SCS評価制度が示すリスクマネジメントの方向性:データとクラウドサービスへの統制が深めるサプライチェーンの信頼:★の本質――SCS評価制度の裏を読む
SCS評価制度の個別の要求事項を確認すると、複数の主体が関わるビジネスサプライチェーン全体におけるリスクマネジメントの体制構築が、その方向性の一つとして示されています。中でも、データとクラウドサービスへの統制がその要素として示されていることは特筆すべき事項です。本稿では、これらの要素を分析し、★取得を目指す上で活用すべき文書とセキュリティ認証について触れます。
前回は、「サプライチェーン強化に向けたセキュリティ対策評価制度」(以下、SCS評価制度)を全体的に俯瞰(ふかん)し、その制度設計から読み取ることができるメッセージを紹介しました。
今回から数回にわたって、要求事項と評価基準の各項目に注目し、それらに込められたメッセージをより具体的に探っていきます。
要求事項を個別に確認すると、大分類:取引先管理では、★取得を目指す企業に対し、子会社や取引先、利用する外部サービスの管理を求める内容が確認できます。これらの項目から、SCS評価制度における単一の取引関係にとどまらず、複数の主体が関わる多層化したビジネスサプライチェーン全体を俯瞰し、網羅的に統制しようとする意図を読み取ることができます。
特に、国内機関から公表された文書でも言及されているデータガバナンスへの言及、そして、取引先の1つとして、国内企業でも利用が定着しているクラウドサービスの提供事業者が記載されている点には留意すべきです。
取引先管理におけるデータガバナンスの位置付け
「大項目:取引先管理」では、「要求事項2-1:サイバーセキュリティサプライチェーンリスクマネジメント」として以下の項目が示されています。
さらに、取引先管理として注目すべきは、「大分類:攻撃等の防御/要求事項4-3:データセキュリティ」において、データガバナンスを求める要件が示されている点です。
データガバナンスとは、「データを正しく扱うことを確実にする仕組み」を指します。この仕組みを実現するためには、まずは技術的対策の実装が必要です。加えて、経営の重要な情報資産であるデータを戦略的に管理・活用するためのルール整備や責任の明確化、それらを継続的に運用する体制の構築も求められます。日本国内でも、デジタル庁およびIPA(独立行政法人情報処理推進機構)からデータガバナンスに関する文書が公表され、企業の事業継続に直結する課題として注目が集まっています。
| 発行元 | 公表時期 | 文書名 |
|---|---|---|
| デジタル庁 | 2025年6月 | データガバナンス・ガイドライン |
| IPA(情報処理推進機構) | 2025年1月 | 信頼できるパートナーになるためのデータガバナンス読本 |
こうした背景を受け、SCS評価制度においても、データガバナンスに踏み込んだ要件が設けられたと想定されます。つまり、データを自社の重要な情報資産として暗号化やバックアップなどの対策を講じる対象としてだけでなく、ビジネスサプライチェーン上で必要な重要な情報資産として位置付け、その統制を求めていると捉える必要があります。
データガバナンスは、セキュリティの観点で広く取り上げられる機会がこれまであまり多くなかったため、実装方法が明確でないと感じる担当者も多いと耳にします。そのような方々にとって、上述の文書は、データガバナンスの具体的な実装を検討する上で有用な資料となります。
取引先管理におけるクラウドサービスの位置付け
「大項目:攻撃等の防御」では、複数の要求事項/評価基準において、クラウドサービスを単なるITサービス基盤ではなくビジネスサプライチェーン上のリスクマネジメントの対象として位置付けています。
また、「大項目:取引先管理/評価基準 2-1-1-1」の記載において、クラウドサービスの提供事業者を管理すべき取引先の一つとして位置付けている点は、クラウドサービスが強固なビジネスサプライチェーンを構築する上で、その管理対象として重要であることをより明確に示しています。
この項目では、利用しているクラウドサービスを把握するための仕組みを整備することを求めています。その趣旨を踏まえると、クラウドサービスを把握する仕組みの構築だけにとどまらず、クラウドサービスのセキュリティ水準が一定以上であることを確認し、実効性のあるリスクマネジメントを実現すべきと読み取ることができます。
クラウドサービスのセキュリティ水準の確認において、その客観性を高める有効な情報が、クラウドサービスに向けて国内で展開されるセキュリティ認証です。クラウドサービスに関する国内組織で活用されている主な認証制度としては、以下の2つが挙げられます。
クラウドサービスが取得しているセキュリティ認証は、自社が求めるセキュリティ水準を満たしたクラウドサービスを選択する際の判断材料の一つになります。また、クラウドサービスに個人情報を保存する場合には、当該サービスにおけるプライバシーマーク(Pマーク)認証取得の確認も同様に実効性があります。
まとめ
SCS評価制度では、単一の取引先管理の枠組みにとどまらず、複数の主体が関わるビジネスサプライチェーン全体におけるリスクマネジメント体制の構築を目指すために、データとクラウドサービスへの統制がその要求事項/評価基準として組み込まれています。
しかし、データガバナンスやクラウドサービス提供事業者を取引先の一つとして位置付けるという考え方は、取引先管理の文脈でこれまで十分に語られてこなかったため、具体的な進め方が見えにくいという印象を持たれることが多いです。
上述した国内機関から公表されている文書や広く展開されているセキュリティ認証は、取引先管理の実効性を高めるための具体的な手段として位置付けることができます。これらを効果的に活用することで、SCS評価制度の★取得に近づくことができるはずです。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「Windows+R」は絶対に押さないで! 新入社員に贈るセキュリティの新常識5選
学生時代と同じ感覚でPCやSNSを利用していると、気付かないうちに会社を大きなリスクにさらしてしまうかもしれません。特に最近は、不慣れな利用者につけ込んだ、巧妙なサイバー攻撃が急増しています。自分自身と会社を守るために身に付けておくべきセキュリティ対策を紹介します。
サイバー犯罪の被害額は12兆ドル超に 犯罪組織の最新動向が判明
Huntressはサイバー犯罪の実態をまとめた「2026 Cyber Threat Report」を発表した。正規ツールの悪用やClickFixなどの巧妙な手口で組織化するサイバー犯罪の現状を明かした。攻撃者は効率化を優先し、ID窃取や信頼されたプロセスを悪用するという。
ゼロトラストでも防げない? “正規アカウント侵入”の恐怖を解説
昨今のサイバー攻撃は、脆弱性ではなく「アカウント」を起点に静かに侵入する時代に移行しています。気付かないうちに奪われ、売買され、悪用される認証情報の実態と、見過ごされがちなリスクの核心に迫ります。
「言われた通りやっただけ」で詰む時代 iPhone騒動から見るスマホを狙う新たな攻撃線
新年早々「X」を騒がせたiPhoneの“裏ワザ”投稿をきっかけに見えてきたのは、スマートフォンを巡る新たな危うさでした。2026年もスマートフォンを安全に利用するために見落としてはいけない2つの変化を解説しましょう。