セキュリティ対策評価制度におけるログ管理とは？評価基準や中小企業の対応方法を解説

取引先から、セキュリティ対策状況の確認を求められた経験はないでしょうか。近年、サプライチェーン経由のサイバー攻撃が増えています。その対策として注目されているのが「セキュリティ対策評価制度」です。ただ、専任の情報システム担当者がいない中小企業では、何から手をつければよいか分かりにくいものです。特にログ管理は、評価対応の土台になる一方で、後回しにされがちです。この記事では、制度におけるログ管理の位置づけを整理します。併せて、中小企業がまず取り組むべきログの種類と、ツール選びの判断基準も解説します。

セキュリティ対策評価制度とは？

まずは制度の全体像を確認しましょう。セキュリティ対策評価制度は、企業のサイバーセキュリティ対策を共通の基準で評価する仕組みです。何のために作られたのかも、併せて見ていきます。

セキュリティ対策評価制度の概要

セキュリティ対策評価制度は、正式には「サプライチェーン強化に向けたセキュリティ対策評価制度」といいます。略してSCS評価制度とも呼ばれます。

経済産業省と内閣官房国家サイバー統括室が、2026年3月に制度構築方針を公表しました。実際の運営はIPA（独立行政法人情報処理推進機構）が担います。

この制度は、企業のセキュリティ対策を客観的に評価する仕組みです。評価結果は、取引先に対策水準を示す材料になります。

参考：「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）を公表しました （METI/経済産業省） 

セキュリティ対策評価制度を導入する目的

この制度の背景には、サプライチェーンを狙った攻撃の増加があります。攻撃者は、対策が手薄な中小企業を入り口に選びます。そこから取引先の大企業へ侵入を広げる手口です。

IPAの「情報セキュリティ10大脅威」でも、サプライチェーン攻撃は上位に挙がっています。もはや一社だけの対策では不十分でしょう。

そこで、各企業の対策水準を共通基準で「見える化」する必要が生まれました。評価制度があれば、取引先は安心して取引できます。中小企業にとっても、対策の到達点が明確になる利点があります。

段階別評価における3つの水準

この制度では、対策水準を段階で示します。SCS評価制度で新設されたのは★3以降です。

★1・★2は既存の自己宣言制度「SECURITY ACTION」に対応するため、本制度の中心は★3から★5の三段階になります。

以下はIPAが公開している基準を、分かりやすくまとめます。

参考：SCS評価制度の詳細情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

★3のセキュリティ基準

★3は、三つの中で最も基本的なレベルです。全ての企業が最低限満たすべき水準とされています。

ここで求められるのは、一般的なサイバー攻撃に対応できる対策です。例えば、ウイルス対策ソフトの導入や、パスワードの適切な管理などが挙げられます。特別に高度な対策ではなく、基礎を固めるイメージです。

評価の仕方は「専門家確認付き自己評価」と呼ばれます。これは、企業が自分でチェックシートに記入する方式です。その上で、セキュリティの専門家が記入内容を確認します。専門家は社内の人でも、社外に依頼しても構いません。

確認する項目（要求事項）は26件とされています。一度取得すると、有効期間は1年です。

なお、★3を取得していなくても★4の申請は可能です。自社の取引状況に応じて、目指す水準を選べます。

★4のセキュリティ基準

★4は、★3より一段上のレベルです。多くの企業が標準的に目指す水準と位置づけられています。

★3が「攻撃をなるべく防ぐ」段階だとすると、★4は「防ぎきれなかった後」まで考えます。万が一侵入されても、被害が社内外に広がらないようにする対策です。併せて取引先のセキュリティ状況を把握する取り組みなども求められます。

評価の仕方は「第三者評価」です。これは、企業の外にある専門の評価機関が審査する方式を指します。書類の確認に加え、実際に現場を見る審査も行われます。さらに「技術検証」として、機器に擬似的な攻撃を試し、弱点がないかを調べます。

★5のセキュリティ基準

★5は、3段階の中で最も高いレベルです。高度なサイバー攻撃にも対応できる体制が想定されています。

特徴は「リスクベース」という考え方です。これは、自社にとって何が危険かを見極め、必要な対策を選んでいく進め方を指します。国際的なセキュリティ規格の考え方も土台になります。

ログ管理がなぜセキュリティ対策に役立つのか

評価制度への対応では、ログ管理が重要な土台になります。なぜログが評価で問われるのでしょうか。三つの観点から見ていきましょう。

ログは攻撃の防御と検知に関係する

ログとは、PCやシステムの操作・通信の記録です。いつ、誰が、何をしたかが残ります。

攻撃を完全に防ぐことは難しいものです。だからこそ、攻撃の兆候を早く「検知」する力が問われます。不審な通信やログイン失敗の記録は、検知の手がかりになります。

セキュリティ対策評価制度の考え方は、防御と検知の両輪を重視します。ログの取得は、その検知を支える基本的な仕組みです。

インシデント時の調査証跡として役立つ

万が一インシデントが起きたとき、まず必要になるのが原因の調査です。しかしログがなければ、調査そのものの手がかりがありません。

「どこから侵入されたのか」「いつから被害が始まっていたのか」「どの情報が持ち出されたのか」。これらが分からないと、被害範囲を特定できず、影響を受けた取引先や顧客への連絡もできません。

攻撃者の侵入経路をふさぐ初動対応も後手に回り、結果として被害の拡大を止めにくくなります。逆にログが残っていれば、状況を素早く把握し、的確な対応につなげられます。

ガイドライン改訂でもログ管理が重視される

IPAは2026年3月、「中小企業の情報セキュリティ対策ガイドライン」を第4.0版に改訂しました。この改訂では、セキュリティ対策評価制度の基本的な考え方が取り込まれています。

つまり、中小企業向けの指針と評価制度は、同じ方向を向いています。日々の記録を残し、説明できる状態にしておくことが求められます。ログ管理は、その両方に共通する基礎といえるでしょう。

中小企業の情報セキュリティ対策ガイドライン第4.0版　説明資料 

中小企業がまず押さえるべきログとIT資産情報

ログとひと口にいっても、種類はさまざまです。すべてを一度に整えるのは現実的ではありません。ここでは、優先的に取得したいログを順番に紹介します。

業務PCの操作ログを取得する

最初に取り組みたいのが、業務PCの操作ログです。ファイルの作成や削除、外部メディアの接続などが記録されます。

PCは、業務情報が最も多く集まる場所です。情報漏洩の多くも、PC上の操作から始まります。まずはPCの操作ログを残すことから始めましょう。

OSやソフトウェア情報を把握する

次に把握したいのが、OSやソフトウェアの状態です。リスクを特定する上で欠かせない情報になります。

OSのアップデートが止まっていると、脆弱性が放置されます。許可していないソフトが入っていれば、それも危険の入り口です。

各PCのバージョンやインストール状況を一覧化しましょう。これにより、対応が必要なPCをすぐに見つけられます。

ログオン状況から利用実態を確認する

ログオンやログオフの記録も重要です。誰が、いつPCを使ったかが分かります。

例えば、深夜や休日に不自然なログオンがあったとします。これは、不正アクセスの兆候かもしれません。利用実態を記録しておけば、こうした異常に気づけます。

サーバーログは別領域として整理する

ログには、業務PCが残すものとは別に、サーバーが残すものもあります。サーバーログとは、個々の業務PCではなく、ファイル共有やメール送受信などを担うサーバーが記録する、アクセス・認証・稼働状況などの記録です。

会社全体の動きが集まるため情報としては重要であり、会社規模が大きくなれば管理は必須です。しかし、サーバーログの扱いには専門知識が必要です。記録される量も多く、何が異常なのかを判断するには、ある程度の知識を持つ担当者がいないと対応しきれません。

サーバーのログは、専任の担当者を置くなど社内の体制が整ってから、段階的に検討すれば十分です。最初から両方を抱え込まず、対象範囲を切り分けることが、無理のない第一歩になります。

ログ管理で防げる情報漏洩リスク

ログ管理は、評価対応のためだけのものではありません。日々の情報漏洩リスクを抑える効果もあります。具体的にどう役立つのかを見ていきましょう。

不審な操作を早期に把握する

ログが不十分だと、攻撃の兆候を見逃しやすくなります。深夜や休日の不審なログイン、ふだん使わない端末からのアクセスがあっても、記録がなければそもそも「異常が起きた」という事実に気づけません。

攻撃者は、侵入後すぐに動くとは限りません。むしろ、気づかれないよう数週間から数か月にわたって潜伏し、社内の情報やパスワードを少しずつ集めながら、被害を広げる機会をうかがうことも珍しくありません。

発見が遅れるほど、持ち出される情報は増え、被害は深刻になります。ログは、この「気づき」の起点になる記録です。

持ち出しや削除の事実を確認する

USBメモリへのコピーや、ファイルの削除も記録されます。万が一の際、「何が持ち出されたか」を事実として確認できます。

USBや外付けディスクなどの外部記憶は、「誰が」「いつ」「何を持ち出したのか」の記録が曖昧になりがちですが、ログがあれば、対応すべき範囲を正確に絞り込めます。

証言に頼らず客観的に判断する

情報漏洩の調査で難しいのは、原因の特定です。関係者の証言だけでは、事実が見えにくいものです。

ログという客観的なデータがあれば、状況を冷静に追えます。「誰が悪いのか」ではなく「何が起きたのか」を確認できます。これは、社内の疑心暗鬼を防ぐ上でも大切でしょう。

従業員を守る証跡として活用する

ログ管理と聞くと、「従業員を監視するのか」「プライベートまで覗かれるのではないか」と懸念する方もいるかもしれません。一人ひとりの操作を記録することに、抵抗を覚えるのは自然なことです。

しかし、記録するのは、業務PC上での業務に関わる操作であって、私的なやりとりの中身を覗くものではありません。

むしろログは、従業員を守る証跡として働きます。例えば情報漏洩が疑われたとき、操作記録が残っていれば「その社員はやっていない」ことの証明になります。記録がなければ、疑いを晴らす材料そのものがありません。

適切なログ管理は、従業員を一方的に縛る仕組みではなく、いざというときに身の潔白を示し、組織全体の信頼を保つための仕組みなのです。

ログ管理ツールを選ぶ判断基準

取得後も、取引先から個別にセキュリティ状況を問われる場面は残ります。その都度すぐ示せる状態にしておくため、ツール選びでは次の3つの観点を押さえておきましょう。

IT資産情報を一元管理できるか

OSやソフトウェアの情報を、まとめて管理できるかも見ましょう。PCごとに手作業で確認するのは、大きな負担です。

一元管理できれば、リスクのあるPCをすぐ特定できます。管理の手間が減り、本来の業務に時間を使えます。

テレワーク状況を可視化できるか

テレワークが広がり、働き方は見えにくくなりました。PCの利用状況を可視化できるかも判断基準になります。

業務の見える化は「監視」とは異なります。客観的なデータがあれば、公正な評価にもつながります。

CSV出力で証跡を残せるか

最後に、記録を外部に出力できるかを確認しましょう。CSV形式でダウンロードできると便利です。

評価では、「ルールがあるか」だけでなく「実際にできているか」が見られます。規程上は「ログを取得する」と定めていても、実際の運用を具体的に説明できなければ、評価対応でつまずきます。

評価のためにその場しのぎで資料を用意しても、実態が伴わなければ、聞き取りや記録の確認の中で見抜かれます。不足を指摘されれば、運用の見直しから資料の作り直しまで、やり直しが発生することもあるでしょう。

こうした手戻りを防ぐ近道は、評価の直前に慌てて整えるのではなく、日常の運用そのものを整えておくことです。

PCログ管理から制度対応の第一歩を始める

PC1台・1機能当たり100円から始められ、最短10分で運用開始できます。PCの操作ログ取得やソフトウェアの把握に対応し、記録はCSVで出力可能。社内サーバーの設置も不要です。

評価制度への対応は、難しく考える必要はありません。まずは業務PCのログとIT資産を可視化し、説明できる記録を残すことが土台になります。とはいえ、専任の担当者がいない企業では運用そのものが課題です。

そこで役立つのが、必要な機能だけを選んで導入・運用できる、クラウド型のIT資産管理・操作ログ管理ツール「Watchy」です。

評価制度への備えは、足元の可視化からです。まずはPCログの取得という小さな一歩を踏み出してみてはいかがでしょうか。

Watchy（ウォッチー） - クラウド型IT資産管理・ログ管理ツール