診断手法 | Methodology

SCS Review診断ツールの設計思想、質問設計の根拠、スコア算出方法、診断の限界を公開します。

バージョン: v1.0.0 | 最終更新: 2026-01-11

想定ユースケース

1. 評価前の自己確認・準備

SCS評価制度(★3・★4)の正式な評価を受ける前に、自社の現状を把握し、ギャップを特定します。評価準備として、不足している対策を事前に整備できます。

2. 改善計画の立案と優先順位付け

診断結果から、カテゴリ別のスコアとギャップを可視化。どの領域から対策を始めるべきかを判断し、段階的な改善計画を立案する際の根拠資料として活用できます。

3. 経営層への報告資料作成

セキュリティ対策の現状と課題を数値化・可視化した診断レポートを、経営層やステークホルダーへの報告に活用できます。

診断設計の考え方

本診断ツールは、経済産業省が 2026 年 3 月 27 日に公表した「制度構築方針」と、IPA が 2026 年 4 月 21 日に公開した SCS 評価制度の要求事項・評価基準(要求事項 43 件・評価基準 153 件)を踏まえて設計されています。

設計原則

  • トレーサビリティの確保: 各質問は、要求事項案の特定の項目に紐付けられており、診断結果から該当する要求事項を特定できます。
  • 回答負担の最小化: 全17問(推定3〜5分)で、主要な7カテゴリを網羅的にカバーします。
  • 中小企業の実情を考慮: 専門用語には解説を付け、現実的に実施可能な対策を基準としています。
  • 透明性の確保: スコア算出方法、質問と要求事項の対応関係を公開し、診断結果の根拠を明示します。

設問と要求事項案の対応表

各診断設問がSCS評価制度のどの要求事項案に対応しているかを示します。

設問IDカテゴリ設問内容要求事項ID
Q1ガバナンスの整備セキュリティの責任者を明確に定めていますか?1-2-1-1
Q2ガバナンスの整備セキュリティルールを文書化し、従業員に周知していますか?1-3-1-1
Q3ガバナンスの整備従業員に対してセキュリティ教育を定期的に実施していますか?1-3-2-1
Q4取引先管理機密情報を共有する取引先と、情報の取扱いルールを取り決めていますか?2-1-2-1
Q5取引先管理重要な取引先のセキュリティ対策状況を確認していますか?2-1-3-1
Q6リスクの特定社内のPC・サーバー・ネットワーク機器の台帳を管理していますか?3-1-1-1
Q7リスクの特定重要な情報資産とそのリスクを特定・評価していますか?3-2-1-1
Q8攻撃等の防御重要なシステムへのログインに多要素認証を使用していますか?4-1-3-2
Q9攻撃等の防御すべての業務PCにウイルス対策ソフトを導入していますか?4-4-5-1
Q10攻撃等の防御OSやソフトウェアのセキュリティ更新を14日以内に適用していますか?4-4-4-2
Q11攻撃等の防御退職者のアカウントを速やかに無効化する手順がありますか?4-1-2-1
Q12攻撃等の検知不正アクセスを検知する仕組みを導入していますか?5-1-1-1
Q13攻撃等の検知重要なシステムのログを取得・保存していますか?5-2-1-1
Q14インシデントへの対応セキュリティインシデント発生時の対応手順を定めていますか?6-1-1-1
Q15インシデントへの対応インシデント対応の訓練や演習を実施していますか?6-2-1-1
Q16インシデントからの復旧重要データのバックアップを定期的に取得していますか?7-1-1-1
Q17インシデントからの復旧バックアップからの復旧手順を整備し、テストしていますか?7-1-2-1

スコア算出方法

診断スコアは、各質問への回答を数値化し、カテゴリ別・全体の対応状況を算出します。

回答の点数化

  • はい、対応している: 100点
  • 一部対応している: 50点
  • いいえ、対応していない: 0点
  • わからない: 0点(安全側に倒す)

スコアの計算式

カテゴリスコア = (カテゴリ内の合計点数) / (カテゴリ内の回答数)

全体スコア = (全質問の合計点数) / (全回答数)

適合見込みの判定基準

  • 80%以上: 適合見込み(緑)
  • 50%以上80%未満: 一部対応が必要(黄)
  • 50%未満: 対応が必要(赤)

★3・★4の目安スコア

本診断は簡易診断であり、正式な評価基準とは異なりますが、以下を目安としています:

  • ★3(基本レベル): 全体スコア70%以上を推奨
  • ★4(高度レベル): 全体スコア85%以上、かつ全カテゴリ80%以上を推奨

診断の限界と注意事項

重要な注意事項

  • 簡易診断です: 本ツールは自己診断ツールであり、正式なSCS評価ではありません。
  • 証跡確認は行いません: 回答内容の裏付けとなる証跡(文書、ログ等)の確認は行いません。
  • 評価結果を保証しません: 診断スコアが高くても、正式な評価で★3・★4を取得できることを保証するものではありません。
  • 主観的な回答に依存: 自己申告に基づくため、回答者の理解度や判断基準により結果が変動します。
  • 網羅性の限界: 全17問で主要な要求事項をカバーしていますが、SCS評価制度のすべての要求事項を網羅しているわけではありません。

正式な評価には専門家確認が必要

★3の取得には「専門家確認付き自己評価」、★4の取得には「第三者評価」が必要です。本診断はあくまで準備段階の自己確認ツールとしてご活用ください。

詳しくは★3(基本レベル)★4(高度レベル)のページをご覧ください。

証跡テンプレート(評価準備支援)

正式な評価では、各要求事項に対する証跡(エビデンス)の提出が求められます。診断結果から、準備すべき証跡の例を確認できます。

証跡例(カテゴリ別)

  • ガバナンスの整備: セキュリティポリシー文書、組織図、教育記録、出席簿
  • 取引先管理: NDA契約書、取引先セキュリティチェックリスト
  • リスクの特定: IT資産台帳、リスク評価表、リスク管理規程
  • 攻撃等の防御: パッチ適用記録、アカウント管理台帳、多要素認証設定画面
  • 攻撃等の検知: ログ保管設定、監視ツール導入証明
  • インシデントへの対応: インシデント対応手順書、訓練実施記録
  • インシデントからの復旧: バックアップ設定、復旧テスト記録

※ 具体的な証跡要件は、評価機関により異なる場合があります。

バージョン履歴

Versionリリース日変更内容
v1.0.02025-12-20初版リリース。全17問、7カテゴリで構成。経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度 構築方針(案)」(2025年12月26日公表)に基づく。
v1.1.02026-04-29IPA SCS 評価制度サイト・要求事項/評価基準 Excel(2026年4月21日公開)と METI 制度構築方針(2026年3月27日公表)に整合させ、根拠資料を最新の一次情報に更新。

※ SCS評価制度の正式公表後、要求事項の変更に応じて診断内容を更新する予定です。

診断を始める

3〜5分で、あなたの組織のSCS適合状況を無料で診断できます。

診断スタート

本ページの位置づけ

本ページには五行セキュリティの独自解釈が含まれます

【ご注意】(2026-01-11時点)

本ページは経済産業省が公表した「制度構築方針」(2026年3月27日)および IPA が公開した SCS 評価制度サイト・要求事項/評価基準 Excel(2026年4月21日)に基づいています。

  • 要求事項 43 件・評価基準 153 件(★3 81 件・★4 72 件)
  • 制度規程・評価ガイドは 2026 年 8 月以降に詳細化される予定です
  • 本サービスの診断は公式の評価・取得手続きではありません
  • 最新情報は IPA・経産省の公式発表をご確認ください

※SCS評価制度は、企業のセキュリティ対策状況を可視化し、サプライチェーン全体の セキュリティ向上を目的としています。企業の格付けや優劣を決めることが目的ではありません。

詳細は免責事項をご確認ください。

コンテンツ制作

  • 執筆: 五行セキュリティ編集チーム

最終更新: 2026-01-11