セキュリティ対策評価制度対応版セキュリティ対策診断サービス
取引先から求められる前に、セキュリティ対策評価制度基準で自社セキュリティを整理
2026年度から運用開始予定の「サプライチェーン強化のためのセキュリティ対策評価制度(SCS評価制度)」では、企業は取引先に対して、自社のセキュリティ対策を客観的な根拠をもって説明することが求められます。
本制度で評価されるのは、単に対策を実施しているかどうかではありません。トラブル発生時にも取引を止めずに事業を継続できる体制が整っているかという、企業としての事業継続力そのものが問われます。
本サービスは、SCS評価制度の基準に基づき、専任エンジニアがお客さまのセキュリティ対策状況を第三者視点で診断・評価し、結果を報告書として可視化するサーヒスです。 現状できていること、満たしていない項目、優先的に取り組むべき課題を整理し、「いま何が足りており、次に何をすべきか」が分かる評価報告書を作成します。診断・評価にとどまらず、対策検討、実装、運用まで、お客さまの状況に応じて一貫した支援を行います。
このような課題をお持ちのお客さまは、私たちに、ご相談ください
このような課題を解決
- SCS評価制度への対応が必要だが、何から着手すべきかわからない
- セキュリティ対策状況を、取引先に対して客観的に説明できない
- 評価取得に向けた課題を整理し、対応の優先順位を明確にしたい
- 現在のセキュリティ対策状況を、経営層に分かりやすく説明できない
サプライチェーン強化のためのセキュリティ対策評価制度とは
サプライチェーンを狙ったサイバー攻撃の増加を背景に、経済産業省は2026年度から「サプライチェーン強化のためのセキュリティ対策評価制度(SCS評価制度)」の運用を予定しています。
本制度では、企業のセキュリティ対策状況を共通の基準で評価し、安心して取引を継続できるかを判断できる仕組みを提供します。特に、サプライチェーンの一端を担う企業にとっては、「自社の対策状況を客観的に説明できること」が、今後ますます重要になります。
SCS評価制度は、セキュリティ対策だけでなく「組織の体制」を見ています
たとえば、
- セキュリティ対策は実施しているものの、インシデント発生時に適切な判断ができない
- セキュリティへの対応が現場任せで、運用が継続的に回っていない
といった状態は評価につながりません。
問われるのは、対策の有無ではなく、事業を継続できる体制を組織として構築できているかどうかです。
特長
セキュリティ課題がひと目でわかる、そのまま使える報告書
セキュリティ対策状況をSCS評価制度に準拠したヒアリング項目から可視化し、セキュリティの課題を抽出します。
さらに報告会を通じて、課題に優先順位をつけてわかりやすく解説し、各リスクに対する最善のセキュリティ対策を提案します。診断後の評価報告書は、経営層への報告や意思決定にも活用できる内容です。
主なレポート内容
★3では、SCS評価制度★3に加え、国際基準(NIST CyberSecurity Framework 2.0)に基づいた評価の観点も取り入れています。制度対応にとどまらず、将来を見据えたセキュリティ対策の整理が可能です。
★4では、現状のセキュリティ対策がSCS評価制度★3取得済み相当であることを前提に、★4取得を目指す内容となっています。
| No | 報告項目 | 内容 | ★3 | ★4 |
|---|---|---|---|---|
| 1 | 総合スコア | セキュリティ対策状況をスコア化し、A~E判定で評定します | 〇 | ー |
| 2 | 分野別スコアと総括 | NIST CSF2.0に基づき、対策状況の達成度と対応課題を提示します | 〇 | ー |
| 3 | 達成度 | ★3または★4の分類別/要求事項ごとに対策状況の達成度をグラフ化します 要求項目ごとの達成可否と優先して取り組むべき課題を提示します |
〇 | 〇 |
| 4 | 対策の優先度 | 未達成の項目について対応の優先順位を提示します | 〇 | 〇 |
| 5 | 対策ソリューション | 各課題に対する具体的な対応策、推奨する対策製品を提示します | 〇 | 〇 |
-
※
★3はSCS評価制度(★3)とNIST CSF2.0の2つの観点で報告書を作成します。
-
※
★4はSCS評価制度(★4)の観点で報告書を作成します。
- ★3の評価告書(サンプル)
-
- ★4の評価報告書(サンプル)
-
診断結果をもとに、セキュリティ対策評価制度対応を導入から運用まで一貫支援
診断によって明らかになったセキュリティ課題について、対策の検討から導入、運用・保守までをキヤノンITソリューションズが継続的に支援します。
これにより、SCS評価制度への対応と、実効性のあるセキュリティ対策を無理なく継続できる運用体制を実現します。
専任エンジニアが一貫対応する、対話型セキュリティ診断
本サービスは、専任エンジニアがセキュリティリスクを見える化し、分析と報告書の説明までを一貫して実施します。担当が途中で変わらないからこそ、形式的ではない実態に即した報告と対話を通して、経営層が正しく判断できる結果を提示します。
キヤノンITソリューションズでは大学や業界団体との研究も踏まえた高度な知見を持つ「サイバーセキュリティラボ」を有しています。これまで培った高度な専門知識を活用し、SCS評価制度に即した診断を実施します。
サイバーセキュリティラボとは
-
高度な専門性と国際認証
ラボには、マルウェア解析、スレットハンティング、ペネトレーションテストなど、幅広い分野の専門家が在籍しています。ラボに所属している社員は国内外のセキュリティカンファレンスでの発表や、メディアへの情報提供も積極的に行っており、GIAC(Global Information Assurance Certification)やCISSP(Certified Information Systems Security Professional)などの国際資格を保有するエンジニアも多数在籍しています。技術力と実践力の両面で高い評価を得ているのが特徴です。
-
次世代人材の育成と社会的信頼
ラボは教育機関との連携にも力を入れており、大学向けの講演やセキュリティワークショップの開催を通じて、次世代のセキュリティ人材の育成にも貢献しています。JNSA(日本ネットワークセキュリティ協会)などの外部団体との連携を通じて、業界全体のセキュリティレベル向上にも貢献しています。
-
「知の拠点」としての進化
サイバーセキュリティラボは、単なる技術集団ではなく、企業の安心・安全を支える「知の拠点」として、日々進化を続けています。実務に即した診断力と、継続的な研究活動を通じて、企業のセキュリティ体制の強化に貢献しています。
ご参考価格
ご利用を希望される場合は、お気軽にご相談ください。
| プラン名 | メニュー名 | 価格(税別) |
|---|---|---|
| セキュリティ対策評価制度対応版 | ★3(Basic)診断 | 45万円/回※ |
| ★4(Standard)診断 | 85万円/回※ |
-
※
診断と報告会1回の金額です。利用開始にあたっての初期費用はありません。
サービスの流れ
STEP1お申し込み
- 以下「お問い合わせ」ボタンよりお申込みください。お問い合わせ内容に「導入希望」の記載をお願いいたします。
- サービス利用申込書を送付しますので、必要事項をご記入ください。
STEP2事前確認
- お申し込み後、事前のチェックシートを送付します。チェックはわかる範囲でかまいません。
STEP3ヒアリング実施
- 弊社のヒアリングシートに沿って、専任のエンジニアがセキュリティ対策状況をお伺いします。
STEP4報告会実施
- 評価報告書に沿って、報告会を実施します。
- 発見したセキュリティ課題に対して、対策ソリューションを検討します。導入・運用・保守のご相談も可能です。
-
※
ヒアリング実施には、回答可能なセキュリティ担当者様の出席が必要となります
-
※
ヒアリングから報告会までにかかる時間(目安)としては、★3は1~1.5か月程度、★4は2.5~3か月程度となります
セミナー・イベント
【将来対応を計画している企業向け】セキュリティ対策評価制度、後手に回らないための準備とは~診断サービスで現状を可視化し、優先して進めるべき対策を整理~
2026年度、経済産業省からサプライチェーンのセキュリティ対策強化を目的とした「セキュリティ対策評価制度」が施行される予定です。 本セミナーでは、以下をポイントにセキュリティ対策評価制度対応の準備について解説いたします。
- 取引先対応で高まる制度対応の必要性
- 何から着手すべきか見えない受注企業の課題
- 現状可視化から考える、後手に回らないための準備の進め方
開催日
2026年5月22日(金) 11:00~12:00
会場
オンライン( 全国どこからでもご参加いただけます )
セキュリティ対策評価制度について知る
セキュリティ対策評価制度対応の重要性
- サイバー攻撃で狙われる企業に、規模は関係ありません
-
近年のサイバー攻撃では、大企業だけでなく、取引先や委託先を経由して侵入する「サプライチェーン攻撃」が増加しています。
中小企業は、大企業と取引やシステム連携を行う一方で、セキュリティ対策や体制整備が後回しになりやすく、攻撃の起点として狙われやすい傾向があります。
一社で起きたインシデントが、取引停止や信用低下など、サプライチェーン全体へ波及する可能性があるからこそ、企業の規模に関わらず、セキュリティ対策の「体制」が問われるようになっています。 - セキュリティ対策評価制度は、取引先からの信頼判断に使われます
-
SCS評価制度に未対応でも、直ちに取引停止となるわけではありません。
しかし、新規取引や取引継続の判断時に、セキュリティ対策を十分に説明できているかという点で、不利に見られる可能性があります。
その結果、個別の説明や資料提出が都度求められ、対応の負担が少しずつ積み重なっていきます。
SCS評価制度に基づいて対応することで、取引先に対してセキュリティ対策を客観的な基準で説明できる状態を作ることができます。
★3・★4適用の考え方
以下の判断観点に加え、経済産業省が示している「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」内の「★3・★4適用の考え方(例)」を参考に、ご検討ください。
| 判断の観点 | ★3(Basic) | ★4(Standard) |
|---|---|---|
| 企業規模 | 中小企業 | 中小企業・大企業 |
| 想定される脅威 | 広く認知された脆弱性等を悪用する一般的なサイバー攻撃 | 供給停止等によりサプライチェーンに大きな影響をもたらす企業への攻撃 機密情報等、情報漏えいにより大きな影響をもたらす資産への攻撃 |
| 対策の基本的な考え方 | 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として基礎的な組織対策とシステム防御策を中心に実施(83項目) | サプライチェーン企業等が標準的に目指すべきセキュリティ対策として、組織ガバナンス、取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施(157項目) |
| 事業継続リスク | 停止しても、サプライチェーン全体への業務影響は限定的 | 停止すると取引先の事業継続に影響、供給停止・業務停止につながる |
| 情報管理リスク | 機密性の低い情報のみを扱う 漏えい時の影響は限定的 |
顧客情報・設計情報などを扱う 漏えい時の影響が大きい |
| 評価スキーム | 専門家確認付き自己評価 | 第三者評価 |
| 有効期間 | 1年 | 3年 |
| 維持(年次評価) | 毎年の自己評価による点検 | 毎年、自己評価を実施して評価機関に提出 |
トピックス
-
2026年1月23日 ニュースリリース
セキュリティ対策診断サービスのご相談・お問い合わせ
キヤノンITソリューションズ株式会社 ITマネージドサービス事業部 ITサービス事業企画部