セキュリティ

SCS評価制度★3取得モデルケース3選 ― 製造業30名・SaaS50名・IT保守20名の取り組み事例

#SCS評価制度#ケーススタディ#中小企業#★3取得#事例
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。

「SCS評価制度の制度概要はわかった。でも実際に取得した中小企業がどんな進め方をしているのか、もっと具体的なイメージがほしい」――そんな声が増えています。

本記事では、業種・規模の異なる3社のモデルケースで、★3取得までの取り組みを時系列で解説します。なお、本記事の事例は実在企業ではなく、複数案件の典型パターンを再構成した仮想モデルケースです。具体的な数値や進め方は実際の企業状況により変動しますが、★3取得を検討する中小企業の参考になる構造を意識して構成しています。

ケース1:自動車部品Tier2サプライヤー(製造業30名)

企業プロファイル

  • 業種:金属加工部品メーカー(自動車部品Tier2)
  • 規模:従業員30名、年商8億円
  • 拠点:本社事務所、工場(同一敷地)
  • 主要取引先:Tier1サプライヤー2社、自動車部品商社3社
  • 既存セキュリティ:SECURITY ACTION★1取得済み、ウイルス対策ソフト導入済み、MFA未導入

きっかけ

Tier1サプライヤーのA社から、「自工会・部工会ガイドラインLv2への対応に加え、SCS★3取得を2027年中に検討してほしい」との打診。同時に商社B社からも同様の問い合わせ。

進め方とタイムライン

M-12(取り組み開始)

  • 経営会議で対応方針決定。情シス兼任の総務課長が主担当
  • 情シス365に現状アセスメントを依頼

M-11〜M-9(現状診断とギャップ分析)

  • IT資産棚卸し(PC30台、サーバ2台、複合機3台、UTM1台)
  • M365運用状況の確認(ライセンスは付与済みだがMFA未設定)
  • 委託先リストの整理(外注先5社、保守業者3社)
  • ★3要件26項目に対するギャップ分析:適合8/一部適合10/不適合8

M-8〜M-5(基盤対策の実装)

  • M365全アカウントへのMFA展開(管理者・一般ユーザーすべて)
  • Microsoft Defender for Businessの導入
  • パッチ適用ルールの策定(月次でWindows Update適用)
  • バックアップの3-2-1構成への変更
  • 退職者アカウント無効化フローの整備

M-4〜M-2(規程整備と教育)

  • 情報セキュリティ規程の改訂(既存版を★3要件に合わせて改訂)
  • インシデント対応手順書の作成
  • 委託先管理規程の新設、NDA見直し
  • 全社員向けセキュリティ研修を1回実施
  • フィッシング訓練の実施

M-1〜M(専門家確認と申請)

  • 情シス365のセキュリティ専門家による評価シートレビュー
  • 是正事項3件の対応(パッチ適用記録の整理、委託先評価シートの作成、復旧テストの実施)
  • 経営層レビューと自己宣言書への代表署名
  • 事務局へ申請

結果と効果

  • ★3取得:取り組み開始から13か月で完了
  • 投資総額:約180万円(情シス365のSCS取得支援パッケージ)
  • 副次効果:自工会Lv2対応の証跡が同時に整備され、Tier1への報告がスムーズに
  • ランニング:Security365月額プランで継続運用に移行

学んだこと

  • 自工会対応とSCS対応は重なる部分が多く、規程・記録の共通化で工数を半減できた
  • バックアップから実際に復旧する「復旧テスト」を初めて実施し、想定外の問題を発見できた
  • 委託先のNDA見直しは契約交渉に時間がかかり、早期着手が必要だった

ケース2:医療系SaaSベンダー(IT・SaaS50名)

企業プロファイル

  • 業種:クリニック向け予約・電子カルテ補助SaaS提供
  • 規模:従業員50名、年商5億円
  • 拠点:本社オフィス、リモートワーク併用
  • 主要取引先:医療法人グループ20社、個人クリニック500院
  • 既存セキュリティ:ISMS(ISO 27001)取得済み、3省2ガイドライン対応済み

きっかけ

大学病院系の医療法人C社から「公立病院統合プロジェクトの参加にあたりSCS★4の取得が望ましい」との要請。あわせて、政府調達(地域医療DX推進事業)への参加検討。

進め方とタイムライン

M-9(取り組み開始)

  • 経営会議でSCS★4取得方針を決定
  • 情シス・セキュリティ担当2名を専任化
  • 評価機関リサーチを開始

M-8〜M-6(ISMS/3省2との要求事項マッピング)

  • ISMSの管理策とSCS★4の157基準のマッピング表作成
  • 3省2ガイドラインの要求事項とのマッピング追加
  • 重複対応により★4独自対応が必要な領域を特定(取引先のSCS★取得促進、技術検証への対応)
  • 結果、★4独自対応は約20項目に絞られた

M-5〜M-3(追加対策と模擬監査)

  • ★4独自対応の実装(脆弱性検査の定期化、ログ保管期間の延長)
  • 取引先(クラウドベンダー、SaaS連携先)の評価シート整備
  • 模擬監査(情シス365による事前レビュー)の実施

M-2〜M-1(評価機関への申し込みと書類審査)

  • 医療業界知見のある評価機関を選定
  • 書類審査で指摘事項3件の是正対応

M(実地審査・技術検証)

  • 実地審査2日間(経営層インタビュー、情シス担当ヒアリング、現場確認)
  • 技術検証(脆弱性スキャン、M365テナント診断)
  • 検出された軽微な指摘事項を是正

M+1(最終評価と登録)

  • ★4登録完了

結果と効果

  • ★4取得:取り組み開始から10か月で完了
  • 投資総額:約450万円(情シス365のSCS取得支援+評価機関費用)
  • 副次効果:公立病院統合プロジェクトへの参加機会獲得、政府調達案件の入札参加資格獲得
  • 営業上のメリット:「ISMS+3省2+SCS★4」のトリプル対応で他社差別化

学んだこと

  • ISMS取得済みは★4取得の最大の近道。マッピング表作成で重複対応を排除できた
  • 評価機関の選定は早期に行い、書類審査前に相談しておくべきだった
  • 模擬監査の指摘事項を本審査前に潰しておけたのが大きい

ケース3:IT保守ベンダー(情シス代行20名)

企業プロファイル

  • 業種:中小企業向け情シスアウトソーシング・IT保守
  • 規模:従業員20名、年商3億円
  • 拠点:本社オフィス(フルリモート併用)
  • 主要取引先:中小企業100社(製造業、商社、小売、士業など)
  • 既存セキュリティ:SECURITY ACTION★2取得済み、ISMS未取得

きっかけ

取引先である自動車部品メーカーD社から「弊社がSCS★3を取得するにあたり、貴社(情シス代行先)にもSCS★3取得を求めたい」との要請。同時に、自社の営業強化のため★取得を経営判断。

進め方とタイムライン

M-9(取り組み開始)

  • 経営判断で★3取得方針を決定
  • 代表取締役が直接プロジェクトをリード
  • 情シス365のセキュリティ専門家パートナーシップで取得支援を活用

M-8〜M-6(顧客環境への影響を考慮した対策設計)

  • 自社の対策と「顧客先で運用する対策」を整理
  • 顧客企業のシステムへのアクセス権限管理を強化(特権ID管理)
  • リモート保守時の証跡記録の整備
  • 顧客情報の取扱規程を新設

M-5〜M-3(基盤対策と運用記録)

  • M365テナント高度化(条件付きアクセス、デバイス管理)
  • ログ管理基盤の整備(M365監査ログを1年保管に変更)
  • インシデント対応手順書の改訂
  • 全社員向けセキュリティ教育の実施

M-2〜M-1(専門家確認と申請)

  • セキュリティ専門家による評価シートレビュー
  • 是正事項2件の対応(顧客情報のアクセスログ運用整理、復旧テスト実施)
  • 自己宣言書の作成と代表署名
  • 事務局へ申請

M(登録完了)

  • ★3取得

結果と効果

  • ★3取得:取り組み開始から9か月で完了
  • 投資総額:約120万円
  • 副次効果:D社案件の継続確定、新規顧客への営業強化(「★3取得情シスベンダー」として差別化)
  • ランニング:年次更新を自社で実施、難所はパートナー支援

学んだこと

  • 顧客のシステムへの特権アクセスを持つ立場として、自社の★取得は説得力につながった
  • 既存の「ひとり情シス」運用ノウハウを規程化することで、★3要件の多くがカバーできた
  • 顧客に対しても★取得を促すことで、サプライチェーン全体のセキュリティ底上げに貢献

3社に共通する成功要因

共通点1:早期着手

3社とも、制度の正式運用前から準備を始めています。評価ガイド公表後の駆け込み需要を避けることで、専門家リソースを確保し、丁寧な対応ができました。

共通点2:既存対策の証跡化

ISMS、自工会対応、SECURITY ACTION★2など、既存の取り組みの証跡(記録)を整備することが共通の成功要因。新たに対策を作るよりも、既存の運用を文書化する方が効率的でした。

共通点3:経営層の関与

3社とも、経営層が直接プロジェクトに関与しています。SCS★3の自己宣言書は経営者の署名が必要で、内容把握なしには署名できません。経営層を巻き込んだ進め方が、社内合意形成と意思決定を加速させました。

共通点4:外部支援の活用

中小企業がリソースを限定する中で、外部のセキュリティ支援サービスを活用することで、本業に集中しながら★取得を進められました。

自社のケースに当てはめる

3社のモデルケースから、自社の状況を読み替えるためのチェックポイントは次のとおりです。

  • 既存の認証・取り組み(SECURITY ACTION、ISMS、業界ガイドライン等)は何か?
  • 取引先からの要請の有無、目標★レベルは?
  • 対策実装に投じられる期間と予算は?
  • 社内の主担当を誰にするか?
  • 外部支援を活用するか?

これらが整理できると、自社の取得計画の輪郭が見えてきます。

情シス365による取得支援

情シス365では、業種・規模・既存対策レベルの異なる中小企業に対して、それぞれの状況に応じたSCS★3・★4取得支援を提供しています。

  • 現状アセスメントとギャップ分析
  • 既存認証・既存対策との要求事項マッピング
  • 対策実装と運用記録整備
  • 専門家確認・署名
  • 第三者評価機関対応(★4の場合)
  • 取得後の継続運用(Security365月額)

貴社の状況に合わせた60分無料相談はこちら →

あわせて読みたい

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談