エムアンドシーシステム株式会社の「取引継続にも影響？ SCS評価制度☆3取得とは」です

近年、企業を狙ったサイバー攻撃はますます巧妙化しています。ニュースなどで大企業の被害を目にする機会も増えましたが、実は攻撃者が狙っているのは大企業だけではありません。最近では、大企業の取引先や関連会社を足掛かりとして侵入を試みる「サプライチェーン攻撃」が大きな問題となっています。そのため、「うちは中小企業だから関係ない」とは言い切れない時代になってきました。

実際に、取引先からセキュリティ対策の状況について確認を求められたり、一定水準以上の対策を取引条件として求められたりするケースも増えています。
こうした背景から注目されているのが、「SCS（サプライチェーン・サイバーセキュリティ）評価制度」です。
この制度は、企業のセキュリティ対策状況を星の数で評価する仕組みで、今後は取引先がセキュリティ体制を確認する際の一つの目安として活用されることが期待されています。

これまでのSCS評価制度は、主に自己宣言による☆1・☆2が中心でした。しかし新たに、より高い水準を求める☆3～☆5の評価区分が設けられています。
その中でも特に注目されているのが☆3です。

今後、大手企業との取引継続や新規取引の場面で、「まずは☆3取得を目指してください」と求められるケースが増えていくと考えられています。
これまでは「セキュリティ対策を行っています」と説明するだけで済んでいたものが、今後は「どのような対策を行っているのか」「継続的に運用できているのか」を客観的に示すことが求められるようになっていきます。

一方で、☆3取得は決して簡単ではありません。
評価対象となる項目は80項目以上あり、情報資産の管理、アクセス権の設定、バックアップ体制、インシデント発生時の対応手順、従業員教育など、幅広い分野への対応が必要になります。
また、これまでのような自己申告だけではなく、第三者による確認や専門家の検証が必要になる点も大きな特徴です。
実際には、

•セキュリティ対策は行っているが文書化できていない
•ルールはあるが運用記録が残っていない
•担当者が他業務と兼任している
•何から手を付ければよいのか分からない

といったケースも少なくありません。
日々の業務をこなしながら対応を進めるとなると、なかなか大変なのが実情です。

こうした負担を軽減する方法の一つが、専門事業者による支援サービスの活用です。
まずは現在の対策状況を確認し、「何ができていて、何が不足しているのか」を整理します。その上で、必要なルール作りや運用方法の見直し、取得に向けた準備を進めていきます。
また、評価取得に必要な資料の準備や申請手続きについても支援を受けられるため、社内担当者の負担軽減にもつながります。
制度の内容を理解しながら、自社に合った形で進めていくためにも、必要に応じて専門家の力を借りることは有効な選択肢の一つと言えるでしょう。

これまでセキュリティ対策というと、「何かあった時のための備え」や「必要経費」というイメージを持たれていたかもしれません。
しかし最近では、適切なセキュリティ対策を行っていること自体が、取引先からの信頼につながる時代になりつつあります。

今後は取引先から対策状況の確認を求められたり、一定の基準を満たすことを求められたりする場面も増えてくるでしょう。SCS評価制度は、その取り組みを客観的に示すための一つの目安になりそうです。
ただ、評価項目は多岐にわたり、制度自体もまだ新しいため、
「何から始めればいいのだろう？」
「自社だけで進められるだろうか？」
と感じる企業も少なくないと思います。

こうした取り組みは、自社だけで抱え込まず、専門家の知見を活用しながら進めていくことも大切です。
当社では、SCS評価制度の取得支援を行う専門事業者をご紹介することも可能です。対応をご検討の際には、お気軽にご相談ください。

備考欄

記事情報