リソースの制約をどう克服するか？ SCS評価制度に見る「持続可能なセキュリティ」の形：★の本質――SCS評価制度の裏を読む

サプライチェーン全体にセキュリティを求められるなど、セキュリティ対策の重要性が高まる一方、専門人材の不足や実施コストの増大は避けて通れない課題です。SCS評価制度はその現実にどう折り合いを付けたのでしょうか。制度設計の裏側を読み解くと、単なる評価制度では終わらない“もう一つの意図”が浮かび上がります。

[中村 悠，株式会社アイ・ティ・アール]

　前編では、「サプライチェーン強化に向けたセキュリティ対策評価制度」（以下、SCS評価制度）に通底するメッセージの一つである「現状把握の必要性」について詳述しました。

　後編では国内企業にSCS評価制度が実際に適用されることを見据え、検討機関がどのような設計上の工夫をしているのか、すなわち「実現性確保への配慮」という観点から解説します。

理想論では終わらせない　SCS評価制度は地に足のついた仕組みだった

　SCS評価制度における「実効性確保への配慮」は制度設計の随所に確認できます。特に以下の3点が象徴的です。一体どういうことでしょうか。順を追って見ていきましょう。

1. 既存のセキュリティガイドラインとの整合
2. セキュリティ人材の確保
3. セキュリティ対策の実施コスト

1．既存のセキュリティガイドラインとの整合

　SCS評価制度は、以下の既存セキュリティガイドラインとの整合性を意識して設計されています。これによって国内組織がこれまで取り組んできた対策の延長線上で同評価制度に対応でき、既存のガイドラインに準拠している組織にとっては、効率的な設計です。新たな負担を課す制度ではなく、既存の成熟度を可視化することで、その取り組みを生かしながら段階的に移行できる設計思想を示すものと言えるでしょう。

評価基準が参照している各種ガイドライン（出典：経済産業省「★3・★4要求事項案及び評価基準案」）

　ただ、SCS評価制度の適用に際して多くの組織にとって課題となるのが「セキュリティ人材の確保」と「セキュリティ対策の実施コスト」です。同制度は、これらの現実的な課題を踏まえ、実効性を確保しようとしています。

2．セキュリティ人材の確保

　セキュリティ人材については、2025年12月に経済産業省から公表された「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」において、重要性がより明確に位置付けられました。

　同文書には、★3の自己評価に際して、評価結果の確認・助言をするセキュリティ専門家に求められる資格として、情報処理安全確保支援士や公認情報セキュリティ監査人、CISSP、CISM、CISA、ISO27001主任審査員が明記されています。また、パブリックコメントを経て今年3月に公開された文書では、公認情報セキュリティ主任監査人の記載が加わりました。

★3の自己評価時、評価結果の確認や助言をするセキュリティ専門家に求められる資格（出典：経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」）

　求められる資格要件が明確化されたことで、セキュリティ人材を組織内で確保するのか、あるいは外部の専門家に委託するのかといった判断軸も整理されます。この点からも、制度が現場で機能することを意識して設計されていることがうかがえます。さらに、外部専門家の活用を想定し、中小企業向けサイバーセキュリティ対策支援者リストを整備し、企業と専門家をつなぐ仕組みの構築を予定するなどの配慮も同文章では示されています。

　セキュリティ人材を組織内で確保するのか、あるいは外部の専門家に委託するのかといった判断軸を明確に持つことは、SCS評価制度に限らず、組織のセキュリティ対策を検討する上での基本的な考え方です。SCS評価制度では、★3の自己評価に際して、評価結果の確認・助言するセキュリティ専門家に求められる資格を明確に示すことで、その選択肢を整理し得る環境を整備しています。こうした点に、制度の実効性確保に向けた配慮が読み取れます。

3．セキュリティ対策のコスト

　前編でも触れた「サイバーセキュリティお助け隊サービス（新類型）」は、一定の価格要件下で提供されることが明記されています。この点から、費用負担を抑えながら制度活用を促す仕組みとすることで、制度が一部の大企業のみの枠組みにとどまらないよう配慮されていることがうかがえます。

　また、取引元企業の要請に基づいて実施したセキュリティ対策に伴うコストについては、経済産業省と公正取引委員会が連名で見解を公表した「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」の「2 取引先への対策の支援・要請についての考え方」の文脈の中でも触れられています。同文書ではまず、取引元が取引先企業へのセキュリティ対策を要請することに対して、以下のように記載されています。

サプライチェーン全体としてのサイバーセキュリティ対策の強化は、サイバー攻撃による被害によってサプライチェーンが分断され、物資やサービスの安定供給に支障が生じないようにするために重要な取組であり、発注側となる事業者が、取引の相手方に対し、サイバーセキュリティ対策の実施を要請すること自体が直ちに独占禁止法上問題となるものではありません。ただし、要請の方法や内容によっては、独占禁止法上の優越的地位の乱用として問題となることもあるため、注意が必要です。

（経済産業省・公正取引委員会　サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針《案》から引用）

　また、サイバーセキュリティ対策の実施を要請する場合において、優越的地位の乱用として問題となる恐れがある行為や、下請法の規制対象となるものについて、「取引の対価の一方的決定」「セキュリティ対策費の負担の要請」「購入・利用強制」の3点を中心にその考え方を示しています。

　同じく経済産業省と公正取引委員会が公開している「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップ構築促進に向けた想定事例及び解説（概要）」で示された独占禁止法・取適法上「問題とならない」想定事例では、サプライチェーン強化に向けたセキュリティ対策評価制度に基づく対策要請を円滑にし、取引元・取引先企業がパートナーシップを構築してセキュリティ対策と価格交渉を実施し、円満に合意するものとしています。

まとめ

　SCS評価制度は単なる企業評価の仕組みだけでなく、サプライチェーン全体における責任分担やリスク認識の在り方を見直す契機となる政策的枠組みであり、取引元と取引先企業双方の協力の下で定着が期待される制度です。

　本稿では、その定着に向けて検討機関が制度設計に込められたメッセージとして、「現状把握の必要性」と「実現性確保への配慮」という2つの観点から制度を読み解きました。

　制度全体に通底するメッセージを理解し、SCS評価制度を自組織のセキュリティ対策としてどのように位置付けるのか――その視点がこれからのサプライチェーンセキュリティを考える上で重要になっていきます。

　本連載では、次回以降、要求事項／評価基準（案）の個別項目に踏み込みながら、そこから読み取るべきメッセージについて解説していきます。

筆者紹介：中村悠（アイ・ティ・アール　アナリスト）

ユーザー企業の情報システム部門および外資系セキュリティベンダーでの実務経験を経て、2023年より現職。情報セキュリティ分野の市場分析を担当し、執筆や講演を通じた啓蒙活動にも取り組む。CISSP／CEH保有。