5
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@btncon

SCS評価制度 ★3の要求事項を1つずつ解説する

5
Posted at

はじめに

SCS評価制度★3の要求事項は、NIST CSF(サイバーセキュリティフレームワーク)を参考に構成されています。「何をすれば★3が取れるのか」を、6つのカテゴリごとに具体的な対策例とともに解説します。

1. 識別(Identify)

自社のサイバーセキュリティリスクを管理するために、IT環境を把握することが求められます。

資産管理

要求のポイント:自社のIT資産を把握し、管理していること。

具体的な対策例:PC・モバイル端末の台帳作成(端末名、シリアル番号、OS、利用者、導入日)。ソフトウェア・SaaSの一覧管理(サービス名、利用人数、月額費用、契約更新日)。ネットワーク構成図の作成・維持。重要データの特定と分類。

完璧な台帳である必要はありません。まずはExcelやスプレッドシートで管理を始め、運用しながら精度を上げていきましょう。

リスクアセスメント

要求のポイント:自社のセキュリティリスクを特定・評価していること。

具体的な対策例:年1回以上のリスク評価の実施。重要資産に対する脅威と脆弱性の特定。リスク対応方針の策定(受容・回避・低減・移転)。

2. 防御(Protect)

識別したリスクに対して、適切な防御策を講じていることが求められます。

アクセス制御

具体的な対策例:MFA(多要素認証)の全社導入(★3で最も重視される対策の一つ)。最小権限の原則の適用(管理者アカウントは必要最小限に)。退職者のアカウント即時無効化(手順の明文化と確実な実施)。パスワードポリシーの策定・運用。

M365では「セキュリティの既定値群」を有効にするだけでMFAを強制できます。GWSでは管理コンソール→セキュリティ→2段階認証プロセスで設定可能です。

データセキュリティ

具体的な対策例:通信の暗号化(HTTPS/TLS)はクラウドサービスで標準対応。保存データの暗号化(BitLocker/FileVaultの有効化)。バックアップの定期取得(最低でも日次)。バックアップからの復旧テスト(年1回以上推奨)。ファイル共有の外部公開範囲の制限。

セキュリティ教育

具体的な対策例:年1回以上のセキュリティ研修の実施。フィッシングメール訓練の実施(四半期に1回が理想)。セキュリティポリシーの全社員への周知。新入社員向けセキュリティオリエンテーション。

研修は外部の動画サービスや、IPAが無料公開している教材を活用すれば、低コストで実施可能です。

3. 検知(Detect)

セキュリティイベントを適時に検知する仕組みが求められます。

具体的な対策例:監査ログの有効化と保存(M365は90日、GWSは6ヶ月が標準保持期間)。不審なサインイン試行の検知(M365ならEntra IDのリスク検知、GWSならアラートセンター)。マルウェア対策ソフトの導入と定義ファイルの自動更新。可能であればEDRの導入(M365 Business PremiumならDefender for Businessが追加費用なしで利用可能)。セキュリティアラートの定期確認。

4. 対応(Respond)

インシデント発生時に適切に対応できる体制が求められます。

具体的な対策例:インシデント対応手順書の策定(発見→初動→報告→対応→復旧→事後分析の流れ)。連絡体制の明確化(社内のエスカレーション先、外部連絡先としてIPA・警察・顧問弁護士等)。インシデント対応訓練の実施(年1回以上の机上訓練)。証拠保全手順の策定。

手順書は大げさなドキュメントは不要で、A4で1〜2ページ程度にまとめたもので十分です。

5. 復旧(Recover)

インシデントからの復旧計画が求められます。

具体的な対策例:バックアップからの復旧手順書の作成。復旧の優先順位の定義(メール、ファイル共有、業務システムの順番等)。復旧テストの実施(年1回、実際にバックアップからの復旧を試す)。事業継続計画(BCP)との連携。

6. ガバナンス

経営層がセキュリティに関与し、組織的な管理体制があることが求められます。

具体的な対策例:セキュリティポリシーの策定と経営層による承認。セキュリティ投資の予算確保への経営層の関与。定期的なセキュリティ状況の経営層への報告。適合宣言への経営層の署名。

中小企業では「経営層の関与」が形式的になりがちですが、代表取締役がセキュリティポリシーに署名し、年1回のセキュリティ報告を受ける体制を作るだけでもこの要件は満たせます。

★3取得のコツ

  1. 完璧を目指さない:全項目100点ではなく、重要な項目を確実に実施する
  2. 記録を残す:「やっている」だけでなく「やった記録」が必要
  3. 既存の仕組みを活用:M365/GWSの標準機能で対応できる項目が多い
  4. 段階的に進める:一度に全て実施しようとせず、優先度の高い対策から

まとめ

★3の要求事項は「基本的なセキュリティ対策」の実施を求めるものです。一つ一つの要求は高度ではありませんが、「実施し、記録に残し、継続的に運用する」ことが重要です。まずは自社の現状と要求事項のギャップを把握し、優先順位を付けて対応していきましょう。

筆者: 株式会社BTNコンサルティング 亀田 英佑
中小企業に特化した情シスアウトソーシング「情シス365」を運営。M365/GWS環境の設計・構築50件以上の実績。
https://www.josis365.com

5
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?