情報システム部門のためのSCS評価制度対応ガイド
SCS評価制度への対応における技術的な対応事項と証跡の作成方法を解説します。 実務レベルでの対応を進めるための実践的なガイドです。
必要な証跡の種類と作成方法(参考例)
以下は、SCS評価制度で求められる可能性がある証跡の例です。 実際の評価では、評価機関の指示に従って証跡を準備してください。
バックアップ検証記録
定期的なバックアップとリストア検証の実施記録
- バックアップ取得日時
- 対象システム・データ
- リストア検証実施日
- 検証結果(成功/失敗)
- 担当者・承認者
アクセス制御・権限管理記録
ユーザーアカウントと権限の定期的な棚卸記録
- ユーザーID・氏名
- 所属部署・役職
- 付与されているアクセス権限
- 棚卸実施日
- 適切性の確認結果
パッチ管理・脆弱性対応記録
セキュリティパッチの適用状況管理記録
- 対象システム・ソフトウェア
- 脆弱性情報(CVE-ID等)
- 重要度評価
- パッチ適用予定日・完了日
- 適用結果・備考
ログ管理・保存記録
セキュリティログの取得と保管の実施記録
- ログ取得対象システム
- ログの種類(認証、アクセス等)
- 保存期間
- 定期的な確認実施記録
- 異常検知時の対応記録
参考:証跡作成のテンプレートは証跡テンプレートページでダウンロードできます。
運用設計のポイント
証跡の作成と管理を継続的に実施するための運用設計のポイントです。
証跡収集の自動化
手動での証跡作成は継続が困難です。可能な限りツールを活用して自動化しましょう。
- バックアップは自動スケジュール実行
- ログは自動収集・保管
- 脆弱性スキャンは定期自動実行
- レポート生成の自動化
運用負荷の軽減
最小限の工数で必要な証跡を確保できる仕組みを構築します。
- 既存の運用プロセスに組み込む
- 既存ツールの機能を最大限活用
- 過剰な記録は避ける(必要最小限)
- テンプレートを活用して記録時間を短縮
証跡の保管と管理
評価時にすぐに提示できるよう、証跡を適切に保管・管理します。
- 証跡の保管場所を統一
- ファイル命名規則の統一
- 定期的なバックアップ
- 保管期間の設定(最低1年程度推奨)
継続的な実施体制
担当者が変わっても継続できる仕組みを作ります。
- 運用手順書の整備
- 定期的なレビュー会の設定
- 担当者への教育・引継ぎ
- 経営層への定期報告
活用ツール例
証跡の作成と管理を効率化するためのツール例です。 これらは必須ではなく、自社の環境に合ったツールを選択してください。
EDR(Endpoint Detection and Response)
エンドポイント検知・対応ツール。不審な活動の検知とログ記録を自動化。
例: Microsoft Defender for Endpoint, CrowdStrike, SentinelOne等
脆弱性管理・スキャンツール
システムの脆弱性を定期的にスキャンし、パッチ適用状況を管理。
例: Tenable Nessus, Qualys, OpenVAS等
ログ管理・SIEM(Security Information and Event Management)
セキュリティログの収集、保管、分析を一元管理。
例: Splunk, IBM QRadar, Azure Sentinel等
バックアップツール・ソリューション
定期的なバックアップとリストア検証を自動化。
例: Veeam, Acronis, AWS Backup等
IT資産管理ツール
アカウント、デバイス、ソフトウェアライセンスの管理を一元化。
例: ManageEngine AssetExplorer, Lansweeper等
注意:上記はあくまで例であり、必須ツールではありません。 自社の規模・予算・要件に応じて適切なツールを選択してください。
よくある落とし穴と対策
落とし穴1: 証跡の不足・漏れ
評価時になって初めて証跡が不足していることに気づくケース。
対策:
- 事前に診断ツールで必要な証跡を確認
- チェックリストを活用して定期的に確認
- 評価前に外部専門家にレビューを依頼
落とし穴2: 運用が続かない
最初は頑張るが、手動作業が多く継続できなくなるケース。
対策:
- 証跡収集の自動化を優先
- 既存ツールの機能を最大限活用
- 運用負荷の高い施策は見直し
- 段階的に改善(一度に全てやらない)
落とし穴3: 過剰な対応・やりすぎ
高額なツールを導入したり、必要以上に詳細な記録を取ろうとするケース。
対策:
- 要求事項を正しく理解する
- 必要最小限からスタート
- 費用対効果を検討
- 段階的に評価レベルを上げる(★3→★4)
実装チェックリスト
SCS評価制度への対応状況を確認するためのチェックリストです。 段階的に対応を進めましょう。
□ バックアップ・復旧
- 重要データのバックアップを定期的に実施している
- バックアップからのリストア検証を定期的に実施している
- バックアップとリストア検証の記録を保管している
- バックアップデータを安全に保管している
□ アクセス制御・権限管理
- ユーザーアカウントと権限の棚卸を定期的に実施している
- 不要なアカウントを削除している
- 強固なパスワードポリシーを設定している
- 特権アカウントの管理を厳格に行っている
□ パッチ管理・脆弱性対応
- セキュリティパッチの適用状況を管理している
- 重要度に応じたパッチ適用期限を設定している
- 脆弱性スキャンを定期的に実施している
- 脆弱性対応の記録を保管している
□ ログ管理・監視
- セキュリティログを取得・保存している
- ログの定期的な確認を実施している
- 異常検知時の対応手順を定めている
- ログの保存期間を設定している
□ インシデント対応
- インシデント対応手順を定めている
- インシデント発生時の連絡体制を整備している
- インシデント対応訓練を実施している
- インシデント対応記録を保管している
関連ガイド
【ご注意】
本ページは、SCS評価制度への対応を検討する情報システム部門向けの参考情報です。 実際の対応内容は、自社の事業内容やリスクレベルに応じて判断してください。
SCS評価制度は METI の制度構築方針(2026年3月27日公表)と IPA の SCS 評価制度サイト(2026年4月21日公開)に基づいています。制度規程・評価ガイドは 2026 年 8 月以降に詳細化される予定で、内容が変更される可能性があります。 最新情報は IPA・経済産業省の公式発表をご確認ください。
最終更新: 2026年1月11日