中小企業のためのSCS評価制度対応ガイド
IT専任者がいない中小企業でも、段階的にセキュリティ対策を進めることができます。 限られたリソースで効果的に対応するための実践的なガイドです。
最初の一歩:SECURITY ACTIONから始める
SCS評価制度への対応を始める前に、まずは基本的なセキュリティ対策の実施状況を確認しましょう。 IPAの「SECURITY ACTION」は、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。
一つ星(★)
「情報セキュリティ5か条」に取り組むことを宣言
- OS・ソフトウェアを常に最新の状態に
- ウイルス対策ソフトの導入
- パスワードの適切な管理
- 共有設定の見直し
- 脅威・手口を知る
二つ星(★★)
「情報セキュリティ基本方針」を定め、外部に公開
自社の情報セキュリティ対策への取り組み姿勢を、社内外に示すことができます。
優先順位の付け方
限られたリソースで対応するには、優先順位を明確にすることが重要です。 以下の順序で取り組むことをお勧めします。
1
基本的な防御対策
- OSやソフトウェアの更新(パッチ適用)
- ウイルス対策ソフトの導入と更新
- 強固なパスワードの設定と管理
- 不要なアカウントの削除
2
データ保護対策
- 重要データのバックアップ(定期的な実施)
- バックアップからの復元テスト
- 重要データの暗号化
3
運用ルールの整備
- 情報セキュリティ基本方針の策定
- 従業員への教育・啓発
- インシデント発生時の連絡体制
4
証跡の記録
- 実施した対策の記録を残す
- 簡単な記録から始める(Excelやノートでも可)
- 継続的に記録する習慣をつける
外部支援の活用方法
専門知識がない場合や、リソースが限られている場合は、外部の支援を活用することを検討してください。
IPAの無料リソース
地域の支援団体
- 商工会議所・商工会のIT支援窓口
- 中小企業診断士による経営相談
- 各都道府県の中小企業支援センター
セキュリティ専門業者
必要に応じて、セキュリティコンサルティングやMSSP(Managed Security Service Provider)の活用を検討してください。
※費用対効果を考慮し、自社のリスクレベルに応じて判断することが重要です。
今日から始められる具体的アクション
今日できること
- Windows Updateの実行
- ウイルス対策ソフトの確認と更新
- パスワードの強度チェック
- IPAの自己診断を実施
今週中にできること
- 不要なアカウントの削除
- 重要データのバックアップ設定
- SECURITY ACTION(一つ星)の申請
- 従業員へのセキュリティ注意喚起
今月中にできること
- 情報セキュリティ基本方針の策定
- バックアップからの復元テスト
- インシデント連絡体制の整備
- 本診断ツールで現状確認
3ヶ月以内にできること
- SECURITY ACTION(二つ星)の取得
- 外部専門家への相談
- 従業員教育の実施
- 対策状況の記録習慣化
【ご注意】
本ページは、SCS評価制度への対応を検討する中小企業向けの参考情報です。 実際の対応内容は、自社の事業内容やリスクレベルに応じて判断してください。
SCS評価制度は METI の制度構築方針(2026年3月27日公表)と IPA の SCS 評価制度サイト(2026年4月21日公開)に基づいています。制度規程・評価ガイドは 2026 年 8 月以降に詳細化される予定で、内容が変更される可能性があります。 最新情報は IPA・経済産業省の公式発表をご確認ください。
最終更新: 2026年1月11日