廃棄ルールがある。 |
| 9 | 公開サーバの把握 | インターネット上に公開している自社のWebサイトやメールサーバなど、攻撃の標的になりやすい資産をリスト化している。 |
| 10 | 脆弱性情報の収集 | OSやソフトウェアに重大な欠陥が見つかったというニュース(IPAの注意喚起など)を定期的に確認する仕組みがある。 |
④ 攻撃等の防御(8項目) ★最重要
★3の中で最もボリュームが多く、技術的な対策が求められる領域です。
| # | チェック項目 | 具体的なアクション・整備する証拠(例) |
| 11 | アカウントの発行・削除 | 社員が入社・退社した際のアカウント作成・削除の手順が定まっており、放置された不要アカウントがない。 |
| 12 | アクセス権限の最小化 | 業務に関係のない社員が、重要サーバや機密データにアクセスできないよう制限している。 |
| 13 | 認証の強化(MFA) | 管理者アカウントや外部から社内システムに繋ぐ際、ID・パスワードだけでなく**「多要素認証(MFA)」**を設定している。 |
| 14 | 適切なパスワード管理 | 推測されやすいパスワード(123456など)を禁止し、複雑なパスワードを設定するルールがある。 |
| 15 | 端末の安全な設定 | パソコンの画面ロックの義務化や、業務に関係のない不要なソフトのインストールを禁止している。 |
| 16 | マルウェア対策の導入 | すべてのパソコンやサーバにウイルス対策ソフト(またはEDR)が導入され、常に最新状態になっている。 |
| 17 | 適時なパッチ適用 | Windows Updateや各種ソフトのセキュリティ修正プログラム(パッチ)を、放置せず定期的に適用している。 |
| 18 | 従業員へのセキュリティ教育 | 派遣社員やパートを含むすべての役職員に対し、年1回以上のセキュリティ研修や訓練を実施している。 |
⑤ データセキュリティ(1項目)
ランサムウェアなどでデータが使えなくなった時のための「備え」です。
| # | チェック項目 | 具体的なアクション・整備する証拠(例) |
| 19 | 定期バックアップと復旧テスト | 重要なデータは定期的にバックアップを取っており、それが**「本当に復元できるか」のテスト**を定期的に行っている。 |
⑥ プラットフォーム&技術インフラ(4項目)
ネットワークの境界線や、古い機器の管理に関する項目です。
| # | チェック項目 | 具体的なアクション・整備する証拠(例) |
| 20 | ネットワークの分離・境界防御 | 社内ネットワークとインターネットの境界にファイアウォール等を設置し、不正な通信を遮断している。 |
| 21 | サポート期限の管理 | OSやハードウェアのサポート終了(EOL)の時期を把握し、期限切れの古い機器をネットワークに繋ぎ続けない。 |
| 22 | 通信の暗号化 | 外部から社内にアクセスする際はVPNを利用するなど、通信内容が盗み見られない対策をしている。 |
| 23 | 機器の安全な廃棄 | パソコンなどを捨てる、またはリース返却する際に、データを完全に消去(初期化・物理破壊など)している。 |
⑦ 攻撃等の検知・インシデント対応(2項目)
「もしも」何かが起きてしまったときの動き方です。
| # | チェック項目 | 具体的なアクション・整備する証拠(例) |
| 24 | ログの取得と監視 | サーバやネットワーク機器の通信記録(ログ)を一定期間保存し、おかしな動きがないか確認できる状態にしている。 |
| 25 | 緊急時対応の手順(連絡体制) | ウイルス感染や情報漏洩を疑う事象が起きた際、「誰に報告し、どこに相談するか」の連絡フロー図や手順書がある。 |
💡 専門家確認を受けるための「次のワンステップ」
これら25項目の自己評価シートを記入する際、ただ「やっている」と答えるだけでなく、「証拠(エビデンス)」をセットで用意するのがSCS評価制度★3の大きな特徴です。
- 用意する証拠の例:
- ウイルス対策ソフトの管理画面(全端末が最新・導入済みとわかるキャプチャ)
- 社内セキュリティ規定のPDFファイル
- 社員教育を実施した際の受講者リストや、使用したスライド資料
- バックアップの実行ログ、または復旧テストの実施記録
まずは社内の「IT資産台帳」の作成と、一番の難所になりやすい「多要素認証(MFA)の導入状況」の確認から手を付けてみるのがおすすめです。