診断手法 | Methodology
SCS Review診断ツールの設計思想、質問設計の根拠、スコア算出方法、診断の限界を公開します。
バージョン: v1.0.0 | 最終更新: 2026-01-11
想定ユースケース
1. 評価前の自己確認・準備
SCS評価制度(★3・★4)の正式な評価を受ける前に、自社の現状を把握し、ギャップを特定します。評価準備として、不足している対策を事前に整備できます。
2. 改善計画の立案と優先順位付け
診断結果から、カテゴリ別のスコアとギャップを可視化。どの領域から対策を始めるべきかを判断し、段階的な改善計画を立案する際の根拠資料として活用できます。
3. 経営層への報告資料作成
セキュリティ対策の現状と課題を数値化・可視化した診断レポートを、経営層やステークホルダーへの報告に活用できます。
診断設計の考え方
本診断ツールは、経済産業省が 2026 年 3 月 27 日に公表した「制度構築方針」と、IPA が 2026 年 4 月 21 日に公開した SCS 評価制度の要求事項・評価基準(要求事項 43 件・評価基準 153 件)を踏まえて設計されています。
設計原則
- トレーサビリティの確保: 各質問は、要求事項案の特定の項目に紐付けられており、診断結果から該当する要求事項を特定できます。
- 回答負担の最小化: 全17問(推定3〜5分)で、主要な7カテゴリを網羅的にカバーします。
- 中小企業の実情を考慮: 専門用語には解説を付け、現実的に実施可能な対策を基準としています。
- 透明性の確保: スコア算出方法、質問と要求事項の対応関係を公開し、診断結果の根拠を明示します。
設問と要求事項案の対応表
各診断設問がSCS評価制度のどの要求事項案に対応しているかを示します。
| 設問ID | カテゴリ | 設問内容 | 要求事項ID |
|---|---|---|---|
| Q1 | ガバナンスの整備 | セキュリティの責任者を明確に定めていますか? | 1-2-1-1 |
| Q2 | ガバナンスの整備 | セキュリティルールを文書化し、従業員に周知していますか? | 1-3-1-1 |
| Q3 | ガバナンスの整備 | 従業員に対してセキュリティ教育を定期的に実施していますか? | 1-3-2-1 |
| Q4 | 取引先管理 | 機密情報を共有する取引先と、情報の取扱いルールを取り決めていますか? | 2-1-2-1 |
| Q5 | 取引先管理 | 重要な取引先のセキュリティ対策状況を確認していますか? | 2-1-3-1 |
| Q6 | リスクの特定 | 社内のPC・サーバー・ネットワーク機器の台帳を管理していますか? | 3-1-1-1 |
| Q7 | リスクの特定 | 重要な情報資産とそのリスクを特定・評価していますか? | 3-2-1-1 |
| Q8 | 攻撃等の防御 | 重要なシステムへのログインに多要素認証を使用していますか? | 4-1-3-2 |
| Q9 | 攻撃等の防御 | すべての業務PCにウイルス対策ソフトを導入していますか? | 4-4-5-1 |
| Q10 | 攻撃等の防御 | OSやソフトウェアのセキュリティ更新を14日以内に適用していますか? | 4-4-4-2 |
| Q11 | 攻撃等の防御 | 退職者のアカウントを速やかに無効化する手順がありますか? | 4-1-2-1 |
| Q12 | 攻撃等の検知 | 不正アクセスを検知する仕組みを導入していますか? | 5-1-1-1 |
| Q13 | 攻撃等の検知 | 重要なシステムのログを取得・保存していますか? | 5-2-1-1 |
| Q14 | インシデントへの対応 | セキュリティインシデント発生時の対応手順を定めていますか? | 6-1-1-1 |
| Q15 | インシデントへの対応 | インシデント対応の訓練や演習を実施していますか? | 6-2-1-1 |
| Q16 | インシデントからの復旧 | 重要データのバックアップを定期的に取得していますか? | 7-1-1-1 |
| Q17 | インシデントからの復旧 | バックアップからの復旧手順を整備し、テストしていますか? | 7-1-2-1 |
スコア算出方法
診断スコアは、各質問への回答を数値化し、カテゴリ別・全体の対応状況を算出します。
回答の点数化
- はい、対応している: 100点
- 一部対応している: 50点
- いいえ、対応していない: 0点
- わからない: 0点(安全側に倒す)
スコアの計算式
カテゴリスコア = (カテゴリ内の合計点数) / (カテゴリ内の回答数)
全体スコア = (全質問の合計点数) / (全回答数)
適合見込みの判定基準
- 80%以上: 適合見込み(緑)
- 50%以上80%未満: 一部対応が必要(黄)
- 50%未満: 対応が必要(赤)
★3・★4の目安スコア
本診断は簡易診断であり、正式な評価基準とは異なりますが、以下を目安としています:
- ★3(基本レベル): 全体スコア70%以上を推奨
- ★4(高度レベル): 全体スコア85%以上、かつ全カテゴリ80%以上を推奨
診断の限界と注意事項
重要な注意事項
- 簡易診断です: 本ツールは自己診断ツールであり、正式なSCS評価ではありません。
- 証跡確認は行いません: 回答内容の裏付けとなる証跡(文書、ログ等)の確認は行いません。
- 評価結果を保証しません: 診断スコアが高くても、正式な評価で★3・★4を取得できることを保証するものではありません。
- 主観的な回答に依存: 自己申告に基づくため、回答者の理解度や判断基準により結果が変動します。
- 網羅性の限界: 全17問で主要な要求事項をカバーしていますが、SCS評価制度のすべての要求事項を網羅しているわけではありません。
証跡テンプレート(評価準備支援)
正式な評価では、各要求事項に対する証跡(エビデンス)の提出が求められます。診断結果から、準備すべき証跡の例を確認できます。
証跡例(カテゴリ別)
- ガバナンスの整備: セキュリティポリシー文書、組織図、教育記録、出席簿
- 取引先管理: NDA契約書、取引先セキュリティチェックリスト
- リスクの特定: IT資産台帳、リスク評価表、リスク管理規程
- 攻撃等の防御: パッチ適用記録、アカウント管理台帳、多要素認証設定画面
- 攻撃等の検知: ログ保管設定、監視ツール導入証明
- インシデントへの対応: インシデント対応手順書、訓練実施記録
- インシデントからの復旧: バックアップ設定、復旧テスト記録
※ 具体的な証跡要件は、評価機関により異なる場合があります。
バージョン履歴
| Version | リリース日 | 変更内容 |
|---|---|---|
| v1.0.0 | 2025-12-20 | 初版リリース。全17問、7カテゴリで構成。経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度 構築方針(案)」(2025年12月26日公表)に基づく。 |
| v1.1.0 | 2026-04-29 | IPA SCS 評価制度サイト・要求事項/評価基準 Excel(2026年4月21日公開)と METI 制度構築方針(2026年3月27日公表)に整合させ、根拠資料を最新の一次情報に更新。 |
※ SCS評価制度の正式公表後、要求事項の変更に応じて診断内容を更新する予定です。
本ページの位置づけ
本ページには五行セキュリティの独自解釈が含まれます
【ご注意】(2026-01-11時点)
本ページは経済産業省が公表した「制度構築方針」(2026年3月27日)および IPA が公開した SCS 評価制度サイト・要求事項/評価基準 Excel(2026年4月21日)に基づいています。
- 要求事項 43 件・評価基準 153 件(★3 81 件・★4 72 件)
- 制度規程・評価ガイドは 2026 年 8 月以降に詳細化される予定です
- 本サービスの診断は公式の評価・取得手続きではありません
- 最新情報は IPA・経産省の公式発表をご確認ください
※SCS評価制度は、企業のセキュリティ対策状況を可視化し、サプライチェーン全体の セキュリティ向上を目的としています。企業の格付けや優劣を決めることが目的ではありません。
詳細は免責事項をご確認ください。
コンテンツ制作
- 執筆: 五行セキュリティ編集チーム
最終更新: 2026-01-11