SCS評価制度のログ要件とは？対応のポイントと管理の進め方を解説

取引先や親会社から、SCS評価制度への対応を求められていないでしょうか。制度の名前は聞いたことがあっても、実務で何をすればよいかは分かりにくいものです。特に迷いやすいのが「ログ要件」への対応です。どのログを、どこまで保存すればよいのか。既存のシステムのログで足りるのか。判断に悩む方は多いでしょう。この記事では、SCS評価制度におけるログ要件の全体像を整理します。併せて、自社で確認すべきポイントと、管理を進める手順も解説します。

SCS評価制度とは？

まずは制度の全体像を確認しましょう。SCS評価制度は、企業のセキュリティ対策を共通の基準で評価する仕組みです。なぜこの制度がつくられたのかも、併せて見ていきます。

SCS評価制度の概要

SCS評価制度の正式名称は「サプライチェーン強化に向けたセキュリティ対策評価制度」です。SCSは、その英語表記の「Supply Chain Security」の頭文字を取った略称です。

この制度は、企業のセキュリティ対策のレベルを「★（星）の数」で示します。中心となるのは★3から★5の3段階です。★3は基礎的な対策、★4は標準的な対策、★5は高度な対策に対応します。

SCS評価制度が制定された背景

この制度の背景には、サプライチェーンを狙った攻撃の増加があります。サプライチェーンとは、一つの製品やサービスが消費者に届くまでに関わる、全ての企業のつながりのことです。例えば自動車なら、部品メーカーが部品を作り、それを組立工場が車に仕上げ、販売店が顧客に売ります。

この一連の企業の連なりがサプライチェーンです。原材料の調達から販売までを「鎖（チェーン）」のようにつないでいることから、こう呼ばれます。

サプライチェーンは企業運営に欠かせない一方で、弱点も抱えています。鎖は、最も弱い輪から切れます。セキュリティの弱い企業が一社でもあれば、そこを起点に、つながった他社まで連鎖的に被害が広がってしまうのです。

実際、攻撃者は対策が手薄な企業を入り口に選び、そこから取引先へ侵入を広げます。専任の担当者を置きにくい中小企業は、その「入り口」として狙われやすく、決して標的の外ではありません。

こうした攻撃は、一社だけの努力では防ぎきれません。取引先全体で対策のレベルをそろえる必要があります。そのために、各企業のセキュリティ対策を共通の基準で「見える化」する制度が生まれました。

SCS評価制度で求められるログ要件とは

SCS評価制度への対応では、ログの扱いが重要なテーマになります。そもそもログとは何で、なぜ評価で重視されるのでしょうか。3つの観点から見ていきましょう。

SCS評価制度でログ管理が重視される理由

ログとは、PCやシステムの動きを記録したデータです。業務用のPCやシステムの操作記録から、いつ、誰が、何をしたかが残ります。

セキュリティ対策では、攻撃を「防ぐ」ことだけが目的ではありません。攻撃に気づき、後から状況を「確認できる」ことも同じく重要です。その確認を支えるのがログです。

SCS評価制度は、こうした「見える化」の考え方を土台にしています。日々の動きを記録し、必要なときに示せる状態が求められます。だからこそ、ログ管理が評価の対象になるのです。

ログ要件は異常検知と事後の調査に関わる

ログは、大きく二つの場面で力を発揮します。一つは異常の検知、もう一つは事後の調査です。

異常検知とは、おかしな動きにいち早く気づくことです。例えば、深夜のログインや、大量のファイル操作が記録されたとします。これらは攻撃の兆候かもしれません。

事後の調査とは、問題が起きた後の原因究明です。ログがあれば、何がどこまで起きたかを追えます。逆にログがなければ、被害の範囲すら分かりません。記録の有無が、対応力を大きく左右します。

ログ管理は取引先への説明にもつながる

ログ管理は、社内のためだけのものではありません。取引先に対する説明の材料にもなります。

SCS評価制度の目的の一つは、サプライチェーン全体のリスクを下げることです。そのため、自社の対策状況を取引先に説明する場面が増えていきます。

「きちんと記録を残し、確認しています」と示せれば、取引先は安心できます。ログ管理は、取引上の信頼を保つための土台ともいえるでしょう。

ログ要件に対応するために確認すべきこと

それでは、自社のログ管理をどう点検すればよいのでしょうか。ここでは、確認すべき四つのポイントを順に見ていきます。

自社で取得しているログを把握する

最初の一歩は、現状の把握です。今、どの機器やサービスでログを取っているかを洗い出しましょう。

ログを取得できる対象は、一つではありません。代表的なものを表に整理します。

対象	取得できるログの例
業務PC	ファイル操作、外部メディアの接続、ログオン記録
ネットワーク機器	通信を許可・遮断した記録
認証サーバ	ログインの成功・失敗の記録
クラウドサービス	操作内容や管理者作業の監査記録

全てを完璧に取る必要はありません。まずは、自社に何があるかを知ることが大切です。

必要なときにログを提示できる体制を整える

ログは、ただ残すだけでは不十分です。肝心なのは、必要な場面で即座に「出力できる」状態にあるかどうかです。

例えば、評価の過程で「先月の特定の操作記録を確認したい」と提示を求められた場面を想定してみてください。その際、迷うことなく該当するログを抽出できるでしょうか。

膨大なログが保存されていたとしても、目的の情報を検索できなければ証跡としての価値は半減してしまいます。求められた記録を、いつでも速やかに示せる運用体制を目指しましょう。

ログの保存期間を確認する

次に確認したいのが、ログの保存期間です。ログは、一定期間が過ぎると消える設定になっていることが多いものです。

例えば、Microsoft 365などのクラウドサービスにも監査ログがあります。ただし、契約プランによって保存できる期間は異なります。初期設定のままだと、思ったより早く消えてしまうこともあります。

問題が発覚するのは、攻撃から時間がたった後というケースも珍しくありません。そのとき記録が残っていなければ、調査はできません。どのログを、どのくらい残すかを決めておきましょう。

証跡として保管できる仕組みにする

最後のポイントは、ログを「証跡」として保てるかどうかです。証跡とは、後から事実を証明できる記録を指します。

ログが簡単に書き換えられる状態では、証跡として弱くなります。誰かが記録を消したり、内容を変えたりできないことが大切です。

改ざんを防ぐ仕組みや、保管場所のルールを整えましょう。信頼できる記録こそが、評価とインシデント調査の両方で役立ちます。

ログ管理が不十分な場合のリスク

ここまでの内容を踏まえ、対策が不十分なままだとどうなるかを考えてみましょう。ログ管理の弱さは、四つのリスクとなって表れます。

不正アクセスに気づくのが遅れる

ログ管理が不十分だと、攻撃の兆候を見逃しやすくなります。深夜や休日の不審なログイン、ふだん使わない端末からのアクセスがあっても、記録がなければそもそも「異常が起きた」という事実に気づけません。

攻撃者は、侵入後すぐに動くとは限りません。むしろ、気づかれないよう数週間から数か月にわたって潜伏し、社内の情報やパスワードを少しずつ集めながら、被害を広げる機会をうかがうことも珍しくありません。発見が遅れるほど、持ち出される情報は増え、被害は深刻になります。ログは、この「気づき」の起点になる記録です。

原因調査や初動対応が難しくなる

万が一インシデントが起きたとき、まず必要になるのが原因の調査です。しかしログがなければ、調査そのものの手がかりがありません。

「どこから侵入されたのか」「いつから被害が始まっていたのか」「どの情報が持ち出されたのか」。これらが分からないと、被害範囲を特定できず、影響を受けた取引先や顧客への連絡もできません。

攻撃者の侵入経路をふさぐ初動対応も後手に回り、結果として被害の拡大を止めにくくなります。逆にログが残っていれば、状況を素早く把握し、的確な対応につなげられます。

取引先からの確認対応が増える

SCS評価制度の認定を取得しても、それで終わりではありません。

取引先から、契約時や定期的な見直しの際に、個別でセキュリティ状況を問われる場面は残ります。「アクセス管理はどうしているか」「操作の記録は取っているか」といった確認です。

ログ管理が整理されていないと、その都度の対応に時間がかかります。質問のたびに担当者が記録を探し回り、必要な情報がすぐ出てこない、という事態にもなりかねません。

反対に、日頃から記録を整理し、すぐ示せる状態にしておけば、確認対応は短時間で済みます。日常の整理が、そのまま対応の負担を左右します。

運用を説明できず評価対応で手戻りが起きる

評価では、「ルールがあるか」だけでなく「実際にできているか」が見られます。規程上は「ログを取得する」と定めていても、実際の運用を具体的に説明できなければ、評価対応でつまずきます。

評価のためにその場しのぎで資料を用意しても、実態が伴わなければ、聞き取りや記録の確認の中で見抜かれます。

不足を指摘されれば、運用の見直しから資料の作り直しまで、やり直しが発生することもあるでしょう。こうした手戻りを防ぐ近道は、評価の直前に慌てて整えるのではなく、日常の運用そのものを整えておくことです。

SCS評価制度に向けたログ管理の進め方

ログ管理を具体的にどう進めればよいのでしょうか。ここでは、四つのステップに分けて手順を紹介します。

対象となるシステムや機器を整理する

最初に、ログを管理すべき対象を整理します。自社にどんなシステムや機器があるかを書き出しましょう。

業務PC、ネットワーク機器、サーバ、クラウドサービスなどが対象です。一覧にすることで、抜け漏れに気づきやすくなります。

現在のログ取得状況を棚卸しする

次に、対象ごとのログ取得状況を棚卸しします。棚卸しとは、現状を一つずつ確認して整理することです。

確認したい項目は、次の四つです。

• 取得状況：ログを取得しているか
• 保存期間：どのくらいの期間残しているか
• 出力可否：必要なときに取り出せるか
• 確認頻度：誰かが定期的に見ているか

これらを表にまとめると、不足している点がひと目で分かります。例えば、次のような棚卸しシートをつくると整理しやすいでしょう。

対象	取得状況	保存期間	出力可否	確認頻度
業務PC	取得あり	90日	可	月1回
認証サーバ	取得あり	30日	可	未実施
クラウドサービス	未確認	未確認	未確認	未実施

このように書き出すと、保存期間が短い箇所や、確認されていない箇所が見えてきます。空欄や「未確認」が、次に手をつけるべき場所です。

不足している対応の優先順位を決める

棚卸しをすると、たいてい不足が見つかります。全てを一度に直すのは現実的ではありません。

そこで、優先順位をつけて取り組みます。リスクの大きいものや、評価で問われやすいものから着手しましょう。例えば、業務情報が集まる業務PCのログは、優先度が高い対象です。

判断のもう一つの軸は、対応にかかる手間です。設定変更だけで済むものと、新たな仕組みの導入が必要なものを分けて考えます。すぐにできる対応から進めれば、着実に前へ進めます。実施スケジュールも併せて決めておくと安心です。

提示できる文書や記録をそろえる

最後に、評価で示すための文書や記録をそろえます。ログそのものだけでなく、運用ルールの文書も必要です。

例えば、ログ管理の手順書や、確認結果の記録などです。「決めたこと」と「実施したこと」の両方を残しておきましょう。これが、評価をスムーズに進める準備になります。

ログ要件対応を進めるときの注意点

ログ管理を進める上で、つまずきやすい点もあります。ここでは、対応中に意識したい四つの注意点を紹介します。

ログを残すだけで安心しない

よくある誤解が「ログを取っていれば大丈夫」という考えです。しかし、取得はゴールではありません。

残したログを確認し、活用してこそ意味があります。保存期間や検索のしやすさ、改ざん対策まで含めて整えましょう。

担当者任せにせず組織で管理する

ログ管理を、特定の担当者だけに任せるのは危険です。その人が異動や退職をすれば、運用が止まってしまいます。何をどう確認していたかが、分からなくなる恐れもあります。

そうならないために、ルールを文書化しておきましょう。確認の手順や頻度を決め、複数人で把握できる形にします。SCS評価制度でも、個人ではなく組織としての取り組みが重視されます。

評価時に確認される証跡を意識する

★4の評価では、実地審査が行われます。これは、評価機関が実際に現場を見て確認する手続きです。

その場では、口頭の説明だけでなく証跡が求められます。日頃から「示せる記録」を意識して残しておきましょう。

取得後も見直せる運用体制をつくる

セキュリティ対策に「これで完成」という終わりはありません。新たな脅威やシステムの変更に応じて、見直しが必要です。

ログ管理も同じです。新しい機器やサービスを導入したら、ログの対象に加えます。脅威の傾向が変われば、確認すべき観点も見直します。

★3は1年ごと、★4は3年ごと（いずれも期間中は毎年の自己評価が必要）の更新が定められており、星には有効期間があります。

期間が過ぎれば、あらためて評価を受ける必要があります。つまり、一度の対応では終わりません。定期的に取得状況を点検し、改善していく。そうした継続できる体制づくりを目指しましょう。

ログ管理を見直し、SCS評価制度への対応力を高める

ここまで、SCS評価制度におけるログ要件の重要性とその進め方を整理してきました。最後に、具体的な第一歩をどのように踏み出すべきかを改めて確認します。

ログ要件への対応において、全ての出発点となるのは「現状の棚卸し」です。自社で何を取得し、どの程度の期間保存し、誰がどのように確認しているのか。この実態を正確に把握することから対策が始まります。

しかし、専任のセキュリティ担当者を置くことが難しい企業にとって、日々の運用そのものが大きな負担となるのも事実です。特に、台数が増え続ける業務PCのログ管理やIT資産の把握は、手作業では限界があります。

こうした課題の解決に役立つのが、必要な機能に絞って導入できるクラウドサービスの活用です。「Watchy（ウォッチー）」は、中小企業が取り組むべき内部統制を低コストで支援するツールです。情報漏洩対策、IT資産管理、労務管理の三つの柱で、企業の守りを固めます。

Watchyを導入すれば、業務PCの操作ログを自動的に取得・保存できるようになります。OSのアップデート状況や不適切なソフトの有無も一元管理できるため、運用の手間は大幅に削減されます。記録はCSV形式で容易に抽出でき、評価時の証跡としてもそのまま活用可能です。

SCS評価制度への対応力を高める鍵は、足元の状況をいかに「見える化」するかにあります。まずは業務PCのログ管理を見直すことから、確かなセキュリティ対策を始めてみてはいかがでしょうか。

Watchy（ウォッチー） - クラウド型IT資産管理・ログ管理ツール