SCS評価制度★4の第三者評価フロー徹底解説 ― 書類審査・実地審査・技術検証の流れと費用
SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の★4は、★3の「専門家確認付き自己評価」と異なり、第三者評価機関による評価+技術検証が必要です。重要インフラのサプライチェーンに属する企業、ITベンダー・MSP、政府調達への参加を視野に入れる企業にとっては避けて通れません。
しかし★4については「第三者評価」という言葉だけが先行しており、実際にどんな手順で進み、何が起き、いくらかかるのかの解像度が低いまま、漠然と不安を抱えている企業が多いのが実情です。本記事では、★4の評価フローを書類審査・実地審査・技術検証の3フェーズに分けて具体的に解説します。
★4第三者評価の全体像
評価の3フェーズ
★4の第三者評価は、次の3フェーズで構成される見込みです(2026年3月公表の制度構築方針に基づく現時点想定)。
- フェーズ1:書類審査(評価機関による文書レビュー)
- フェーズ2:実地審査(評価機関によるヒアリング・現場確認)
- フェーズ3:技術検証(脆弱性検査、設定確認)
3フェーズの合計所要期間は2〜4か月、評価機関への支払いは150〜500万円が目安となる見込みです(評価機関・対象範囲により変動)。これに事前の対策実装と書類整備の期間を合わせると、★4取得には半年〜1年を見込む必要があります。
有効期間と更新
★4の有効期間は3年です。ただし期間中も毎年自己評価を行い、対策の継続実施状況を評価機関または事務局に報告する仕組みです。3年経過時には再度第三者評価を受ける必要があります。
フェーズ1:書類審査
提出書類の構成
書類審査では、★4の56項目(評価基準157項目)について、対策の実施状況と証跡を示す書類一式を評価機関に提出します。代表的な書類は次のとおりです。
- 自己評価シート(全項目への適合状況の記入)
- 情報セキュリティポリシー、関連規程類
- 組織図、セキュリティ責任者の任命書
- 情報資産台帳、重要委託先リスト
- リスクアセスメント結果、リスク対応計画
- インシデント対応計画書、対応手順書
- 訓練・教育の実施記録
- パッチ適用記録、脆弱性対応記録
- バックアップ取得・復旧テスト記録
- ログ管理規程と直近のサンプルログ
- BCP(事業継続計画)
書類審査でよく指摘される不備
実務で頻発する指摘パターンは次のとおりです。
- 規程はあるが運用記録がない:ポリシーだけ整備されて、実施記録(教育ログ、点検記録など)が残っていない
- 規程と実態の乖離:規程では「四半期ごとにパッチ適用」となっているが、実際は不定期
- 委託先管理の証跡不足:契約書にセキュリティ条項はあるが、年次の評価シート回収記録がない
- インシデント訓練の未実施:手順書はあるが、机上演習の記録がない
- 責任者と実務者の混同:CISOを任命しているが、実質的に動いているのが情シス担当者でロールが曖昧
書類審査の所要期間は1〜2か月、この時点で大きな不備が見つかれば、是正後に再提出となり評価期間が伸びます。
フェーズ2:実地審査(ヒアリング・現場確認)
実地審査で確認されること
実地審査では評価機関の審査員(通常2〜3名)が訪問し、書類審査で確認した内容の実地での裏付けを取ります。半日〜2日程度の日程です。
- 経営層インタビュー:CISO、経営層へのセキュリティガバナンスに関するヒアリング
- 情シス担当者ヒアリング:パッチ管理、アカウント管理、ログ運用などの実態確認
- 現場確認:サーバルーム・データセンター、執務室の物理セキュリティ
- 設定確認のサンプリング:MFAの有効化、アカウント棚卸し、AD/Entra IDのGroup Policyなど
- インシデント対応訓練の実演または直近の訓練記録の確認
実地審査でよくある”刺さる質問”
- 「直近12か月で発生したセキュリティインシデント(軽微なものも含む)を教えてください」
- 「退職者が出た最後の事例について、アカウント無効化のタイムラインを示してください」
- 「重要委託先A社の最新の評価シート回答を見せてください」
- 「ログから特定の不正アクセスを検出するクエリのデモをしてください」
- 「ランサムウェア感染を想定した復旧テストを直近で実施した記録は?」
これらは「規程ではどうなっているか」ではなく**「実際にどう動いているか」**を問う質問です。書類だけ整備してきた企業はこの段階で大きく失点します。
実地審査前の準備チェックリスト
- 過去12か月のインシデント記録を時系列で整理
- 退職者・入社者のアカウント変更ログを抽出可能に
- 委託先評価シートの回収状況を最新化
- インシデント対応の机上演習を直近で1回実施
- 復旧テストを直近で1回実施し、記録を残す
- ログ抽出のクエリを担当者が手元で実演できるよう練習
フェーズ3:技術検証(脆弱性検査)
技術検証の内容
★4では技術検証として次の項目が確認される見込みです。
- 外部公開IPの脆弱性スキャン:自社が公開しているWebサイト・VPN装置・メールサーバなど
- 設定診断:Microsoft 365/Google Workspaceのテナント設定(MFA有効化率、条件付きアクセス、外部共有制限など)
- クライアント端末のサンプリング診断:パッチ適用状況、AVの定義ファイル、暗号化の有効化
- ネットワーク構成のレビュー:境界防御の構成、セグメンテーションの状況
検査結果の評価
検出された脆弱性は深刻度(Critical / High / Medium / Low)で分類され、Critical・Highの未対応案件があると是正後の再評価となる可能性が高いです。中小企業でよく検出される高頻度の問題は次のとおりです。
- VPN装置のファームウェアが古い
- M365テナントの「レガシー認証」が有効のまま
- 退職者アカウントが残っている
- 共有メールボックスにMFAが適用されていない
- 外部公開のRDPポート
これらは事前の自己診断で先に潰しておけば、技術検証で指摘されることを回避できます。
評価機関の選び方
★4の評価機関は、制度開始後に経済産業省・IPAから認定機関リストが公表される見込みです。選定時に確認すべきポイントは次の5点です。
- 対象業種への対応経験:自工会対応、医療3省2、防衛など業界知見の有無
- 企業規模感の合致:中小企業を扱う経験があるか(大企業専門の機関は中小には重い)
- 費用構造の透明性:書類審査・実地審査・技術検証の内訳が明示されるか
- 是正対応のサポート:指摘事項の是正に向けた助言の手厚さ
- 更新審査での継続性:3年後の更新を見据えた継続関係を築けるか
最安値の機関を選んで指摘の質が低いと、本来防げたインシデントを取り逃すリスクがあります。コスト最適化と評価品質のバランスが重要です。
★4取得までの全体スケジュール(モデルケース)
| 月 | アクション |
|---|---|
| M-12〜M-9 | 現状アセスメント、ギャップ分析、対策計画策定 |
| M-9〜M-3 | 不足対策の実装、規程整備、運用記録の蓄積 |
| M-3〜M-1 | 自己評価、模擬監査、評価機関の選定 |
| M-1 | 評価機関への申し込み、書類提出 |
| M-1〜M+1 | 書類審査 |
| M+1〜M+2 | 実地審査、技術検証 |
| M+2〜M+3 | 是正対応、最終評価結果 |
| M+3 | ★4登録・公表 |
合計1年強。ISMS取得済みの企業はM-9〜M-3の対策実装フェーズが大幅に短縮できます。
情シス365の★4取得支援
情シス365では、★4取得を目指す中小企業向けに次の支援を提供しています。
- 現状アセスメントとギャップ分析(★4要件157項目への適合度)
- 不足対策の実装支援(M365高度化、EDR、ログ管理基盤、BCP整備)
- 規程・運用記録の整備支援
- 模擬監査(評価機関の審査前リハーサル)
- 評価機関選定のアドバイス
- 是正対応の伴走
★3を先行取得して★4にステップアップする計画もご相談に応じます。