★を取得しなければ取引ができなくなる!?　
「セキュリティ対策評価制度」を解説

　SCS評価制度はNIST CSF（米国国立標準技術研究所のサイバーセキュリティフレームワーク）をベースとする評価軸による「★3〜★5」の星付けモデルが採用される。各★の要求事項の詳細はインターネットで公表されているのでここでは説明を省くが、概要として★3は「全てのサプライチェーン企業が最低限満たすべき水準」と位置付けており、専門家による確認済みの自己評価によって取得できる。

　★4は「標準的に目指す水準」と位置付けられており、第三者評価（技術検証を含む）によって取得する。さらに★5は「到達目標（高度・リスクベース）」と位置付けられており、サプライチェーン企業におけるセキュリティ対策の理想的な環境となる。★5は第三者評価によって取得することになるが、具体的な評価方法や実施時期は現在検討中だ。

　ちなみに★1と★2は既存の「SECURITY ACTION」を位置付けている。SECURITY ACTIONとは中小企業が自らセキュリティ対策に取り組むことを「自己宣言」する情報処理推進機構（IPA）によるSCS評価制度とは別の制度で、セキュリティ対策のレベルに応じて一つ星★と二つ星★★を取得・掲示できる。

　★の取得に要求される具体的な事項について、★3および★4を取得するのは技術的に難しいことなのか、あるいはコスト負担が大きいのか、中小企業が対応するのは難しいのではないのか、などの不安を感じることだろう。また評価対象となるのはサプライチェーンを構成する企業なのかも気になるところだろう。

　まずSCS評価制度の対象となる企業について「サプライチェーン企業（2社間の契約における受注者側）」をセキュリティ対策の実施主体として想定している。経済産業省の大久保氏は「サプライチェーン上ではなくても2社間の取引において、発注者が受注者に（SCS評価制度の）★3あるいは★4の取得を取引の条件とすることができます」と説明する。

　ちなみに受注者が発注者の仕事を外注先へ委託する場合は、元請けとの契約内容に応じて、受注者がその外注先に★の取得を要求することになる。

　既存の2社間の取引において発注者が★の取得を条件とした場合、受注者は★を取得するまで取引が停止してしまう、あるいは取引が終了してしまうのではないかという不安がある。

　この不安に対して大久保氏は「SCS評価制度が開始された時点で、誰も★は取っていません。また発注者が★の取得を取引の条件にする場合、受注者は★の取得に伴ってセキュリティ対策に投資する間接経費を、発注者に納める製品やサービスに計上する可能性があるため、発注者にも負担がかかります。ですから2社間で協議して適切な要求で対応していただくようお願いしています。もしもSCS評価制度を巡って不適切な要求を強いられた場合は、公正取引委員会の相談窓口や中小企業庁の委託事業の「取引かけこみ寺（旧：下請かけこみ寺）」などを用意しています」と説明する。

　また発注者が取引条件において★3か★4の取得を指定することができるが、中小企業にとってレベルの高い★の取得は負担となる。そこでSCS評価制度では発注者が要求する★のレベルの適用の考え方が今年3月4日に公表された「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」の資料に示されている。別掲図の通り、一例として事業継続リスクと情報管理リスクの二つの要件で判断することを示している。

　大久保氏は「★のレベルの適用について考え方を示していますが、むやみに高いレベルを要求すると受発注者双方の負担が大きくなりますので、あくまでもその必要性を十分検討した上で、2社間での協議を踏まえて適正に対応してください」と強調する。

　SCS評価制度が開始されると、金融やエネルギー、ICT基盤、防衛等の重要インフラ事業における取引では★4あるいは★5が求められると考えられるが、一般的な取引においては★3の取得が求められるケースが多いとみられる。ではセキュリティ対策が不十分な中小企業が★3を取得するのは現実的なのだろうか。

　大久保氏は「昨年4月から11月にわたって★3と★4の取得を想定した実証を、中小企業を含めて実施し、評価項目の適正さや中小企業への対応の負担、技術検証の実務負荷などを検証しました」と説明する。

　さらに「実証の結果を踏まえて要求事項の再検討や★3および★4の合格基準の明示などを行い、これらを公表してパブリックコメント（意見公募）も実施しました」と説明を続ける。3月4日に公表された「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」はパブリックコメントに寄せられた意見が反映されている。

　また★3および★4を取得しやすくするための国認定の支援パッケージ「サイバーセキュリティお助け隊（新類型）」が、IPAが認定した民間事業者からSCS評価制度の開始と同時に提供される。さらに年内にはサイバーセキュリティお助け隊（新類型）の実証事業が開始される予定だ。実証事業に参加すれば無料で★の取得に必要な項目に関して対策の支援を受けることができるという。ただしSCS評価制度の実施前であり実証であるため、SCS評価制度がスタートするまでは★の取得はできない。なお制度開始と同時に★の申請が可能となる。

　現在、SCS評価制度の実施に向けて、特に需要の多い★3の取得が円滑に進む環境と仕組みづくりが進められている。

　★3の取得方法はSCS評価制度で定める★3の要求項目について企業自身でチェックリストに記入し、それをSCS評価制度認定の「セキュリティ専門家」が確認してIPA（内の事務局）に提出する。IPAにて書類の内容の確認等を経て★3が認められる流れとなる。

　SCS評価制度のセキュリティ専門家の資格は、情報処理安全確保支援士（登録セキスペ）やISC2が認定するCISSP（Certified Information Systems Security Professional）等の資格を保有した人が、制度が定めた研修を受けることで取得できる。

　さらにセキュリティ専門家を補佐する役割を担う作業従事者も用意される。作業従事者は企業から提出されたチェックリストの確認をセキュリティ専門家の監督の元で代行でき、セキュリティ専門家によってIPAに確認済みのチェックリストを提出する。作業従事者の資格に資格要件はなく、研修を経て取得できる予定だ。

　セキュリティ人材が不足する中で、作業従事者を置くことでSCS評価制度における★3の認定業務を滞りなく進めるようにするとともに、作業従事者をセキュリティ専門家に育成してセキュリティ人材を増やす目的もあるという。

　★3および★4の取得支援およびそれと絡めたセキュリティ製品やサービスの販売、セキュリティ専門家やその作業従事者を自社で育成して、顧客の★3の取得に携わるなど、SCS評価制度によるビジネスチャンスの広がりも期待できそうだ。

　SCS評価制度は新たな規制ではなく、企業間取引に安全などの多くのメリットをもたらす制度だと大久保氏は主張する。発注者においては取引先に求めるセキュリティ対策の内容や水準の決定、および実施状況の把握が容易かつ適切になり、サプライチェーンに起因する自社のセキュリティリスクを低減できる。

　また受注者においては自社がどの程度のセキュリティ対策を実施するべきかが明確になること、発注者に対してセキュリティ対策に関する説明が容易になること、対策に要する費用や効果の可視化ができること、セキュリティサービスの標準化による選択肢の拡大や中長期的にコスト低減が期待できることなどのさまざまなメリットが挙げられる。

　さらに社会全体においてはサプライチェーン全体でのセキュリティ強度の底上げを通じた経済・社会全体のサイバーレジリエンスの強化が図れ、サイバー攻撃への備えのある企業等への適切な評価やセキュリティ製品やサービスの市場拡大および中長期的に競争力向上が期待できる。

　SCS評価制度の展望について大久保氏は「現在、セキュリティに関するチェックリストが乱立しており、どれに従えばいいのか分かりづらい状況があります。取引の状況によっては要求事項が異なる複数のチェックリストに対応しなければならないケースもあり、企業の負担になっています。SCS評価制度をさまざまな業界において共通の基準として活用いただけるよう、また業界として足りない要求事項があれば必要に応じて独自の基準を加えるなどして活用していただけるよう、各業界への働きかけを行っています。また国の検討会（SWG：サブワーキンググループ）では、地方の金融機関と連携して全国の企業に普及させる取り組みも、民間企業主体で進められているなどの報告がありました」と説明した。