セキュリティ対策評価制度対応支援
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度*)で求められるセキュリティ要件への対応を支援します。
* SCS:Supply Chain Security
こんな課題に
- SCS評価制度における★3・★4を取得したい
- SCS評価制度で求められる要求事項を自社が満たしているのかわからない
- ★3・★4取得のために何から着手したらよいかわからない
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)とは
近年、取引先に影響を及ぼすサイバー攻撃事案の発生により、サプライチェーン全体でのセキュリティ強化が求められています。そこで、発注企業が取引先のセキュリティ状況を把握しようとする動きが広がっています。
しかし、発注企業が取引先のセキュリティ状況を外部から判断することは難しく、独自に確認項目を検討、作成する必要がありました。また、取引先側も複数の企業から内容や粒度の異なる確認項目への対応を求められ、双方に大きな負担が生じていました。
こうした状況を受け、経済産業省はサプライチェーン全体のサイバーセキュリティ対策状況を共通の基準で評価・可視化するための制度として、サプライチェーン強化に向けたセキュリティ対策評価制度の構築を進めています。
評価対象は主に企業のIT基盤(PC、サーバー、ネットワーク、クラウド環境など)で、セキュリティ対策の実施状況を★3・★4・★5の3段階で示します。本制度は、取引先のセキュリティレベルをわかりやすく共有するための仕組みとして位置づけられています。
★3および★4については、2027年3月ごろの制度開始が予定されています。
| 評価区分 | 想定される脅威 | 対策の基本的な考え方 | 評価スキーム |
|---|---|---|---|
| ★3 | ・脆弱性などを悪用する一般的なサイバー攻撃 | 基礎的な対策: 基礎的な組織的対策とシステム防御策を中心に実施 |
専門家の確認付き 自己評価*1 |
| ★4 | ・供給停止や情報漏洩などにより大きな影響をもたらす企業への攻撃 | 標準的な対策: 組織ガバナンス・取引先管理、システム防御・検知、インシデント対応など包括的な対策を実施 |
第三者評価*2 |
| ★5 ※検討中 |
・未知の攻撃など高度なサイバー攻撃 | 高度な対策: 国際規格などにもとづき、自組織に必要な改善プロセスを整備し、現時点でのベストプラクティスの対策を実施 |
第三者評価*2 |
- *1取得希望組織が実施した自己評価を、セキュリティ専門家(情報処理安全確保支援士、公認情報セキュリティ監査人、CISSP(Certified Information Systems Security Professional)、CISM(Certified Information Security Manager)、CISA(Certified Information Systems Auditor)、ISO27001主任審査員のいずれかを保有し、かつ、本評価制度で定める研修を受講した者)が確認・助言したうえで、正式な評価結果として確定
- *2取得希望組織が実施した自己評価を、外部の評価機関が評価し、その結果を正式な評価結果として確定
出典:経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」をもとに作成
日立ソリューションズの
セキュリティ対策評価制度対応支援コンサルティングは、取得をめざす評価レベルの要求事項・評価基準とお客さまのセキュリティ対策状況に対してギャップ分析を実施し、課題を明確にすることで、制度対応に向けてどのように対策していくべきかをお客さまと一緒に検討するコンサルティングサービスです。
特長
-
ギャップ分析のもととなるインタビューシートの作成からヒアリング、分析・報告書作成などを実施します。お客さまの作業負担を抑え、効率的に制度対応を進めることができます。
-
セキュリティ状況の分析、評価から改善案の検討、ソリューションの紹介まで一貫して支援します。
また、各サービス単位でのコンサルティングが可能なため、必要なプロセスだけをお客さまの状況に応じて支援することも可能です。 -
サプライチェーンのセキュリティを含めたさまざまな業種でのコンサルティング経験で培った知見やノウハウを生かして支援します。
サービス内容
本コンサルティングでは、以下のサービスを提供します。
-
認定取得スコープ定義支援
- 要件整理
「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」および「★3・★4要求事項・評価基準」をもとに、どの範囲でどの認定レベルを取得したいかをヒアリング - 要件一覧作成、認定取得レベル決定
ヒアリング内容を踏まえて「認定取得における要件一覧」を作成し、適用範囲および取得をめざす認定レベルを決定
- 要件整理
-
認定取得定義とのギャップ分析
- インタビューシートへの回答記入
「★3・★4要求事項・評価基準」をベースにしたインタビューシートへの記入 - ヒアリング・現地調査
インタビューシートへの回答内容の深堀りのためヒアリングおよび現地調査を実施し、実態に応じてインタビューシートを修正 - ギャップ分析
修正後のインタビューシートをもとに、要求事項・評価基準への対応状況を整理。各項目の数値化・グラフ化により改善が必要な項目を明確化
- インタビューシートへの回答記入
-
改善支援および対策ロードマップ作成
- 改善案の検討
ギャップ分析にて改善が必要と判断された項目について、要求事項を満たせるよう、組織的対策および技術的対策の両面から改善案を検討 - ロードマップ(計画書)検討・作成
改善案の実施に向けたロードマップを作成し、対策を提案
- 改善案の検討
-
認定取得準備作業支援
- ★3・★4取得をめざすお客さま共通
申請書類への記述や評価結果転記などの書類作成支援のほか、不適合時における報告の支援や是正対策の提案 - ★3取得をめざすお客さま向け
最終的な評価結果を踏まえ、自己適合宣言の作成や提出を支援 - ★4取得をめざすお客さま向け
評価機関の選定や審査への対応を支援
- ★3・★4取得をめざすお客さま共通
作業期間
★4取得における作業期間の例です。お客さまの組織規模やセキュリティ対応状況などにより異なります。
詳細はお問い合わせください。
関連ソリューション
XDR:Extended Detection and Response、MDM:Mobile Device Management、CNAPP:Cloud-Native Application Protection Platform、SSPM:SaaS Security Posture Management、ASM:Attack Surface Management、EASM:External Attack Surface Management、IDaaS:Identity as a Service、IGA:Identity Governance and Administration、RDR:Ransomware Detection and Recovery、EPP:Endpoint Protection Platform、EDR:Endpoint Detection and Response、SASE:Secure Access Service Edge、FW:Firewall、UTM:Unified Threat Management、RBI:Remote Browser Isolation
価格
個別見積もり
※本ページの一部は、生成AIにより生成されたコンテンツを使用しています。
