重要インフラ × SCS評価制度 ― 14分野の事業者とサプライヤーが押さえる対応関係
SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。
日本では内閣サイバーセキュリティセンター(NISC)が14分野の重要インフラを指定し、各分野でサイバーセキュリティ対策の指針を運用しています。重要インフラ事業者本体は当然として、そのサプライヤー(システムベンダー、保守業者、SaaS事業者)にも要件が継承される構造になっており、中堅・中小のIT事業者が無関係ではいられない領域です。
そこに2027年2〜3月頃の運用開始が予定されているSCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)が加わると、重要インフラ系のサプライチェーンでは「業界指針 × SCS★4/★5」の二重対応が論点になります。本記事では、重要インフラの枠組みとSCS評価制度の関係を整理します。
重要インフラ14分野とは
NISC指定の14分野
NISCの「重要インフラのサイバーセキュリティに係る行動計画」では、次の14分野が指定されています。
- 情報通信
- 金融
- 航空
- 空港
- 鉄道
- 電力
- ガス
- 政府・行政サービス
- 医療
- 水道
- 物流
- 化学
- クレジット
- 石油
各分野ごとに所管省庁・監督機関が業界指針を策定し、事業者に対策の実施を求めています。
重要インフラ事業者の対象範囲
重要インフラ事業者として直接指定されるのは、各分野のいわゆる「大手」が中心です。電力なら電力会社、通信なら大手通信事業者、金融なら銀行・証券・保険会社という具合です。
ただし、これら事業者の情報システムを支えるITベンダー、SaaS事業者、保守業者、データセンター運用事業者などの「サプライヤー」もサイバーセキュリティ要件の対象となります。中堅・中小企業がこの位置づけに該当することが少なくありません。
重要インフラ要件とSCS評価制度の関係
想定される対応関係
NISC指針および各分野の業界指針とSCS評価制度の対応関係は、現時点での想定では次のとおりです。
| SCS評価制度 | 重要インフラ要件 | 主な特徴 |
|---|---|---|
| ★3 | 重要インフラのサプライチェーンに属する中小事業者の最低ライン | 基礎的な対策と体系的管理 |
| ★4 | 重要インフラのサプライヤーに求められる標準水準 | 高度な管理体制と技術検証 |
| ★5 | 重要インフラ事業者本体に求められる水準 | 国際規格相当の管理体制 |
★5は「重要インフラ事業者の到達目標」と位置づけられており、★4は「重要インフラのサプライチェーンに属する企業」が中心ターゲットになる見込みです。
重なる領域
業界指針とSCS評価制度の重なる領域は次のとおりです。
- 情報セキュリティガバナンス
- リスクマネジメント
- アクセス制御・多要素認証
- 暗号化と通信保護
- 監査ログと検知体制
- インシデント対応・BCP
- 委託先・サプライヤー管理
- 物理的セキュリティ
両制度ともNIST CSFをベースとしているため、コンセプトレベルでは共通する管理策が大半です。
異なる領域
異なる領域も明確にあります。
- 業界固有の制御系(OT)対応:電力・ガス・水道・鉄道・化学など制御系(OT・ICS)が前提となる業界では、IEC 62443や業界固有のOT要件が別途必要
- 規制報告義務の有無:重要インフラには重大インシデントの規制当局への報告義務がある/SCSは事務局への通知が中心
- 業界横断と業界縦断:SCSは業界横断の基準/重要インフラ業界指針は業界縦断の特化要件
- 第三者評価:重要インフラはISMS/ISMS-P/業界固有監査などが運用/SCS★4は専用の第三者評価スキーム
業界別の対応の特徴
電力・ガス・水道(インフラ運営事業者)
エネルギー・水インフラは制御系(OT)への対策が中核です。電力分野では「電力制御システムセキュリティガイドライン」、ガス分野では「ガス事業者のサイバーセキュリティ対策ガイドライン」など業界指針が運用されています。SCS★5は「重要インフラ事業者の到達目標」として位置づけられる見込みで、★5取得が中長期の目標となります。
通信(情報通信事業者)
通信事業者は電気通信事業法に基づくセキュリティ要件と、業界指針の二重構造です。SCS★4・★5への対応は、政府調達や大手企業との取引拡大における信頼性向上に直結します。
金融
金融分野は金融庁の「金融分野におけるサイバーセキュリティ強化に向けた取組方針」、FISCの「金融機関等コンピュータシステムの安全対策基準」などが体系的に運用されており、最も対策の整備が進んだ分野です。SCS★4・★5への対応は、既存の金融業界対応の延長線上で実装可能なケースが多くなります。
航空・空港・鉄道(交通)
交通分野は安全管理が伝統的に厳格で、サイバーセキュリティも安全管理の一環として運用されています。OT環境(運行管理、信号制御、空港管制)への対策が中核となるため、IEC 62443等のOTセキュリティ規格への対応がSCS対応と並行して必要です。
政府・行政サービス
政府機関・自治体は、政府統一基準群、地方公共団体情報セキュリティ対策ガイドラインへの対応が中心です。SCS★4・★5は政府調達基準への組み込みが見込まれており、関連事業者への要求が拡大する見込みです(政府調達ロードマップ参照)。
医療
医療分野は3省2ガイドラインへの対応が中心です。SCSとの関係は3省2ガイドライン × SCS評価制度で詳しく解説しています。
重要インフラサプライヤー(中堅・中小ベンダー)の対応戦略
戦略1:SCS★4を「業界横断の証明書」として活用
業界指針(電力、金融、医療など)への対応は業界ごとに異なりますが、SCS★4は業界横断の標準セキュリティ評価として機能します。複数業界の重要インフラに納入するベンダーにとって、SCS★4は「どの業界の事業者にもセキュリティ対策の標準を満たしていることを示せる」ツールとして使えます。
戦略2:業界指針対応の上にSCSを積み上げる
すでに特定業界の業界指針に対応している企業は、その実装をSCSの証跡として流用することで、SCS取得の負担を軽減できます。情報セキュリティ規程の管理策マッピング表を作り、複数制度の要求を1つの実装でカバーする構造を作ります。
戦略3:OT環境を含む対策の設計
電力・ガス・水道・交通・化学など制御系を含む業界のサプライヤーは、SCS★4の「ネットワークセグメンテーション」「アクセス制御」「マルウェア対策」要件をOT環境にも適用する設計が必要です。OTとITの境界、産業用ファイアウォール、リモート保守接続などの対策を整理します。
重要インフラ業界の中小企業
中小ベンダーが直面する現実
重要インフラ業界の大手企業との取引を持つ中小ベンダーは、突然「SCS★4を取得してほしい」「業界指針への対応を示してほしい」と要請されるケースが急増しています。SCS★3の早期取得がセーフティネットとして機能し、★4へのステップアップを段階的に進めるのが現実的です。
政府調達への組み込みの影響
政府調達でSCS★4以上が要件化されると、政府機関を顧客とする重要インフラサプライヤーには取得が事実上必須化します。詳細は政府調達ロードマップ × SCS評価制度を参照ください。
情シス365による重要インフラ系支援
情シス365では、重要インフラ業界のサプライヤーとなる中堅・中小事業者向けに次の支援を提供しています。
- 業界指針とSCS★4・★5の管理策マッピング作成
- IT/OT環境の境界設計と対策実装
- 業界横断のセキュリティ基盤(M365高度化、ログ管理、EDR)の構築
- 規程・運用記録の整備
- 専門家確認・第三者評価機関対応の伴走
重要インフラ系のSCS対応に関する60分無料相談はこちら →