インシデント発生時のSCS評価への影響と対応 ― 報告義務・証跡保全・登録維持の実務【2026年版】
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)★3を取得した中小企業から、最も多く受ける継続支援の相談が「インシデントが起きたらどうなるのか」です。
ランサムウェア感染、クレデンシャル漏洩、なりすましメール、内部不正――いずれもSCS評価制度の前提を揺るがす事象です。発生時の対応次第で、登録抹消されるか・維持されるか・取引先からの信頼を保てるかが分かれます。
本記事では、★3取得後のインシデント発生時に、SCS評価制度に関連して取るべき対応を、報告義務・証跡保全・評価項目見直し・取引先説明の4軸で整理します。
SCS評価制度の前提とインシデントの関係
★3取得は「評価項目を充足する体制を持っている」ことを自己宣言した状態です。インシデントが発生した時、以下の問いが立ちます。
- 評価項目の体制が機能していたか
- インシデントの原因が、評価項目の前提を覆すものか
- 再発防止策で評価項目の前提に戻せるか
- 事務局への報告・自己宣言書の更新が必要か
これらの問いに答えるための実務を、以降で順に整理します。
SCS評価制度における「報告義務」の範囲
★3自己宣言では、重大インシデントの発生を事務局に報告する義務が求められます(制度設計上)。報告の要否を判断するための基準を整理します。
報告必須となるインシデント
以下のいずれかに該当する場合、原則として事務局への報告が必要です。
| カテゴリ | 例 |
|---|---|
| 評価項目の前提を覆す事象 | MFA設定漏れによるクレデンシャル漏洩、未パッチ脆弱性の悪用 |
| 個人情報の漏洩 | 顧客・従業員情報の流出(個人情報保護法上の報告義務と連動) |
| ランサムウェア感染 | 業務システム停止・データ暗号化 |
| サプライチェーン経由の侵害 | 委託先経由での自社侵入 |
| 重大な内部不正 | 退職者による情報持ち出し、特権アカウント悪用 |
報告が任意のインシデント
以下は報告義務までは至らないことが多いですが、社内記録は必須です。
- 単発のフィッシングメール受信(被害なし)
- 軽微なマルウェア検知(EDRで自動隔離・封じ込め成功)
- パスワードの推測攻撃(防御成功)
- スパム・迷惑メールの大量受信
関連する法令上の報告義務
SCS評価制度の報告義務とは別に、以下の法令上の報告義務も併存します。
- 個人情報保護法:個人情報の漏洩発生時、個人情報保護委員会へ報告(速報3〜5日以内、確報30〜60日以内)
- GDPR / 海外規制:欧州・米国等の関連事業を持つ場合
- 業界規制:金融・医療・防衛・重要インフラ等の業界別報告義務
これらは並行して対応する必要があります。
インシデント発生から SCS 対応までのフロー
インシデント発生から SCS 評価制度に関連した対応を完了するまでのフローを示します。
[インシデント検知]
│
├─→ Phase 1:初動対応(0〜24時間)
│ - 影響範囲の特定
│ - 封じ込め・隔離
│ - 経営層・CSIRT への報告
│
├─→ Phase 2:詳細調査(1〜7日)
│ - 原因究明
│ - 被害範囲の確定
│ - 証跡保全
│
├─→ Phase 3:対外対応(1〜14日)
│ - 個人情報保護委員会への速報
│ - SCS事務局への報告
│ - 取引先・顧客への通知
│
├─→ Phase 4:再発防止策(1〜3ヶ月)
│ - 評価項目の充足見直し
│ - 対策実装
│ - 文書改訂
│
└─→ Phase 5:自己宣言書更新・最終報告(3〜6ヶ月)
- 評価項目の再充足
- 専門家確認
- 自己宣言書更新提出
- SCS事務局への最終報告各フェーズで実施する具体作業を以降で解説します。
Phase 1|初動対応(0〜24時間)
インシデント検知直後の対応です。SCS 評価制度の文脈で重要な点だけ整理します。
1-1. 証跡保全を最優先する
インシデント対応では「復旧を急ぐあまり証跡が失われる」ことが頻発します。SCS 評価制度の事務局報告・取引先への説明・自己宣言書更新で必要になる証跡は、対応中に保全する必要があります。
保全すべき証跡:
- 感染端末のディスクイメージ(電源を切らない、シャットダウンしない)
- システムログ・監査ログ(Entra ID サインインログ、Google Workspace 監査ログ、Defender / EDR 検知記録)
- ネットワーク機器ログ(ファイアウォール・プロキシ)
- メールヘッダ・本文(フィッシング起点の場合)
- 不審なファイル・コミュニケーション履歴
詳細はSCS評価制度の証跡・監査ログ実装ガイドを参照。
1-2. CSIRT・経営層への報告
★3取得企業では、IRP(インシデント対応計画書)で報告フローが定義されているはずです。SCS 関連で特に重要なのは:
- セキュリティ責任者(自己宣言書に記載)
- 経営層(最終判断者)
- 専門家(事務局報告内容の確認役)
への即時報告です。SCS事務局への報告内容を、専門家がレビューする運用フローを確保します。
1-3. 初動対応記録
「いつ、誰が、何を判断し、何を実行したか」のタイムラインを記録します。後日の事務局報告・取引先説明・自己宣言書更新で必須です。
Phase 2|詳細調査(1〜7日)
封じ込め後、原因究明と被害範囲確定に進みます。
2-1. 原因究明 ― SCS評価項目との照合
調査結果を整理する際、**「どの評価項目の前提が崩れたか」**を併せて整理します。
| 原因 | 影響を受ける SCS 評価項目(例) |
|---|---|
| クレデンシャル漏洩(MFA未設定) | アクセス制御、認証強化 |
| 未パッチ脆弱性の悪用 | 脆弱性管理、パッチ運用 |
| 委託先経由の侵害 | 委託先管理、サプライチェーンセキュリティ |
| EDR未検知の高度マルウェア | エンドポイント保護、脅威検知 |
| 退職者アカウントの悪用 | アカウントライフサイクル管理 |
| バックアップ不全での復旧失敗 | 事業継続、バックアップ運用 |
「どの評価項目の充足体制に綻びがあったか」を明確にすることで、再発防止策と自己宣言書更新の方向性が定まります。
2-2. 被害範囲の確定
- 影響を受けたシステム・データ
- 影響を受けたユーザー・取引先
- 流出した情報の種類・件数
- 業務停止期間
これらを文書化します。事務局報告・取引先説明・規制当局報告のすべてで参照されます。
2-3. フォレンジック専門家の活用
中小企業内では原因究明が困難なインシデント(高度なAPT、ファームウェアレベルの侵害等)の場合、フォレンジック専門業者への調査委託を検討します。SCS 評価制度の信頼性維持には、外部専門家による調査報告書が有用です。
Phase 3|対外対応(1〜14日)
3-1. SCS 事務局への報告
事務局への報告書には以下を含めます。
1. インシデント概要
- 検知日時、検知方法
- インシデントの種類
- 影響範囲(システム・データ・取引先)
2. 原因
- 一次原因
- 関連する SCS 評価項目
3. 対応経過
- 初動対応
- 封じ込め
- 詳細調査結果
4. 被害状況
- 業務影響
- 情報漏洩の有無・規模
- 経済的損失
5. 再発防止策(暫定・恒久)
- 評価項目の充足回復策
- 追加対策
- スケジュール
6. 関連法令対応
- 個人情報保護委員会報告
- 業界規制対応
7. 添付資料
- タイムライン
- 証跡サンプル
- 専門家確認書報告期限は事務局のルール次第ですが、重大インシデントは検知から14日以内が目安です。
3-2. 取引先への通知
★3取得企業は「セキュリティ対策をしている」と信頼されて取引している前提があります。インシデント時の取引先通知は、信頼維持の要です。
通知すべき取引先:
| 区分 | 通知の必要性 |
|---|---|
| 影響を受けた取引先 | 即時通知(24〜72時間以内) |
| 重要委託先 | 早期通知(72時間〜7日以内) |
| 主要取引先 | 適切なタイミングで通知 |
| その他取引先 | 必要に応じて |
3-3. 取引先への説明スクリプト
中小企業がインシデント時の取引先説明で躓くポイントは、「何を、どう、いつ伝えるか」です。標準的なスクリプトを以下に示します。
件名:【重要】当社における情報セキュリティインシデントのご報告
平素より格別のお引き立てを賜り、誠にありがとうございます。
当社にて発生した情報セキュリティインシデントについて、
以下の通りご報告申し上げます。
■ 発生事象
(インシデントの概要を簡潔に。曖昧表現を避け、事実のみ記載)
■ 検知時刻と対応開始時刻
(タイムラインの起点を明示)
■ 貴社への影響
- 該当の有無:あり/なし/調査中
- 該当の場合:影響する情報・データの範囲
■ 当社の対応状況
- 完了している対応
- 進行中の対応
■ 再発防止策
- 暫定対策(実施済み)
- 恒久対策(実施予定)
■ SCS評価制度との関係
当社はSCS評価制度★3を取得しております。
本件について、SCS事務局へ所定の報告を行うとともに、
評価項目の充足体制を見直し、必要に応じて自己宣言書を更新いたします。
登録の維持・更新状況は適切に対応してまいります。
■ お問い合わせ窓口
担当者:(氏名・部署・連絡先)
ご不便・ご心配をおかけし、誠に申し訳ございません。
今後とも変わらぬご厚誼を賜りますようお願い申し上げます。「事実を曖昧にしない」「SCS事務局報告に言及する」「改善コミットメントを明確にする」の3点が重要です。
3-4. 公開/非公開の判断
すべてのインシデントを公表する必要はありません。判断軸:
| 状況 | 推奨 |
|---|---|
| 個人情報漏洩あり | 公表必要(個人情報保護法) |
| 業務停止が長期化、社会的影響大 | 公表推奨 |
| 上場企業・取引先要請 | 公表必要 |
| 内部のみで完結、被害なし | 公表不要(内部記録のみ) |
Phase 4|再発防止策(1〜3ヶ月)
再発防止策は、SCS評価項目の充足体制を回復・強化する観点で組み立てます。
4-1. 評価項目の充足見直し
インシデントで「綻びが見えた」評価項目を洗い出し、追加対策を実装します。
| 綻びの種類 | 追加対策の例 |
|---|---|
| MFA設定漏れ | 全ユーザーMFA必須化、条件付きアクセス強化 |
| 未パッチ放置 | パッチ管理プロセスの自動化、月次の検証 |
| 委託先管理ギャップ | 委託先評価の頻度向上、契約見直し |
| EDR検知漏れ | EDR製品の見直し、SOC運用導入 |
| 退職者アカウント残存 | プロビジョニング自動化、月次棚卸し |
| バックアップ復旧不能 | リストア検証の四半期化、3-2-1ルール再確認 |
4-2. 文書・運用ルールの改訂
- 情報セキュリティ規程
- IT資産台帳
- インシデント対応計画書(IRP)
- 委託先管理規程
の4基本文書を、インシデント教訓を反映して改訂します。
4-3. 訓練・教育の見直し
- インシデント対応訓練の頻度・内容
- 社員向けセキュリティ教育
- フィッシング演習
を強化し、運用面の改善を進めます。
Phase 5|自己宣言書更新・最終報告(3〜6ヶ月)
5-1. 自己宣言書の更新
評価項目の充足体制を回復した状態で、自己宣言書を更新します。更新の有無を判断する基準:
| 状況 | 自己宣言書更新 |
|---|---|
| 評価項目の前提が長期に崩れた | 必要 |
| 体制変更(責任者・専門家)あり | 必要 |
| 委託先構成の変更あり | 必要 |
| 対策強化のみで体制は維持 | 任意 |
更新時は、専門家の再確認・再署名が必要です。
5-2. SCS事務局への最終報告
Phase 3の暫定報告を、最終版に更新して提出します。最終報告には以下を含めます。
- 再発防止策の実装完了状況
- 自己宣言書の更新(あれば)
- 専門家確認の結果
- 監査・テスト結果
5-3. 取引先への最終報告
Phase 3で通知した取引先に、再発防止策の完了報告を行います。これにより取引信頼の回復を図ります。
登録抹消のリスク評価
インシデント対応の中で、SCS 登録の維持・抹消が論点になります。判断基準を整理します。
維持される可能性が高いケース
- インシデント原因が「評価項目の前提から逸脱した運用ミス」であり、再発防止策で前提に戻せる
- 事務局への報告が速やかに行われた
- 専門家による独立した確認がある
- 取引先への説明が事実ベースで行われた
抹消リスクが高いケース
- インシデント発覚を隠蔽した
- 評価項目の充足が長期にわたって失われていたことが判明した
- 自己宣言書の記述が実態と乖離していたことが発覚した
- 専門家が形だけの署名で実質確認していなかったことが判明した
「隠蔽」「虚偽」「形骸化」が登録抹消の3大要因です。
インシデント対応の事前準備チェックリスト
事後対応だけでなく、事前準備が結果を左右します。以下のチェックリストで自社の準備状況を確認してください。
体制準備
- CSIRT が定義されている(社内CSIRT or 外部CSIRTサービス)
- 24/365 の連絡網が整備されている
- 経営層への即時報告フローが定義されている
- セキュリティ専門家との連絡手段が確保されている
- フォレンジック専門業者の連絡先を把握している
文書準備
- IRP(インシデント対応計画書)が最新化されている
- インシデント分類基準が文書化されている
- 事務局報告テンプレートが準備されている
- 取引先通知テンプレートが準備されている
- 公表判断基準が文書化されている
技術準備
- 監査ログが取得・保管されている(1年以上)
- EDR が全エンドポイントに配信されている
- バックアップが定期検証されている(リストア成功確認)
- フォレンジック対応可能なログ保全体制がある
訓練・教育
- インシデント対応訓練を年1回以上実施
- 全社員向けセキュリティ教育を年1回以上実施
- フィッシング演習を実施
- サイバー保険の補償範囲と請求手順を把握
関連法令との整合
SCS評価制度の報告義務とは別に、関連法令の報告義務を遵守する必要があります。
| 法令・規制 | 報告先 | 報告期限 |
|---|---|---|
| 個人情報保護法 | 個人情報保護委員会 | 速報3〜5日、確報30〜60日 |
| 個人情報保護法 | 本人通知 | 不適切な漏洩は速やかに |
| 不正アクセス禁止法 | 警察(任意) | 速やかに |
| 業界規制(金融) | 金融庁 | 業法による |
| 業界規制(医療) | 厚労省 | 業法による |
| 業界規制(重要インフラ) | 各所管省庁 | 業法による |
| 上場企業 | 取引所・株主 | 適時開示 |
複数の報告義務を並行管理することが、★3取得企業のインシデント対応の難所です。
維持コスト ― インシデント発生時の追加費用
インシデント発生時に、SCS関連で追加発生する費用の目安:
| 項目 | 費用目安 |
|---|---|
| フォレンジック専門業者調査 | 200〜800万円 |
| セキュリティ専門家追加レビュー | 30〜100万円 |
| 自己宣言書更新・再申請 | 50〜150万円 |
| 法務・広報対応 | 50〜300万円 |
| サイバー保険適用なしの自費損失 | 影響規模次第 |
これらはサイバー保険でカバーできる範囲もあるため、保険契約内容との連動確認が重要です。
まとめ
★3取得後のインシデント対応は、以下の観点で運用設計します。
- 5フェーズのフローを理解する(初動→詳細調査→対外対応→再発防止→自己宣言更新)
- 事務局への報告義務を遵守する(重大インシデントは14日以内)
- 取引先への説明を事実ベースで行う(隠蔽は登録抹消リスク)
- 評価項目の充足回復を再発防止策の核に据える
- 法令上の報告義務と並行管理する
- 事前準備チェックリストで日常的に体制を点検する
「インシデントが起きないようにする」ではなく、「起きた時に登録維持と信頼維持ができる体制を持つ」ことが、SCS★3取得企業の本来の到達点です。
関連記事:SCS評価制度★3 取得後の維持・年次更新ガイド / SCS評価制度の証跡・監査ログ実装ガイド / SCS評価制度★3 文書化テンプレート集 / サイバーセキュリティお助け隊サービスの補助金・保険メリット