SCS評価制度★3の対策要件をMicrosoft 365 / Google Workspaceで実装する ― 追加投資を最小にする設定マッピングガイド
SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。
SCS評価制度★3の要求事項(26項目)を読んだ中小企業の情シス・経営者から、よくこんな相談を受けます。
「MFA、パッチ適用、マルウェア対策、資産台帳、ログ、バックアップ……全部やろうとしたら、いくらかかるのか。新しいセキュリティ製品を何個も買わないといけないのか」
結論から言うと、Microsoft 365またはGoogle Workspaceをすでに契約している企業なら、★3の技術的対策の大部分は「今持っているライセンスの設定」で実装できます。必要なのは追加購入ではなく、使われていない標準機能を正しく有効化することです。
この記事では、★3の対策要件をM365 / GWSの具体的な機能にマッピングし、「設定でできること」「上位ライセンスが必要なこと」「外部製品が必要なこと」を切り分けます。なお、対策の「実施」とセットで必要になる証跡・ログの取り方は、姉妹記事「SCS★3 証跡・監査ログ実装ガイド」で扱っています。
前提:★3で求められる技術的対策のおさらい
★3・★4の基準比較記事で解説したとおり、★3の技術的対策の中核は「攻撃等の防御」領域です。要点を抜き出すと以下になります。
- セキュリティパッチの適用運用
- 全端末へのマルウェア対策と定義の最新化
- ネットワーク境界の防御(ファイアウォール等)
- 管理者アカウントへの多要素認証(MFA)
- 重要データの定期バックアップ
- アクセス権限の管理(退職者アカウントの即時無効化等)
- ログの取得・保管
- IT資産台帳・クラウドサービス一覧の整備(リスク特定領域)
- 不審なアクティビティに気づける基本的な検知(検知領域)
これらをM365 / GWSの機能に対応させていきます。
領域別マッピング:Microsoft 365編
M365はプランによって使える機能が大きく異なります。ここでは中小企業の現実的な構成としてBusiness StandardとBusiness Premiumを分けて示します。
| ★3要件 | Business Standardでの実装 | Business Premiumでの実装 |
|---|---|---|
| MFA | セキュリティの既定値群で全ユーザーMFA | 条件付きアクセスで柔軟に強制 |
| パッチ適用 | Windows Update自動更新(手動運用) | Intune(Windows Update for Business)で全社統制 |
| マルウェア対策 | 標準のMicrosoft Defenderウイルス対策 | Defender for Businessで保護+検知を一元管理 |
| 資産台帳 | 手動台帳(Excel等) | Intuneのデバイスインベントリで自動収集 |
| アクセス権管理 | Entra IDでアカウント管理 | +条件付きアクセス・デバイス準拠ポリシー |
| バックアップ | OneDrive/SharePointへのデータ集約 | 同左(+必要に応じM365 Backup等) |
| ログ | 監査ログ(既定180日) | 同左 |
| 検知 | 不審なサインインの確認(手動) | Defenderのアラートで自動検知 |
実装のポイント
MFA: 最低限「セキュリティの既定値群」を有効にすれば、管理者を含む全ユーザーにMFAが強制され、★3の管理者MFA要件を満たせます。Business Premiumなら条件付きアクセスで「社外からのアクセスのみMFA」など業務実態に合わせた設計が可能です(参考:MFA認証方式の比較)。
パッチ適用: ★3で問われるのは「適用する仕組み・運用があること」です。台数が少なければWindows Updateの自動更新+月次の適用確認でも成立しますが、Business PremiumのIntuneで更新リングを構成すれば「全端末に何日以内に適用」を仕組みとして示せるため、評価上も運用上も格段に楽になります。
資産台帳: ★3の必須要件でありながら、手作業のExcel台帳は陳腐化が宿命です。IntuneにPCを登録すれば、機種・OSバージョン・インストールソフトが自動で収集され、「台帳が最新である」状態を仕組みで維持できます。
退職者アカウントの即時無効化: Entra IDでのサインインブロック→ライセンス回収→グループ除外の手順を文書化しておきます。退職処理全体は退職時のIT対応ガイドを参照してください。
Business Premiumに上げる価値
上の表のとおり、★3対応の文脈ではIntune(資産・パッチ・端末統制)とDefender for Business(検知)が使えるBusiness Premiumの価値が非常に大きいです。Standardとの差額(1ユーザーあたり月額1,000円台)で、資産台帳・パッチ統制・EDR相当の検知がまとめて手に入ると考えると、外部製品を個別に買うより安く済むケースがほとんどです。
領域別マッピング:Google Workspace編
| ★3要件 | GWSでの実装 |
|---|---|
| MFA | 2段階認証プロセスの全社強制(管理コンソールのポリシーで必須化) |
| パッチ適用 | ChromeOS端末は自動更新で完結。Windows端末は別途運用(後述) |
| マルウェア対策 | Gmail/ドライブの保護は標準。端末側は別途対策が必要 |
| 資産台帳 | エンドポイント管理で登録端末・モバイルを一覧化 |
| アクセス権管理 | 管理コンソールでのアカウント停止・アーカイブ(AU) |
| バックアップ | ドライブへのデータ集約+Vault(Business Plus以上)での保持 |
| ログ | 監査と調査ツール(保持期間6ヶ月) |
| 検知 | アラートセンター(不審なログイン・フィッシング検知の通知) |
実装のポイント
MFA: 管理コンソールから組織部門単位で2段階認証を「必須」にできます。猶予期間を設定して段階展開するのが定石です(参考:GWSの2段階認証強制とセキュリティキー)。
GWSの注意点——端末側の対策はカバー範囲外: GWSはクラウド側(メール・ドライブ・ID)の防御は強力ですが、Windows PCのマルウェア対策・パッチ統制・端末インベントリはM365のIntune/Defenderに相当する標準機能がありません。Windows端末が主力のGWS企業は、この部分だけ外部製品(EDR/資産管理ツール)または手動運用で補う必要があります。逆にChromebook中心の企業なら、自動更新と設計上の堅牢さで★3の端末要件を低コストで満たせます。
ログの保管: GWSの監査ログ保持は標準6ヶ月です。★3のログ要件はこれで対応可能ですが、将来★4(1年以上の保管)を見据えるなら、エクスポートによる長期保全の仕組みを今から作っておくと二度手間になりません(詳細は証跡・監査ログ実装ガイド)。
M365/GWSだけではカバーできないもの
正直に言うと、以下は標準機能の外側です。過大な投資は不要ですが、何で満たすかを決めておく必要があります。
- ネットワーク境界の防御: ルーター/UTMの設置・設定はオフィスネットワーク側の話。既存ルーターのファイアウォール機能の確認と設定記録で足りる場合も多い
- PC本体のバックアップ: OneDrive/ドライブへのデータ集約で「重要データのバックアップ」は満たせるが、サーバーやNASがある場合は別途バックアップ設計が必要(3-2-1ルールの解説)
- 体制・文書類: 規程・台帳・手順書はツールでは生まれない。文書化テンプレート集を活用して整備する
実装の優先順位(モデルプラン)
★3取得を目指す場合の、M365企業の標準的な進め方です。
| 順 | 作業 | 所要目安 |
|---|---|---|
| 1 | MFAの全社有効化(セキュリティの既定値群 or 条件付きアクセス) | 1〜2週間(周知含む) |
| 2 | 監査ログの有効化確認・アラート通知設定 | 1日 |
| 3 | Intuneへの端末登録 → 資産台帳の自動化 | 2〜4週間 |
| 4 | Windows Update for Businessの更新リング構成 | 1週間 |
| 5 | Defender for Businessの展開 | 1〜2週間 |
| 6 | データのOneDrive/SharePoint集約とバックアップ確認 | 並行実施 |
| 7 | 規程・手順書の文書化、退職処理フローの明文化 | 並行実施 |
2〜3ヶ月あれば、技術面の実装は無理なく完了できる規模感です。2027年2〜3月頃の申請受付開始から逆算すると、2026年内に技術実装を終え、年明けに文書と証跡を仕上げるスケジュールが余裕を持てます。
情シス365による支援
情シス365では、SCS★3対応のための Microsoft 365 / Google Workspace セキュリティ設定を実装代行しています。
- 現状診断: 現在のテナント設定と★3要件のギャップを棚卸し
- 実装代行: MFA・条件付きアクセス・Intune・Defender・監査ログ・バックアップの設定一式
- 文書化支援: 設定内容を「規程・台帳・手順書」に落とし込み、専門家確認に耐える形に整備
- 取得後の運用: パッチ・アカウント・ログ確認の月次運用と年次更新の支援
「ライセンスは持っているが設定が手つかず」という企業が最も費用対効果の高いパターンです。お気軽にご相談ください。
まとめ
- SCS★3の技術的対策の大部分は、M365 / GWSの「すでに払っているライセンスの設定」で実装できる。追加製品の購入は最後の手段
- M365はBusiness Premiumにすると、Intune(資産台帳・パッチ統制)とDefender for Business(検知)で★3要件をほぼ面でカバーできる
- GWSはクラウド側の防御・ログ・検知は標準で強い一方、Windows端末の統制だけは外部補完が必要。Chromebook中心なら低コストで完結
- ツールで生まれないのは規程・台帳・手順書などの文書類。技術実装と並行して文書化を進める
- 技術実装は2〜3ヶ月規模。2026年内に実装完了→年明けに文書・証跡仕上げが申請受付開始に間に合う標準スケジュール
参考リンク: