SCS評価制度の証跡とは？必要な書類と証跡ファイルの作り方を解説

SCS評価制度は、企業のセキュリティ対策を共通の基準で評価する国の制度です。経済産業省とIPA（独立行政法人情報処理推進機構）が進めています。しかしながら公式の評価基準を読んでも、実務で何を用意すべきかは見えにくいものです。特に分かりにくいのが「証跡」です。この記事では、SCS評価制度における証跡の意味を整理します。併せて、用意すべき書類と、証跡ファイルの作り方も具体的に解説します。

そもそもSCS評価制度の証跡とは何か

SCS評価制度は、企業のセキュリティ対策の状況を国が定めた共通基準で評価し、その水準を★の段階で「見える化」する制度です。取引先は、相手の対策レベルをこの評価で確認できます。そして評価を受ける上で欠かせないのが「証跡」です。

まずは、その「証跡」という言葉の意味を確認しましょう。似た言葉との違いも含めて、三つの観点から整理します。

証跡は対策実施を示す記録

証跡とは、何かを実施したことを示す記録です。読み方は「しょうせき」です。

SCS評価制度の評価では、「ルールを定めているか」だけでなく、その対策が「実際にできているか」が問われます。例えば「ウイルス対策をしています」「アクセス権限を管理しています」と口頭や方針書で示すだけでは、評価上の根拠としては足りません。

評価する側は、その対策が言葉通りに運用されているかを、客観的な事実で確認します。そのとき根拠として求められるのが証跡です。

具体的には、対策の方針を定めた規定、運用の記録、システムが残すログ、対策が有効になっていることを示す設定画面などが、証跡に当たります。

つまりSCS評価制度における証跡とは、自社のセキュリティ対策が「言っているだけ」ではなく「実際に行われている」ことを、第三者に証明するための材料です。証跡がなければ、たとえ適切な対策をしていても、評価の場でそれを示すことができません。

証跡と証憑の違いを理解する

証跡と似た言葉に「証憑（しょうひょう）」があります。混同しやすいため、違いを整理しましょう。

証憑は、取引や事実を裏付ける原本の書類を指します。例えば、請求書や契約書、領収書などです。主に経理や会計の場面で使われます。

一方の証跡は、もっと幅広い記録を指します。対策や手続きが行われた流れを、後から追える記録全般です。SCS評価制度の文脈では、この証跡という言葉が使われます。

監査証跡は操作を追跡できる状態

証跡の中でも、特に重要なのが「監査証跡」です。これは、システム上の操作を時系列で追える記録を指します。

例えば、誰がいつファイルにアクセスしたか。設定をいつ変更したか。こうした操作の履歴が、監査証跡です。

監査証跡の代表例が、ログです。ログが残っていれば、後から操作の流れを確認できます。「いつ・誰が・何をしたか」を追跡できる状態が、評価でも重視されます。

逆に、ログを取得していなければ、操作の事実は証明できません。何かあったときに「分かりません」では、評価でも調査でも困ります。追跡できる状態を保つことが、証跡の基本といえるでしょう。

証跡作成前に整理すること

証跡づくりは、いきなり書類を集める作業ではありません。準備として整理すべきことがあります。四つのポイントを順に見ていきましょう。

取得を目指す評価段階を決める

最初に決めるのは、目指す評価段階です。SCS評価制度には、★3と★4などの段階があります。

★3は基礎的な対策の水準で、専門家が確認する自己評価です。★4は標準的な対策の水準で、外部の評価機関による第三者評価です。

★4の方が、求められる証跡は多く、確認も厳しくなります。まずはどの段階を目指すのかを確認しましょう。目標が定まれば、準備すべき証跡の範囲も見えてきます。

評価対象となる範囲を明確にする

続いて、評価を受ける対象範囲を決定します。組織全体を対象とするのか、あるいは特定の拠点や部署に限定するのかを具体的に定めます。

この範囲設定が不明確な状態では、収集すべき証跡の基準も定まりません。対象となるシステムや拠点をあらかじめ明確化しておくことが不可欠です。

対象を広げすぎると準備の負担が増えます。一方で、取引先が求める範囲はカバーしておく必要があります。自社の実態に合った範囲を見極めて決めましょう。

要求事項と現状の差分を確認する

範囲が決まったら、要求事項と現状を照らし合わせます。要求事項とは、制度が求める対策項目のことです。

項目ごとに、自社の状況を確認します。すでにできていることと、できていないことを仕分けます。この作業を「ギャップ分析」と呼ぶこともあります。

差分が見えれば、何を新たに整えるべきかが分かります。不足している部分が、これから証跡を作る対象になります。

既存の規定や記録を洗い出す

意外と見落としがちなのが、既存資料の活用です。証跡は、全てを新しく作る必要はありません。

社内を見渡すと、証跡の土台になる資料が見つかります。例えば、次のようなものです。

• 規定類：就業規則、IT機器の利用ルール
• 一覧表：PCやソフトウェアの管理リスト
• 記録類：点検の記録、バックアップの履歴
• 契約書：取引先やクラウド事業者との契約

まずは社内にある規定や記録を洗い出しましょう。使えるものを土台にすれば、準備の手間を大きく減らせます。不足分だけを新しく作れば、効率良く進められます。

証跡ファイルに入れる文書

ここからは、証跡ファイルに入れる具体的な文書を見ていきます。代表的な四つの文書を紹介します。

情報セキュリティ基本方針を入れる

最初に必要なのが、情報セキュリティ基本方針です。これは、会社としてのセキュリティへの考え方を示す文書です。

「自社は情報をどう守るのか」という方針を、明文化します。経営層が承認している点も重要になります。

この方針は、全ての対策の土台です。証跡ファイルの最初に置くべき、基本の文書といえるでしょう。

IT資産台帳で管理対象を示す

次に用意したいのが、IT資産台帳です。台帳とは、管理対象を一覧にした記録を指します。

IT資産台帳には、PCやサーバ、ソフトウェアなどを記載します。何を、何台、誰が使っているかを整理します。

管理対象が分からなければ、対策のしようがありません。IT資産台帳は、「守るべき対象を把握している」ことを示す証跡になります。

教育や訓練の実施記録を残す

セキュリティは、仕組みだけでは守れません。従業員一人一人の理解も欠かせません。

そこで必要になるのが、教育や訓練の実施記録です。例えば、研修の開催日、参加者の一覧、使った資料などです。

標的型攻撃メールの訓練を行ったなら、その結果も記録します。「人への対策も実施している」ことを、記録で示しましょう。

委託先管理の記録を整理する

自社だけでなく、委託先の管理も評価の対象です。委託先とは、業務を任せている外部の取引先を指します。

委託先が、セキュリティ上の弱点になることもあります。そのため、委託先をどう管理しているかの記録が求められます。

例えば、委託先との契約書や、確認した結果の記録です。サプライチェーン全体を意識した証跡として整理しましょう。

代表的な四つの文書を表に整理します。

文書	示せること
情報セキュリティ基本方針	会社としての方針と経営層の関与
IT資産台帳	守るべき管理対象の把握
教育・訓練の実施記録	従業員への対策の実施
委託先管理の記録	取引先を含めたリスク管理

証跡ファイルの作り方

文書がそろったら、証跡ファイルとして整理します。ここでは、作成の手順を四つのステップで解説します。

要求事項ごとに証跡をひも付ける

証跡ファイルづくりの中心は「ひも付け」です。要求事項の一つ一つに、対応する証跡を結びつけます。

各項目について、次の四点を確認すると整理しやすいでしょう。

• ルール：対応を定めた規定があるか
• 実施記録：実際に行った記録があるか
• 確認者：内容を確認する担当者がいるか
• 保存場所：記録の保管場所が決まっているか

この四点がそろって、初めて証跡として機能します。項目ごとに表で管理すると、抜け漏れを防げます。

ファイル名と保存場所を統一する

証跡は、作って終わりではありません。「保管・管理」までが評価の対象になります。そこで、ファイル名と保存場所のルールをあらかじめ決めておきましょう。

ファイル名は「要求事項番号＿文書名＿日付」のように統一し、保存先も一つのフォルダにまとめます。ルールがあれば、必要な証跡をすぐに取り出せ、評価の場でもスムーズに提示できます。 

不足している記録を改善につなげる

証跡を整理すると、必ず不足が見つかります。これは、悪いことではありません。

足りない部分は、改善のきっかけになります。「何ができていないか」が分かったということです。

不足を放置せず、改善のメモとして残しましょう。いつ、何を直すかを書いておきます。改善に取り組む姿勢そのものも、評価では前向きに受け止められます。

評価前に提出資料をそろえる

最後に、評価で提出する資料をそろえます。評価では、決まった構成の書類が求められます。

直前になって慌てないよう、早めに準備を始めましょう。提出物の一覧を作り、一つずつ確認します。どの要求事項に、どの証跡が対応するかも整理しておきます。

そろえた資料は、第三者が見て分かる状態にします。自社の説明がなくても伝わるか、という視点で見直しましょう。日付や担当者の記載に抜けがないかも、併せて確認します。

証跡作成で注意すべき点

証跡づくりには、つまずきやすい点があります。形だけの対応にならないよう、四つの注意点を押さえましょう。

証跡を評価直前に集めない

最も避けたいのが、評価直前の駆け込み作業です。慌てて資料を集めても、実態は伴いません。

証跡は、日々の運用の積み重ねです。直前に作った書類は、不自然さが見抜かれやすいものです。

証跡作成は、評価のためだけの作業ではありません。日々のセキュリティ運用を、説明できる形で残す取り組みです。日常の中で、少しずつ残していきましょう。

規定と実態のずれをなくす

よくある不備が、規定と実態のずれです。立派なルールがあっても、守られていなければ意味がありません。

例えば、規定では「月1回点検する」と決めたとします。しかし実際には行われていない、というケースです。

評価では、規定と実態の両方が見られます。書いた通りに運用できているかを、定期的に確認しましょう。

証跡不足による差し戻しを防ぐ

評価では、証跡の不足が指摘されることがあります。指摘されると、対応のやり直しが必要です。

差し戻されやすいのは、記録が曖昧なケースです。日付がない、確認者が不明、内容が不十分などです。

そうした不備は、事前のチェックで防げます。「いつ・誰が・何を」が明確かを、提出前に見直しましょう。

更新できる運用体制をつくる

証跡は、一度作れば終わりではありません。状況の変化に応じて、更新が必要です。

新しい機器を導入したら、台帳を更新します。教育を行ったら、記録を追加します。

SCS評価制度の評価には、有効期間があります。継続的な取り組みが前提です。証跡を無理なく更新できる体制を、整えておきましょう。

証跡を整え、SCS評価制度に説明できる状態をつくる

ここまで、SCS評価制度の証跡について見てきました。最後に、対応への第一歩を整理します。

証跡づくりの土台になるのは、管理対象の把握と日々の記録です。とくにIT資産台帳とログは、多くの要求事項に関わります。まずは、この2つを整えることから始めましょう。

とはいえ、専任の担当者がいない企業では、台帳や記録の維持が負担になります。手作業での更新は、ミスも起こりがちです。

そこで役立つのが、必要な機能だけを選べるクラウドサービスです。「Watchy（ウォッチー）」は、中小企業が最低限行うべき内部統制を、低コストで実現するサービスです。情報漏洩対策、IT資産管理、労務管理の三つを支援します。

Watchyなら、IT資産の情報を自動で収集し、一元管理できます。手作業に頼らず、最新の状態を保てます。業務PCの操作ログも、あわせて記録できます。

証跡を整えることは、評価のためだけではありません。自社のセキュリティを「説明できる状態」にする取り組みです。まずは足元のIT資産とログの可視化から、始めてみてはいかがでしょうか。

Watchy（ウォッチー） - クラウド型IT資産管理・ログ管理ツール