1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@btncon

SCS評価制度の対応費用はいくらかかる?中小企業の予算感

1
Posted at

はじめに

SCS評価制度への対応を検討する際、最初に気になるのが「結局いくらかかるのか」でしょう。実はSCS★3の対応費用は、自社のセキュリティ対策の現状によって20万円から300万円まで大きく幅があります。

本記事では、3つのパターン別に費用をシミュレーションし、コストを抑えるためのポイントも紹介します。

パターン別費用シミュレーション

パターンA:セキュリティ対策がほぼ整っている企業(20〜50万円)

すでにMFA導入済み、パッチ管理を実施中、セキュリティポリシーも策定済みの企業です。ISMSやPマークを取得済みの企業はこのパターンに近い状況です。

必要な作業は対策状況評価シートの記入と、セキュリティ専門家のレビュー・署名のみ。期間は1〜2ヶ月で完了します。

パターンB:一部の対策は実施しているが不足がある企業(50〜150万円)

Microsoft 365やGoogle Workspaceを利用しているが、MFAは管理者のみ、セキュリティポリシーは未策定、インシデント対応手順書もない、という企業です。多くの中小企業がこのパターンに該当します。

必要な作業はMFAの全社展開、セキュリティポリシーの策定、インシデント対応手順書の作成、ログ設定の見直し、評価シートの記入、専門家レビュー。期間は2〜4ヶ月が目安です。

パターンC:セキュリティ対策がほぼゼロの企業(150〜300万円)

IT環境の棚卸しから始める必要がある企業です。

IT環境の全体把握→リスク評価→対策設計→対策実装→ポリシー策定→手順書作成→教育実施→評価シート記入→専門家レビューと、フルコースの対応が必要です。期間は3〜6ヶ月。

費用の内訳

セキュリティ対策の実装費用

  • MFA全社導入:10〜30万円(設定作業費。M365/GWSのライセンスに含まれる場合が多い)
  • アクセス制御設計(条件付きアクセス等):20〜50万円
  • EDR導入設定:10〜20万円(ライセンス費用は月額500〜1,000円/台が別途)
  • パッチ管理体制構築:10〜20万円
  • ログ取得・保存設定:10〜30万円

ドキュメント策定費用

  • セキュリティポリシー策定:10〜30万円
  • インシデント対応手順書作成:5〜15万円
  • 評価シートの記入支援:5〜10万円

専門家レビュー費用

  • レビューのみ:20〜50万円
  • 対策指導+レビューのパッケージ:50〜100万円

年間の継続費用

★3は毎年の更新が想定されています。更新時のレビュー費用は10〜30万円/年。セキュリティ運用の代行を外部に依頼する場合は月額18〜45万円が目安です。

大手コンサルとの比較

大手コンサルティングファームにSCS対応をフル依頼すると300〜500万円以上が相場です。中小企業向けのセキュリティサービスを活用すれば、同等の品質を1/3以下のコストで実現可能です。

「大手に頼んだ方が安心」と思われがちですが、中小企業のIT環境は大企業と根本的に異なります。中小企業の実態を理解した専門家に依頼する方が、実効性の高い対策が期待できます。

コストを抑える5つのポイント

1. クラウドサービスの標準機能を活用する
M365 Business Premiumには、MFA、条件付きアクセス、Defender for Business(EDR)、Intune(デバイス管理)等、★3対応に必要な機能の多くが含まれています。追加ライセンスなしで対応可能な範囲が広いです。

2. テンプレートを活用してドキュメント策定を効率化する
セキュリティポリシーやインシデント対応手順書はIPAのテンプレートを活用すれば、ゼロから書くより大幅に工数を削減できます。

3. 対策実装とレビューをパッケージで依頼する
別々の業者に依頼するとヒアリング工数が二重に発生します。ワンストップで対応できるサービスを選べばトータルコストを抑えられます。

4. SECURITY ACTIONの成果を活用する
二つ星取得済みなら、そこで整備した体制やドキュメントをSCS対応に活用できます。

5. まず自社でできることを進める
MFAの導入、ログの有効化、IT資産台帳の作成など、外部に頼らなくてもできることは先に実施しておけば、外部依頼の範囲が減り費用を抑えられます。

投資対効果の考え方

SCS対応の費用は「コスト」ではなく「投資」として捉えるべきです。

  • 取引先からの信頼獲得 → 新規取引の獲得、既存取引の維持
  • ランサムウェア被害の防止 → 中小企業の被害平均額は数千万円
  • 情報漏洩リスクの低減 → 賠償金と信用失墜の回避

SCS対応に50〜150万円を投資することで、数千万円規模のリスクを低減できると考えれば、十分に合理的な投資です。

まとめ

SCS★3の対応費用は、自社の現状によって20万円から300万円まで幅があります。まずは本記事のパターンA〜Cのどれに自社が該当するかを確認し、概算予算を把握しましょう。「いくらかかるかわからないから手が出せない」のではなく、現状を把握すれば具体的な予算が見えてきます。

筆者: 株式会社BTNコンサルティング 亀田 英佑
中小企業に特化した情シスアウトソーシング「情シス365」を運営。M365/GWS環境の設計・構築50件以上の実績。
https://www.josis365.com

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?