SCS評価制度は、企業のセキュリティ対策を共通の基準で評価する国の制度です。対応にはセキュリティの知識が求められますが、ここで困るのが、社内に専任のIT担当者がいないケースです。総務や管理部が対応を任され、戸惑う企業は少なくありません。公式資料は専門用語が多く、何から始めればよいか見えにくいものです。この記事では、情シスがいない企業に向けて、対応の進め方を解説します。最初に決めることから、社内体制の作り方までを順に整理します。
この記事を読んでる方必見!おすすめ資料
「Watchy」サービス資料
Watchyのサービス概要資料です。
フォームをご記入頂き、ダウンロードしてください。
目次
SCS評価制度対応における情シスの役割
SCS評価制度への対応は、社内のIT業務を担う「情シス」の仕事と深く関わります。しかし中小企業では、その情シスがいないことも少なくありません。
まずは「情シス」とは何かを確認しましょう。情シスが担う仕事を知ると、自社に足りない役割が見えてきます。
情シス(情報システム部門)の役割
情シスとは「情報システム部門」の略称です。社内のITに関する業務を担う部署を指します。
具体的には、PCやネットワークの管理、システムの導入、トラブル対応などです。近年は、セキュリティ対策も情シスの重要な役割になっています。
ただ、多くの中小企業では、専任の情報システム部門を置くのが難しいのが実情です。そのため、一般的には総務や管理部門のスタッフがIT関連の業務を兼務する形で対応しています。
情シスが担う主な業務
情シスの業務は、大きく「攻めのIT」と「守りのIT」の二つに分けられます。違いは次の通りです。
| 観点 | 攻めのIT | 守りのIT |
| 目的 | 業務を効率化し、企業を成長させる | 企業をリスクから守り、安定して運営する |
| 主な取り組み | 新システムの導入、DXの推進、業務の自動化 | IT資産管理、アカウント管理、セキュリティ対策、トラブル対応 |
| 目指す状態 | 「もっと便利に、もっと速く」 | 「止めない、漏らさない、守る」 |
| 対応しないとどうなるか | 競争力が伸び悩む | 情報漏洩や事業停止のリスクが高まる |
| SCS評価制度との関係 | 直接の関わりは小さい | 評価項目と深く関わる中心領域 |
このうちSCS評価制度への対応は、「守りのIT」と深く関わります。
しかし情シスがいない場合、誰かが意識して担わなければ抜け落ちてしまいます。まずは、自社の守りのITが今どうなっているかを振り返ってみましょう。
情シスなしでもSCS評価制度に対応できるか
SCS評価制度の対応に「専任のIT担当者(情シス)がいないと無理では」と不安に感じていないでしょうか。結論から言えば、専任者がいなくても対応は進められます。鍵になるのは、目標を絞り、できる範囲から着実に進めることです。ここでは、その前提となる考え方を整理します。
情シス不在の企業が直面する課題
セキュリティ知識を持った情シスがいない企業は、いくつかの課題に直面します。最も大きいのは、何から手をつければよいか分からないことです。
公式資料は、専門知識を前提に書かれています。用語の意味を調べるだけで、時間がかかってしまいます。
また、対応の全体像が見えにくいのも課題です。ゴールが分からないまま進めると、不安だけが大きくなります。まずは、課題を一つずつ分解して考えることが大切です。
人手の少なさも、見逃せない課題です。通常業務をこなしながらの対応となるため、まとまった時間を取りにくくなります。だからこそ、対応範囲を絞り、優先順位をつけて進める工夫が求められます。
まず★3対応を現実的な目標にする
SCS評価制度は★3から★5までの段階に分かれています。(★5は最も高度な対策を想定した最上位で、内容は現在も具体化が進む段階です)
情シスのない企業では、まずは★3の取得を目標に据えるのが現実的です。
★3は基礎的な対策が求められる水準であり、専門家の確認を伴う自己評価形式で進められるため、第三者評価が必要な★4に比べて対応の負担が抑えられます。
★3と★4の主な相違点は、以下の表の通りです。
| 比較項目 | ★3 | ★4 |
| 対策水準 | 基礎的なレベル | 標準的なレベル |
| 評価手法 | 専門家確認付の自己評価 | 第三者による評価 |
| 対応コスト・労力 | 相対的に軽い | 相対的に重い |
最初から過度に高いハードルを課す必要はありません。まずは取引先が求める要件を精査した上で、確実にクリアできる★3の達成から着手しましょう。段階を追って丁寧に進めることで、情シス不在の組織でも十分に対応が可能です。
取引先へ説明できる状態を目指す
対応のゴールは、認定を取ること自体ではありません。本当のゴールは、自社の対策を「説明できる状態」にすることです。
SCS評価制度は、サプライチェーン全体でリスクを下げる仕組みです。そのため、取引先から対策状況を問われる場面が増えます。
そのとき、根拠を持って説明できれば十分です。完璧な体制でなくても、現状を整理し、示せる状態を目指しましょう。
最初に決めるべき対応方針
ここからは、具体的な進め方に入ります。この段階で行うのは「方針を固めること」です。現状を調べる作業の前に、まず4つのことを決めましょう。
社内の対応責任者を決める
最初に決めるべきは、対応の責任者です。担当者が決まらないまま進めると、対応は前に進みません。
責任者は、IT専門家である必要はありません。経営層、管理部、総務などから選べば十分です。大切なのは、旗振り役を明確にすることです。
併せて、社内の相談窓口も決めておきましょう。誰に聞けばよいかが分かれば、現場も動きやすくなります。
評価対象となる範囲を確認する
次に、評価の対象範囲を確認します。SCS評価制度は、原則として組織全体(IT基盤全体)を対象とする想定です。その上で、自社のどこまでを評価対象とするか(適用範囲)を、取引先が求める範囲や自社の実態に合わせて整理しておきましょう。
範囲が決まらないと、この後の作業も定まりません。どの拠点やシステムを対象にするかを、はっきりさせます。
取引先がどの範囲を求めているかも確認しましょう。実態に合った範囲を、無理なく設定することが大切です。
要求事項と評価基準を確認する
範囲が決まったら、要求事項と評価基準を確認します。要求事項とは、制度が求める対策項目のことです。
★3の要求事項は、基礎的な内容が中心です。項目数も★4より少なく抑えられています。まずは★3の項目に目を通し、全体像をつかみましょう。
専門用語が出てきたら、一つずつ調べます。分からない部分は、後述する外部支援に頼る方法もあります。
自社だけで進める範囲を決める
最後に決めるのは、自社だけで進める範囲です。すべてを社内で抱える必要はありません。
対応には、専門知識が必要な作業もあります。一方で、責任者を決める、現状を棚卸しするなど、社内でできる作業も多くあります。
社内でできることと、外部に頼ることを切り分けましょう。この切り分けが、無理のない進め方の鍵になります。
例えば、要求事項の読み解きや専門的な助言は、外部の支援サービスに頼る方法があります。一方で、現状の棚卸しや社内ルールの整理は、自社で進められます。全てを外注すると費用がかさみ、全てを自社で抱えると行き詰まります。バランスを意識して切り分けることが大切です。
自社のIT管理の現状を把握する
対応方針が固まったら、次は現状の把握です。ここでは、方針の段階で決めた範囲について、自社のIT管理状況を具体的に洗い出します。四つの観点で確認しましょう。
IT資産とクラウド利用を棚卸しする
最初に行うのは、IT資産の棚卸しです。棚卸しとは、現状を一つずつ確認して整理することを指します。
対象になるのは、PC、サーバ、スマートフォンなどの機器です。Microsoft 365のようなクラウドサービスも含みます。
何を、何台、誰が使っているかを一覧にしましょう。守るべき対象が分からなければ、対策のしようがありません。
アカウントや権限の管理状況を確認する
次に確認したいのが、アカウントと権限です。アカウントとは、システムを使うための利用者情報を指します。
例えば、退職した社員のアカウントが残っていないでしょうか。必要以上に強い権限が、付与されていないでしょうか。
こうした管理の甘さは、情報漏洩の入り口になります。誰が、どのアカウントを、どの権限で使っているかを確認しましょう。
セキュリティ規定の有無を確認する
3つ目は、セキュリティ規定の確認です。規定とは、社内のルールを文書化したものを指します。
例えば、パスワードの決め方や、USBメモリの使用ルールなどです。既にある規定は、対応の土台として活用できます。
規定がない場合は、新たに整える必要があります。IPAが公開する中小企業向けのガイドラインも、参考になるでしょう。
対応済みと未対応を切り分ける
最後に、対応済みと未対応を切り分けます。棚卸しで集めた情報を、要求事項と照らし合わせます。
すでにできていることは、証跡として整理します。できていないことは、これからの対応リストに入れます。
この切り分けで、やるべきことが明確になります。チェックリストの形で残すと、進捗も管理しやすくなります。
切り分けの結果は、経営層への報告にも使えます。「ここまでできていて、ここが残っている」と示せば、次の判断につながります。漠然とした不安が、具体的なやることリストに変わるのです。
情シスなしで進める社内体制づくり
対応を続けるには、無理のない体制が欠かせません。ここでは、情シスなしでも回る体制づくりのポイントを見ていきます。
業務範囲を明確にする
まず大切なのは、業務範囲を明確にすることです。「誰が何をするか」があいまいだと、対応は滞ります。
責任者、現場の担当者、経営層それぞれの役割を整理しましょう。担当が重なる部分や、抜けている部分も確認します。
範囲がはっきりすれば、対応はスムーズに進みます。一人に負担が集中する事態も防げるでしょう。
属人化しないよう手順を残す
次に意識したいのが、属人化を防ぐことです。属人化とは、特定の人しか業務が分からない状態を指します。
担当者が一人だけだと、その人の不在で対応が止まります。退職すれば、進め方すら分からなくなる恐れもあります。
そこで、手順をマニュアルとして残しましょう。誰が見ても分かる記録があれば、引き継ぎも安心です。
マニュアルは、最初から完璧でなくてもかまいません。やったことを書き足していけば、少しずつ充実します。手順が残っていれば、SCS評価制度の評価でも「組織として運用している」と示せます。
社員のITリテラシーを高める
セキュリティは、担当者だけの問題ではありません。社員一人一人の意識が、対策の効果を左右します。
ITリテラシーとは、ITを正しく使う知識や判断力のことです。これが低いと、うっかりミスから事故が起きます。
定期的な研修や、注意喚起の機会をつくりましょう。全社で取り組む姿勢が、対応の土台になります。
経営層が判断できる材料をそろえる
最後は、経営層への情報共有です。SCS評価制度への対応には、判断や投資が必要になります。
現状の課題、必要な対応、かかるコストを整理し、経営層に伝えましょう。
経営層が状況を理解していれば、判断は速くなります。サプライチェーンを守る取り組みとして、全社で進められるのです。
SCS評価制度は、取引の継続にも関わる制度です。対応が遅れれば、取引先からの信頼に影響する場合もあります。こうした背景を伝えれば、経営層も「自社の課題」として向き合いやすくなるでしょう。
WatchyでIT資産管理とログ管理を効率化する
ここまで見てきた通り、対応の土台は現状の把握です。とはいえ、手作業での管理は負担が大きいものです。そこで役立つのが、専門知識がなくても使えるクラウドサービスです。
「Watchy(ウォッチー)」は、中小企業が最低限行うべき内部統制を、低コストで実現するサービスです。情報漏洩対策、IT資産管理、労務管理を支援します。
情シスなしでも管理画面で運用しやすい
Watchyの特長は、操作のしやすさです。ITに詳しくない方でも、直感的に使える管理画面が用意されています。
専任の情シスがいない企業でも、設定や運用に困りにくい設計です。対応の担当者が総務や管理部でも、無理なく扱えます。
必要な機能だけを選んで導入できる点も特長です。PC1台・1機能あたり100円から、台数と機能数に応じた契約のため、コストを抑えられます。
PCやデバイス情報を一元管理できる
Watchyのハードウェア資産管理機能を使うと、OSやバージョン、シリアル番号といったPCのハードウェア情報を取得し、管理画面上で一元管理できます。併せてソフトウェア資産管理機能では、各端末にインストールされたソフトウェアの情報も把握できます。
手作業での台帳作りは、手間もミスも多いものです。Watchyなら、IT資産の棚卸しを効率良く進められます。
集めた資産情報はCSV形式でダウンロードでき、社内での共有や過去データとの比較・分析にも活用できます。要求事項への対応を示す資料としても役立ちます。
ログオン・ログオフの記録を確認できる
Watchyには、ログオンとログオフを監視する機能があります。PCのログオン・ログオフのログを取得でき、1カ月ごとにPC稼働時間のレポートも出力できます。
タイムカードやICカードの代わりに、PCの使用履歴を基にした勤怠管理が可能で、テレワーク中の稼働時間の把握にも役立ちます。厚生労働省のガイドラインに沿い、客観的なログデータで労働時間を記録できる点も特長です。
USB利用やファイル操作を監視できる
情報の持ち出しは、USBメモリから起こりがちです。WatchyのUSBドライブ監視機能では、ファイルの作成・削除・名称変更や、USBドライブの着脱に関するログを取得できます。USBの利用自体を制限することも可能です。
アラートを設定すれば、重要なデータの不正利用や情報漏洩を検知でき、不審な操作に気づきやすくなります。
こうした記録は、SCS評価制度で重視される「証跡」にもなります。対策が機能していることを、データで示せるようになります。
Windows Updateの管理を効率化できる
OSの更新は、セキュリティ対策の基本です。更新が遅れると、脆弱性が放置されてしまいます。
Watchyのデバイス更新機能を使えば、Windows Updateの更新状況を簡単に把握し、一括更新や柔軟な管理で脆弱性対策を強化できます。すべてのPCの更新状況を一覧で確認でき、未更新のプログラムがある端末も把握できます。
更新が遅れているPCも一目で分かるため、情シスがいなくても脆弱性への対応を進めやすくなります。
情シスなしでも無理なく進める体制づくりがSCS評価制度対応の第一歩になる
ここまで、情シスなしでのSCS評価制度対応を見てきました。最後に、第一歩を整理します。
責任者を決め、現状を棚卸しし、基本ルールを整えることが、この地道な準備の出発点になります。
専門知識が必要な作業は、外部支援を活用すれば十分です。社内でできることと、外部に頼ることを切り分けましょう。
その上で、IT資産やログの管理には、Watchyのようなサービスが役立ちます。手作業の負担を減らせば、情シスなしでも運用は続けられます。
SCS評価制度への対応は、一歩ずつ進めれば必ず形になります。まずは責任者を決めることから、始めてみてはいかがでしょうか。
Watchy(ウォッチー) - クラウド型IT資産管理・ログ管理ツール
Watchy編集部
従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。
Watchyは、株式会社スタメンが運営するクラウドサービスです。企業のIT情報統制の課題やバックオフィスの課題を、情報システム担当者が手薄な状況でも、Watchyが解決。設定・運用の手間を最小化しながら、押さえるべきポイントを確実に押さえた企業統制の実現を支援します。
【株式会社スタメンについて】 東京証券取引所グロース市場上場。Watchy、TUNAGなど、人と組織の課題解決を実現するSaaSを展開。情報セキュリティマネジメントシステム(ISMS)及びプライバシーマークを取得。

