SCS評価制度 取得支援サービスとは
About
SCS評価制度 取得支援サービスは、SCS評価制度の★3・★4取得を一貫してご支援するサービスです。自己問診による事前準備から、現状調査、改善ロードマップの策定、社内ルール整備のコンサルティング、ITツールの選定・導入支援、取得申請書の作成支援までをトータルにサポートします。 当社の支援は「代行」ではなく「自走支援」です。ひな形の提供、設定ハンズオンによるスキルトランスファー、タスク管理ツールでの進捗・証跡の一元管理を通じて、支援終了後もお客様自身でセキュリティ対策を維持・更新できる状態をゴールに置いています。★は一度取得して終わりではなく、更新と日々の運用が続くためです。
- ★取得を目指す理由の壁打ちや目標設定からご支援
- 評価項目ごとのチケットで進捗と証跡を一元管理
- 既存のISMSなどの取り組みやドキュメントを再利用し、支援範囲を最適化
- SCS評価制度のセキュリティ専門家として登録予定の要員が在籍
- 支援終了後も自社で維持・更新できる体制が残る
こんな課題を解決します
Challenges
SCS評価制度 取得支援サービスが解決できる
よくある課題をご紹介します。
取引先から「SCS評価制度の★3(★4)を取得してほしい」と言われたが、何から手を付ければよいかわからない
要求事項や評価基準を読んでも、自社のどこが足りていないのか判断できず、最初の一歩が踏み出せない。
ISMSは取得済みだが、SCS評価制度とどう対応するのか整理できていない
既存の規程・台帳がどこまで再利用できるのか分からず、ゼロからの二重管理になることが不安。
セキュリティの専任担当者がおらず、規程づくりや証跡集めまで手が回らない
情報システム担当が他業務と兼任しており、制度対応に割ける時間が限られている。
どこまで投資すべきか判断できず、過剰なツール導入にならないか不安
ベンダーに相談すると製品ありきの提案になりがちで、本当に必要な対策だけに絞りたい。
コンサルに丸投げすると、★の更新のたびに外部費用がかかり続けるのではないか
取得して終わりではなく更新が続く制度だからこそ、自社で回せる体制を作りたい。
サービスの特徴
Features
事前準備(自己問診)
★3・★4の要求事項を、準備・対応のポイントを記載した評価項目ごとのチケットとしてタスク管理ボードに展開します。お客様自身が「対応している/要支援」のステータスを付け、証跡の有無を可視化。自力対応できる項目を先に仕分けることで、支援期間とコストを圧縮します。
現状調査
自己問診の結果をもとにヒアリングを実施します。対応済み項目は評価基準に照らして妥当性を確認し、要支援項目は必要な支援内容を検討。既設機器の設定変更やITツールの組合せで要求事項を達成できるかも診断し、過剰な投資を回避します。
改善ロードマップの策定
未達成項目ごとに実施すべき対策を「改善計画書(ロードマップ)」として取りまとめます。自助対応可能な項目と当社支援が必要な項目を区分し、優先順位と対応スケジュールを明示します。
社内ルール整備のコンサルティング
★要求事項の多くを占める組織的対策(規程類の整備)を、セキュリティポリシー策定・刷新の実績に基づき支援します。規程・契約書等のひな形を提供し、お客様自身でルール整備を進められるようにします。
ITツール導入支援
★取得に推奨されるITツールが未導入の場合、選定・導入から設定ハンズオンによるスキルトランスファー、運用設計までを支援します。特定製品ありきの提案は行いません。
進捗管理・証跡管理
評価項目ごとのチケットに対応状況と証跡を一元管理し、進捗と対応担当を常時可視化します。メール・Slack・チケットコメントによる相談窓口で、疑問点に遅滞なく対応。★更新時の証跡集めをお客様自身で継続できる状態を実現します。
★取得申請支援
蓄積された証跡に基づき要求事項の充足を確認し、★3取得申請書の作成を支援します。SCS評価制度のセキュリティ専門家として登録予定の当社要員が自己評価結果を確認し、問題がなければ署名します(制度開始後、準備でき次第提供開始)。★4を目指すお客様には、評価機関による実地審査・技術検証への対応を支援します。
期待できる効果
Benefits
自走できる体制が残る
進捗・証跡が一元管理されたプロジェクトボードが手元に残り、★更新時の証跡集めをお客様自身で継続できます。支援終了後に外部依存が残りません。
支援範囲を絞って費用を抑えられる
自己問診による自力対応項目の仕分けと、ISMS等の既存の取り組みや導入済みツールの活用判定により、本当に必要な支援だけをご提案します。
ルール整備からツール導入まで一社で完結
規程整備のコンサルティングと、ID管理・EDRなどのITツール選定・導入支援を同じ会社に相談でき、コンサルと実装が分断されません。
取引先への客観的な回答手段を獲得
セキュリティ要求への回答を★という共通のものさしで示せるようになり、取引継続・新規取引における信頼性が向上します。
料金プラン
Pricing
SCS評価制度 取得支援
自己問診の結果を踏まえ、支援範囲・期間・体制に応じてお見積もりします
- 事前準備(自己問診ボードの提供)から取得申請支援まで一貫対応
- ★取得を目指す理由の壁打ちや目標設定からご相談可能
- 既存のISMSなどの取り組みやドキュメントの再利用による支援範囲の最適化
- 規程・契約書等のひな形、FAQ・各種資料の提供
- メール・Slack・チケットコメントでの相談窓口
費用は支援範囲・期間・体制に応じて個別にお見積もりします。自己問診による自力対応項目の仕分けや、既存の取り組み・導入済みツールの活用により、支援範囲を必要最小限に絞ることで費用を抑えられます。契約形態:準委任契約。まずは無料の初回相談で、現在の状況と目指す★をお聞かせください。
まずはお気軽にご相談ください
ご相談は無料です。インシデント対応から本格的なゼロトラスト導入まで、技術的な質問から具体的な導入計画まで、エンジニアが直接お答えします。
導入の流れ
Flow
お問い合わせ・初回相談(無料)
現在の状況と目指す★についてお伺いします。★の必要性の整理からご相談いただけます。
事前準備(自己問診)
プロジェクトボードをご提供し、評価項目ごとのチケットに対して自己問診を実施いただきます。
お見積もり・ご契約
自己問診の結果をもとに、支援の方向性・期間・費用をご提示します。
支援開始
現状調査から改善ロードマップ策定、社内ルール整備、★取得申請まで伴走します。
よくあるご質問
FAQ
★3はすべてのサプライチェーン企業が最低限実装すべき水準で、セキュリティ専門家の確認を経た自己評価により取得します。★4は標準的に目指すべき包括的な水準で、評価機関による第三者評価(実地審査・技術検証を含む)が必要です。★4は★3の要求事項を内包するため、最初から★4取得に直接取り組むことも可能です。当社では、★取得を目指す理由の壁打ちや目標設定からご支援します。
SCS評価制度はISMSと相互補完的な制度と位置づけられており、要求事項はNIST CSFの考え方に沿って整理されています。ISMSやSECURITY ACTIONで整備済みの規程・台帳の多くは再利用できます。当社の現状調査では、既存の成果物を要求事項にマッピングし、再利用できるものと不足箇所を仕分けします。
経済産業省・内閣官房の制度構築方針では、★3・★4について2026年度末頃の制度開始が目指されています(運営はIPA)。要求事項・評価基準の詳細は今後変更される可能性がありますが、資産・取引先・外部サービスの棚卸しや既存の取り組みとのギャップ分析は、現時点の公表情報で始められます。当社は制度の最新動向を継続的にキャッチアップし、変更があった場合は評価項目チケットやひな形に反映した上でご支援します。
まず自社の現在地の把握(自己問診)から始めることをおすすめします。当社サービスでは、評価項目ごとのチケットに「対応している/要支援」のステータスを付けるだけで、不足箇所と証跡の有無が可視化されます。無料の初回相談で状況をお伺いし、★の必要性の整理からご支援できます。
現状により大きく異なります。目安として、一通りの対策をしてきた企業が★3を目指す場合で約2ヶ月、これから本格的に取り組む場合は6ヶ月〜を想定しています。★3相当の対策がおおむねできている企業が★4を目指す場合は3〜6ヶ月が目安です。具体的な期間は、自己問診と現状調査の結果を踏まえてご提示します。
★3で必要となるセキュリティ専門家による自己評価結果の確認・署名は、SCS評価制度のセキュリティ専門家として登録予定の当社要員が対応します(制度開始後、準備でき次第提供開始)。★4で必要となる評価機関による実地審査・技術検証への対応も、蓄積した証跡を活用して支援します。
支援範囲・期間・体制に応じて個別にお見積もりします。自己問診で自力対応できる項目を先に仕分けし、既存の取り組みや導入済みツールを活用することで、支援範囲を必要最小限に絞り費用を抑えられます。ツール販売ありきの提案は行いません。
当社は、お客様に代わってすべてを作り上げる「代行型」の支援は行っていません。規程の社内承認・周知や証跡の蓄積など、お客様ご自身に取り組んでいただく部分があるサービスです。その分、取得後も自社で維持・更新できる力が残ります。「すべてお任せしたい」というご要望には沿えない場合がありますので、進め方は初回相談でご確認ください。
SCS評価制度とは
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は、経済産業省・内閣官房国家サイバー統括室が主導し、IPAが運営する、企業のセキュリティ対策状況を共通の基準(★)で評価・可視化する制度です。取引契約において委託元が委託先に★の段階を提示し、対策の実施状況を確認する運用が想定されており、★3・★4については2026年度末頃の制度開始が目指されています。
| 項目 | ★3 | ★4 |
|---|---|---|
| 位置づけ | すべてのサプライチェーン企業が最低限実装すべき対策 | サプライチェーン企業が標準的に目指すべき対策 |
| 評価方式 | セキュリティ専門家の確認を経た自己評価 | 評価機関による第三者評価(実地審査・技術検証) |
| 有効期限(予定) | 1年 | 3年 |
★4は★3の要求事項を内包しているため、最初から★4取得に直接取り組むことも可能です。
※SCS評価制度は2026年度末頃の運用開始に向けて制度設計が進められている段階であり、要求事項・評価基準・評価方式・申請手続き・スケジュール等は、今後の国の検討状況により変更される可能性があります。本ページの記載は、現時点で経済産業省・IPAから公表されている情報(制度構築方針等)に基づいています。最新の制度情報は経済産業省・IPAの公表資料をご確認ください。
制度の背景、★3・★4の評価スキーム、制度開始前に着手すべき棚卸しの実務チェックリストは、ブログ記事「取引条件に「セキュリティ格付け」が入る時代|経産省 SCS評価制度(★3・★4)を情シスが制度開始前に準備する実務」で詳しく解説しています。
モデルケース別の支援期間の目安
お客様の現在の対策状況によって、必要な支援の範囲と期間は大きく異なります。ご自身の状況に近いケースを目安としてご覧ください。
| ケース | こんなお客様 | 目指す★ | 支援期間の目安 |
|---|---|---|---|
| ケース1 | 「まずは★3を取得したい。セキュリティ対策にはこれから本格的に取り組む」 | ★3 | 6ヶ月〜※ |
| ケース2 | 「★3を目指す。一通りの対策はやってきたつもりだが、制度の基準で見て十分か自信がない」 | ★3 | 約2ヶ月 |
| ケース3 | 「★3相当の対策はおおむねできている。不足を補いながら★4を目指したい」 | ★4 | 3〜6ヶ月 |
※ケース1は、対策の出発点により期間が最も大きく変動します。改善計画書(ロードマップ)で優先順位を明確にし、段階的に進めることも可能です。具体的な期間は、事前準備(自己問診)と現状調査の結果を踏まえてご提示します。
役割分担(お客様と当社)
| フェーズ | お客様にご対応いただくこと | 当社がご支援すること |
|---|---|---|
| 事前準備 | ★の必要性の整理と目標設定、自己問診の実施、対応済み項目の証跡アップロード | 評価項目ごとのチケットを展開したプロジェクトボードの提供、支援期間・支援の方向性の提示 |
| 現状調査 | ヒアリングへのご対応、現状資料(台帳・規程類等)のご提供 | 対応状況の妥当性確認、証跡となる資料のすり合わせ、既存の取り組み(ISMS等)の成果物の仕分け |
| ロードマップ作成 | 改善計画書の内容確認、自助対応項目の実施 | 改善計画書(ロードマップ)の作成、優先順位・対応スケジュールの明示 |
| 社内ルール整備 | ひな形をもとにした規程類の作成、社内での承認・周知・運用 | 規程・契約書等のひな形・フォーマットの提供、策定内容への助言・レビュー |
| ITツール導入 | ツールの採用判断・ご契約、設定ハンズオンへのご参加、導入後の運用 | ツールの選定・導入支援、設定ハンズオンによるスキルトランスファー、運用設計 |
| 進捗管理・証跡管理 | 対応状況ステータスの更新、証跡のアップロード | 進捗と対応担当の可視化、相談窓口での回答 |
| ★取得申請 | 申請内容の最終確認、申請手続きの実施 | 要求事項の充足確認、申請書の作成支援、セキュリティ専門家による確認・署名、(★4)評価機関による審査への対応支援 |
※上記は標準的な分担の目安です。実際の分担は、事前準備(自己問診)の結果を踏まえてお見積もり時にご相談の上確定します。
SCS評価制度 取得支援サービスが選ばれる理由
1. SCS評価制度の要求事項の大部分を、既存のコンサルティング実績でカバー
セキュリティポリシーの策定・刷新、セキュリティアセスメント、ID管理・多要素認証やクラウドセキュリティ製品の導入・運用設計など、制度の要求事項に対応するご支援を数多く手がけてきました。制度のために新たに組んだメニューではなく、実績あるコンサルティングをSCS評価制度の枠組みで再構成したサービスです。
2. セキュリティ専門家による確認まで、ワンストップで対応
SCS評価制度のセキュリティ専門家として登録予定の要員が在籍しており、★3取得に必要な自己評価結果の確認・署名までを一貫してご支援できます(制度開始後、準備でき次第提供開始)。コンサルティングと専門家確認を別々の事業者に依頼する必要がありません。
3. 「代行」ではなく、自走できるようになるための伴走支援
ひな形の提供、設定ハンズオンによるスキルトランスファー、証跡管理の仕組みづくりを通じて、お客様自身がセキュリティ対策を理解し、運用できる状態をゴールに置いています。支援終了後に外部依存が残らないことは、中長期のコストと組織のセキュリティ耐性の両面でお客様の利益になると考えています。
4. 過剰な投資をさせない、現実的な提案
自己問診による自力対応項目の仕分けや、既設機器・導入済みツール・既存の取り組みの活用判定により、「本当に必要な支援だけ」に絞ってご提案します。ツール販売ありきの提案は行いません。
株式会社クラウドネイティブは、代表の齊藤愼仁(文部科学省 最高情報セキュリティアドバイザー、著書『ITセキュリティ・ゼロトラスト概論』技術評論社)をはじめとする現役エンジニアが、セキュリティポリシー策定からID管理・EDR運用まで直接ご相談に対応しています。