このページの本文へ

【第2回】SCS評価制度★3をEDI視点で整理するコラム:SCS評価制度に備える!EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策

公開日:2026年4月7日

前回は、SCS評価制度の全体像と、なぜEDIが「無関係ではない領域」として見られやすくなるのかを整理しました。SCS評価制度の文脈では、取引の中でセキュリティ対策状況が確認されることが前提になります。
そのため多くの企業にとって最初の関心事は、「結局、まず何をどこまでやればいいのか?」という点ではないでしょうか。

そこで第2回となる本稿で取り上げるのが、★3(最低限実装すべき対策)です。
★3は「高度な対策」を求めるものではありません。むしろ、後続の★4・★5に進むための“土台づくり”に近い位置づけとなります。
それでは、SCS評価制度★3をEDIの運用現場に引き寄せて読み解き、「最低限、何をそろえておくべきか」を整理していきましょう。

  • 本稿の制度内容の整理は、経済産業省が公表している「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」および関連資料を参考に、EDI実務の観点から再構成しています。

この記事の目次

SCS評価制度★3とは何か

制度構築方針(案)における★3は、すべてのサプライチェーン企業が最低限実装すべき対策レベルとして整理されています。EDIの観点で重要なのは、★3が「新しい仕組みを導入すること」を直接求めているわけではない、という点です。
むしろ問われやすいのは、

  • 現状を把握できているか
  • 運用として説明できる状態になっているか

という“整理と見える化”の部分です。

第1回で提示した①~⑥は、★3対応を「何から手を付けるか」に落とすためのチェックポイントです。
ここでは各項目について、★3でまず揃えたい“最低限の到達点”と、第三者に示しやすい“文書・記録”をセットで整理します。

サプライチェーンのセキュリティ水準向上を支援

評価制度に対応する「セキュリティ対策診断サービス」

SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は、経済産業省が検討を進める、サプライチェーン全体のセキュリティ水準向上を目的とした評価制度です。企業のセキュリティ対策状況を共通の基準で可視化し、取引先間で求める対策水準を明確化します。評価は★3~★5の段階で示され、特に取引データの受け渡しや事業継続に直結するEDIは重要な確認ポイントとなります。

キヤノンITSでは、「セキュリティ対策診断サービス」をご提供しています。専任のエンジニアがお客さまのセキュリティ対策状況を詳細にヒアリングし、潜在的なリスクを可視化するソリューションです。セキュリティ対策評価制度の認定レベル(★3/★4)を基準に顧客のセキュリティ対策状況を診断し、現状を可視化したうえで、課題に応じた対策の強化や追加の対策を提案します。

セキュリティ対策診断サービス

6つのチェックポイント

1.脆弱性管理:更新が「運用として回っている」と言えるか

★3の最低限

  • OSやミドルウェアを最新状態に保ち、脆弱性を放置しない方針がある。
  • 「いつ」「誰が」「どの範囲」を更新するかの運用が決まっている。

文書・記録

  • 更新方針
  • 直近の更新記録(例:月次の実施記録、変更履歴の抜粋)
  • 適用できない場合の扱い(例外の理由・期限・代替策)

ポイント:★3では“完全な脆弱性管理プログラム”よりも、放置しない運用があることを示すのが先です。

2.通信の安全確保:暗号化が「管理されている」と言えるか

★3の最低限

  • 通信が適切に暗号化され、盗聴・改ざんのリスクを抑えている。
  • 暗号設定が場当たりでなく、標準として管理されている。

文書・記録

  • 暗号化の方針(適用範囲・例外)
  • 設定の根拠(画面キャプチャや設定一覧の抜粋など)
  • 証明書など期限のある要素の更新手順(担当・期限管理の方法)

3.アクセス管理・認証:「誰が触れるか」を説明できるか

★3の最低限

  • ID/パスワード管理が適切で、許可された人だけがアクセスできる。
  • 権限が必要以上に広がっていない(管理者が増殖していない)

文書・記録

  • アカウント一覧(管理者・運用者・参照者の区分が分かる程度)
  • 権限付与・変更・削除の手順(異動/退職時を含む)
  • 直近の棚卸し結果(年1回でも実施した記録があると望ましい)

4.ログ取得・証跡:ログが「取れる」ではなく「出せる」か

★3で差が出やすいのがログです。ログは“ある”だけでは弱く、必要なときに取り出せることが重要です。

★3の最低限

  • 送受信記録や処理結果、エラー、操作履歴など、追跡に必要なログが取れている。
  • 保管場所・保管期間・参照できる人が決まっている。

文書・記録

  • 「どのログが」「どこに」「どれくらい」残るかの一覧
  • 未着・重複・遅延など、典型的な問い合わせ時の一次切り分け手順

5.事業継続性(BCP):止まったときの“戻し方”が決まっているか

★3の最低限

  • 障害・災害時に業務を止めない/止まっても戻すための方針がある。
  • バックアップ・復旧の考え方(誰が判断し、どう戻すか)が整理されている。

文書・記録

  • バックアップ方針(頻度・保管先・復元手順の所在)
  • 復旧手順(最低限の“手順の入口”があるだけでも良い)
  • 代替手段の考え方(手動処理や連絡テンプレなど、現実的な案)

6.外部委託先の管理:外部サービスが絡む場合の説明材料があるか

制度構築方針(案)では、外部サービス(クラウド等)を利用する場合、責任共有モデルに基づいて利用者側の実装範囲と、提供者側の対策状況の確認が必要、と整理されています。

★3の最低限

  • 外部サービス利用がある場合に、「どこまでが自社で、どこからが提供者側か」が整理されている。
  • 提供者側の対策状況を、何で確認するかの方針がある。

文書・記録

  • 利用している外部サービスの一覧(名称・用途・責任の境界)
  • 提供者の対策状況確認に使う資料(例:公開資料、監査報告、認証等の写し/参照先)

SCS評価制度に向けて、まずはEDIの現状把握から。

EDI‑Master Cloudは、SCS評価制度で求められるEDI運用の整理と説明性向上を支援します。SCS評価制度への備えや、EDIのセキュリティ対策について、自社の状況に合わせて確認したい方は、お気軽にご相談ください。

EDI-Master Cloudについて相談する

★3は「できているか」を確認するための基準

ここまで整理してきた内容を見ると、★3において注目されやすいのは、「特別なツールが導入されているか」や「高度な対策が実施されているか」といった点そのものではありません。
むしろ、

  • 現状を把握できているか
  • 運用として説明できるか
  • 属人化せず、最低限の形になっているか

といった“土台として整っているか”が重視されるテーマだと考えられます。
この土台が十分に整わないまま★4に進もうとすると、第三者評価の段階で、「説明が追いつかない」「運用が人に依存している」といった課題が表面化しやすくなります。

★3対応を進める際の進め方(3ステップ)

ここまでの6点を整理するにあたり、進め方の一例として、次のように段階を分けて取り組む方法があります。

STEP 1現状を6点で棚卸しする

まずは「できている/できていない」よりも、説明の材料(規程・手順・記録)が揃っているか、特定の人に依存していないかといった観点で整理すると、次の手当てが見えやすくなります。

STEP 2文書・記録(最小セット)を揃える

文書は厚く作ることが目的ではありません。どこに何があり、必要なときに提示できるか(所在・更新・参照手順)が分かる形に整えておくと、説明がしやすくなります。

STEP 3障害・インシデント時の初動を決める

  • 異常をどう把握するか(通知の受け口)
  • 影響範囲をどう切り分けるか(どこを見るか)
  • 連絡の順序(社内・取引先)
  • 復旧の判断・手順(再送・代替・復旧基準)

といった初動の要点を決めておくと、対応が属人化しにくくなります。

次回予告:★4になると何が増えるのか

次回(第3回)は、★4(第三者評価)を見据えたときに、確認されやすいポイントと、準備しておきたい根拠(運用記録・ログ・手順)を、今回の6点(①~⑥)の軸で整理します。

SCS評価制度への備えや、EDIのセキュリティ対策について、自社の状況に合わせて確認したい方は、お気軽にご相談ください。

筆者紹介

写真:綿貫 聡

綿貫 聡

2009年、キヤノンITソリューションズ株式会社に入社。
営業として約10年間、自社開発の通信系パッケージ製品の販売・提案を担当。Web会議システム、Webメール、EDI、FAXサーバ、端末エミュレータなど、企業の業務コミュニケーションを支える幅広いソリューションに携わる。2020年よりEDIソリューション事業の商品企画を担当し、クラウド型EDIサービス「EDI-Master Cloud」を企画・立案し、2022年11月にサービスローンチ。現在は事業企画として、EDIを軸とした事業成長戦略の策定やサービス価値の高度化に取り組んでいる。

関連ウェビナーのご案内

【オンラインセミナー】SCS評価制度に備える!EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策  4月23日(木)13:30-14:30

サプライチェーンセキュリティ評価制度に備える!
EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策

経産省が進めるサプライチェーンセキュリティ評価制度(SCS評価制度)への対応が、
取引継続の前提となりつつあります。本セミナーでは、制度のポイントを整理するとともに、
EDIを中心とした企業間通信基盤をどのように見直し、セキュリティ対策と両立させていくべきかを解説。
制度対応の考え方から、EDI・クラウドを活用した実践的なセキュリティ対策まで、現場目線で分かりやすくご紹介します。

開催日時
2026年4月23日(木)13:30~14:30
会場
オンライン
詳細・お申し込み

関連するソリューション・製品

EDI-Master Cloud
通信・変換・ジョブフロー・運用管理機能と各種APIを備え、サーバ不要でEDI機能をクラウド上でご利用いただけるのに加えて、EDI業務運用サービスも提供します。
詳細へ
セキュリティ対策診断サービス セキュリティ対策評価制度対応版
専任のエンジニアがお客さまのセキュリティ対策状況を詳細にヒアリングし、潜在的なリスクを可視化するソリューションです。セキュリティ対策評価制度の認定レベル(★3/★4)を基準に顧客のセキュリティ対策状況を診断し、現状を可視化したうえで、課題に応じた対策の強化や追加の対策を提案します。
詳細へ
EDI資料室コラム一覧へ

EDI 導入のご相談・お問い合わせ

キヤノンITソリューションズ株式会社EDIソリューション営業本部 EDIソリューション事業企画部

ウェブサイトからのお問い合わせ

EDIシステム導入のご相談・お見積

導入、システムの開発、お見積りなどのご相談・お問い合わせを承ります。土日祝日・当社休業日は、翌営業日以降のご連絡とさせていただきます。ご了承ください。