新しいシリーズ「中小企業のためのSCS評価制度ガイド」を始めます。 これから全19回にわたって、国が始める新しいセキュリティの評価制度「SCS評価制度」を、専門用語をできるだけ避けてやさしく解説していきます。初回の今回は、まず全体像をつかみましょう。
■ SCS評価制度とは
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は、経済産業省が中心となって創設する、企業のサイバーセキュリティ対策の状況を国が定めた共通のものさしで評価・”見える化”する制度です。
これまで各企業のセキュリティ対策は「やっているつもり」「どこまでやれば十分か分からない」という状態になりがちでした。SCS評価制度は、その対策レベルを★(スター)の段階で客観的に示せるようにする仕組みです。取引先に対して「当社はここまで対策しています」と一目で伝えられるようになります。
■ なぜ中小企業に関係するのか
「うちは小さい会社だから狙われない」と思われがちですが、実際は逆です。近年は、対策の強固な大企業を直接狙うのではなく、取引先である中小企業を”入口”にして本命へ侵入する攻撃が主流になっています。
そのため、これからは大企業や元請けが取引先に対して「SCS評価制度で一定の★を取得していること」を取引条件として求めてくる流れが予想されます。評価制度への対応が、取引を続けるための”パスポート”になり得るということです。
■ 多くの企業がまず目指すのは「★3」
SCS評価制度は★1〜★5の段階がありますが、多くの中小企業がまず目標にするのは★3です。本シリーズも、この★3の取得を見据えた内容を中心にお届けします。★3で何が求められるのか、どう準備すればよいのかを、回を追って具体的に積み上げていきます。
■ このシリーズの進め方
- 第1〜5回:制度の全体像・背景・★の違い・スケジュール・評価の土台を理解する
- 第6〜17回:実際に取り組むべきポイントを分類ごとに解説する
- 第18〜19回:自社で点検し、申請に向けて準備する
次回(第2回)は、「なぜ今この制度が必要になったのか」――背景にあるサプライチェーン攻撃の脅威について解説します。
セキュリティ対策にお悩みの方は、ヨドックまでお気軽にご相談ください。