SCS評価制度が示す“運用で守る”発想：定常業務として根付かせる体制確立と人材フレームワークの活用：★の本質――SCS評価制度の裏を読む

SCS評価制度では、セキュリティソリューションの導入などと併せて、「継続的な運用の定着」が強く求められています。★3で8項目、★4でさらに15項目の評価基準において年1回以上の点検・教育訓練の実施・共有が示されていることや、取得した★の有効期間の設計からもその意図が感じ取れます。本稿では、この「継続的な運用の定着」という設計意図を読み解いた上で、運用体制の確立にNCOの人材フレームワーク手引きを活用する方法を紹介します。

[中村 悠，株式会社アイ・ティ・アール]

　前回から「サプライチェーン強化に向けたセキュリティ対策評価制度」（以下、SCS評価制度）の要求事項、評価基準を個別に検証し、それらに込められたメッセージをより具体的に探っています。

　今回取り上げるメッセージは「継続的な運用の定着」です。

　2026年3月に公開された本制度の評価基準では、「年1回以上の頻度で点検すること」と明記された項目を多く確認でき、★3で示された評価基準では、8項目において、年1回以上の頻度での点検などが求められています。以下に、その概要を示します。

★3の評価基準のうち、年1回で点検などが求められている項目（出典：経済産業省の公表資料を基にITRが加工）

　さらに、★4で示されている評価基準では、上記に加えて15項目で同様の記載が確認できます。なお、これらはあくまでも日常的な運用の継続を前提とした棚卸しであり、「年1回だけ対応すれば十分」ではない点に留意が必要です。

　また、本制度ではその有効期間が★3で1年、★4で3年（有効期間内は、年次の自己評価が必須）と設定されています。

　これらの点から、本制度の設計には、セキュリティ運用を定常業務として継続することを国内組織に求めるという考え方が制度全体に通底していることが読み取れます。

　一方で、このようなセキュリティ運用を継続するには、相応の業務負荷が組織に発生することも想定されます。特に、専任担当者を置くことが難しい小規模事業者にとっては、「誰が何をどこまで担うか」を事前に整理しておくことが、継続運用を実現するための重要な前提条件となります。

継続的な運用の定着に向けた体制確立

　継続的な運用の定着に向けた体制確立を目指すには、国家サイバー統括室（NCO：National Cybersecurity Office）が2026年3月に公表した「サイバーセキュリティ人材フレームワーク活用の手引き2026」を活用できます。同手引きはSCS評価制度への対応を想定したモデルケースを含んでおり、体制確立の手がかりとなります。

　本文書は、サイバーセキュリティを担う人材について、職種別の役割とそれぞれに求められるタスク・知識・スキルを体系的に整理したフレームワーク「サイバーセキュリティ人材フレームワーク2026」を実務で活用するための指針としたものです。

　その内、小規模事業者向けの「サイバーセキュリティ人材フレームワーク活用の手引き2026―小規模組織向け―」では、小規模組織向け事項として、以下のような考え方が示されています。

人材フレームワークにて定義された13の役割について、全ての人材を自組織で確保・育成することは現実的ではありません。そのため自組織で最低限責任をもって実施すべき役割と、外部の委託先などと連携し果たす役割を組み合わせながらセキュリティ対策に当たる必要があります。

（出典：国家サイバー統括室「サイバーセキュリティ人材フレームワーク活用の手引き2026―小規模組織向け―」）

　また、この考え方を具体化するために、以下のようなステップが提示されています。

• ステップ（1）自組織で担うべき役割の明確化
• ステップ（2）各自への「タスク」の割り当て
• ステップ（3）必要な「知識・スキル」の自己評価
• ステップ（4）「知識・スキル」の習得方法の決定・実施

　特に、ステップ（1）では、以下の項目を整理することの重要性が示されていることが特徴的です。

• 原則として自組織で担うもの
• 自組織での対応と外部委託を併用するもの
• 原則として外部委託で対応するもの

　こうしたステップを実際に適用する参考として、同文書では以下のような企業をモデルとした想定事例が紹介されています。

• 従業員20人
• 製造業（部品製造）
• 「工場の設備なら慣れているが、PCは苦手」という従業員が多い
• 工場はネットに接続していない
• 取引先から経済産業省の「セキュリティ対策評価制度」への対応を求められているが、どのように対応すればよいか分からない

　この事例では、「デジタルスキルが不十分な人材が自組織に必要なサイバーセキュリティ対策を理解し、その統制ができるようになるには時間を要することから、当面の間は委託可能なものを全て委託し、その間にセキュリティを理解した人材を育成する」といった現実的なアプローチが示されています。

SCS評価制度の普及施策の活用と自組織で担うべき役割の明確化

　「サイバーセキュリティ人材フレームワーク活用の手引き」で言及された外部組織に業務を委託する際は、SCS評価制度の普及施策として位置付けられている「サイバーセキュリティお助け隊サービス」や「中小企業向けサイバーセキュリティ専門家リスト」が活用できます。ただし、その場合も、方針の決定やセキュリティリスクの最終判断、★取得に必要な証跡の管理といった責任は自組織に残ることに注意が必要です。委託先との役割・責任の境界を事前に整理しておくことが、継続運用を確かなものにします。

　このように、自組織で担うべき役割を明確化し、必要に応じて外部組織と連携することで、SCS評価制度への対応の実効性を高められます。また、★取得を契機として、自組織の役割分担を見直すことも、有効な取り組みの一つといえます。

まとめ

　本稿で触れたように、SCS評価制度の評価基準では、多くの項目において継続的な運用が求められています。また、認証の有効期間を★3で1年、★4で3年と設定している点からも、制度設計の背景には、セキュリティ運用を定着させることを国内組織に求めるというメッセージが読み取れます。

　こうした継続的な運用を実現するためには、自組織が担うべき役割を明確にすることが重要なアプローチの一つとなります。国家サイバー統括室が公表した「サイバーセキュリティ人材フレームワーク活用の手引き2026―小規模組織向け―」では、モデルケースとともに具体的な進め方が示されています。このような文書も参考にしながら、自組織の体制を見直していくことが、SCS評価制度の実効性を高める取り組みの一つとなります。

筆者紹介：中村悠（アイ・ティ・アール　アナリスト）

ユーザー企業の情報システム部門および外資系セキュリティベンダーでの実務経験を経て、2023年より現職。情報セキュリティ分野の市場分析を担当し、執筆や講演を通じた啓発活動にも取り組む。CISSP／CEH保有。