サプライチェーン上の取引先を起点にするサイバー攻撃の激甚化を受け、経産省はサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の整備を進めています。この制度は単に社内ルールを作るだけでなく、それが遵守されていることを、継続的に報告することを求めます。
本記事ではこの制度の概要を説明するとともに、制度におけるコプリガードの役割を説明します。コプリガードは「画面コピー禁止」に代表されるように、社内ルールの禁止項目を、PC側で「操作できない設定」に変換し、ルール遵守を技術的に強制することが可能です。この機能が制度のどの要求項目を満たすのか、1つ1つ解説していきます。
目次
- SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)とは?
- 制度の趣旨とコプリガードの適合性
- 要求事項・評価基準リストの見方
- コプリガードと適合性の高い要求事項と評価基準
- コプリガードが要件達成を後押しする要求事項と評価基準
- 星4取得に向けたコプリガードの構成
- 番外編:社外へ提供するファイルの保護とトランセーファーの役割
- まとめ
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)とは?
1.制度の概要
SCS 評価制度は、ビジネスやITサービスのサプライチェーンを構成する企業のセキュリティ対策状況を、共通の基準で評価・可視化する仕組みです。具体的には、委託元企業が委託先に対して適切なセキュリティ対策の段階(★マーク)を提示し、委託先がその達成状況を報告・申請することで、サプライチェーン全体でのセキュリティ水準の底上げを図ります。対策レベルは、基礎的な管理策を求める「★3」と、より広範で高度な対策を求める「★4」に区分されています。
2.求められている背景
背景には、サプライチェーン上の取引先を起点としたサイバー攻撃(サプライチェーン攻撃)の激甚化があります。委託元企業にとって、取引先の内部対策状況は可視化しづらく、適切な要求を行うことが難しいという課題がありました。一方で委託先企業は、複数の顧客から異なる形式のセキュリティ点検を求められ、過度な負担が生じていました。本制度は、これらを共通の「★」という指標で整理し、対策の決定や確認を容易にすることを目指しています。
3. 運用の注意点
本制度はあくまで「任意の制度」であり、法的規制や格付けを目的としたものではありません。★の取得を取引条件にするかは当事者間の合意によりますが、実質的には取引継続の信頼を担保する基準として、機能することを想定しています。また特定のセキュリティ対策製品の導入を求めるものではなく、評価基準を満たす実装は各企業に委ねられています。注意すべきは、★3の取得であっても、単なる社内担当者の自己評価では不十分で、必ず外部の有資格者である「セキュリティ専門家」による確認が必要となる点です。
4. 制度の実施時期
経済産業省は2026年3月に「制度構築方針」を公表しました。制度としては「★3」「★4」「★5」の3段階が用意されていますが、まずは、★3と★4の申請受付が2026年度末頃(2027年1月〜3月頃)から開始される予定です(★5については2026年度以降に詳細が検討されます)。これに先立ち、2026年4月に「要求事項・評価基準」が公開され、評価ガイド(解説書)等は2026年秋頃に公開予定です。
(参考サイト)
IPA(情報処理推進機構)サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)
https://www.ipa.go.jp/security/scs/index.html
経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)
https://www.meti.go.jp/policy/netsecurity/scs.html
制度の主旨とコプリガードの適合性
SCS評価制度が企業に求めているのは、単なるセキュリティのルール(規定)作りではありません。ルールが現場で実効性を持って運用され、運用実績が客観的に証明されることに重点があります。それでは実際にどのような点で、コプリガードに適合性があるのか、最初に3点ほど指摘したいと思います。
1. 「人の裁量」に頼らない確実なルール遵守
SCS 評価制度の多くの項目では、機密情報の取扱いについてルールの徹底が求められます。例えば「機密区分に応じた情報の管理(No. 3-1-4-1)」では、情報のレベルに応じた取扱方法を定める必要があります。多くのIT管理ソフトが「操作を記録(ログ)」して後から追跡するのに対し、コプリガードは「コピー禁止」「保存禁止」「印刷禁止」というように、制限をPC側で自動的に実施します。つまり従業員の裁量に頼るルールを、システム的に「操作できない状態」へ引き上げることで、実効性を確実にするのに役立ちます。
2. 点検作業を自動化する「強力なエビデンス」
SCS 評価制度では、年1回以上の頻度でルールの遵守状況を「点検」し、経営層に報告することが義務付けられています。通常この点検には各端末の調査やアンケート等、多大な工数がかかります。しかしコプリガードを導入していれば、管理画面の禁止設定そのものが、ルールが導入端末に徹底されていることを示す客観的な証拠(エビデンス)になります。監査工数を劇的に減らしながら、精度の高い報告が可能になります。
3. 「業務の利便性」と「高度な防御」の両立
セキュリティを強化しすぎると業務が滞るという心配もありますが、コプリガードは「重要領域(保護フォルダー)」という概念により、この課題を解決しています。保護された領域内であれば、普段使いのアプリでファイルの閲覧や編集、上書き保存を自由に行え、制限されるのはUSBメモリーやクラウドストレージといった「領域外」への持出しのみです。この「守りながら、自由に使える」設計思想は、現場の混乱を最小限に抑えながら対策を定着させるという、SCS 評価制度が目指す「持続可能なセキュリティ対策」に考え方が合致しています。
以上3点からみても、コプリガードはルールの実効性を担保する点で、SCS評価制度への適合を強力に支援するソリューションと言えます。
要求事項・評価基準リストの見方
SCS 評価制度の要求事項・評価基準リストの見方をご説明します。
クリックすると拡大します。
要求事項・評価基準リストは、企業が目指すべきセキュリティレベル(★3または★4)に対して、「何を」「どこまで」実施すべきかを体系的に整理したものです。このリストは、左側の大まかな分類から右側の詳細なアクションへと、段階的に具体化される構成になっています 。
特に重要な「横軸(各列)」の見方について、左から順に説明します。
1. リストの横軸(列)の構成と意味
- 大分類 / 中分類: セキュリティ対策の大きなドメインを示します。例えば「1 ガバナンスの整備」や「3 リスクの特定」といった、NIST CSF(米国のセキュリティフレームワーク)の思想に基づいた分類です。
- 要求事項 No. / 要求事項名 / 要求事項: その項目で「何を達成すべきか」という組織としての目標が記されています。
- ★3 / ★4(適用区分): 各要求事項がどの星レベルに該当するかを「○」印で示しています。★4は、★3のすべての要件に加え、より高度な管理体制や技術的対策が求められる上位レベルです。
- ★3 / ★4(評価基準の区分): 右側の具体的な「評価基準」が、どちらの星レベルに対応するものかを示します。
- 評価基準 No. / 評価基準: 本リストの中で最も重要な部分です。要求事項(目標)を達成するために「具体的に何を確認・実施すべきか」という実務レベルのチェック項目が詳細に記述されています。
- NIST CSF における機能: 国際的な基準であるNIST CSFの5つの機能(識別、防御、検知、対応、復旧)および統治(GV)との対応関係が示されており、対策のバランスを確認できます。
2. 具体的な活用例
「資産管理」の中にある「機密区分に応じた情報の管理(No. 3-1-4)」を例に、リストを横に読み解いてみましょう。
- 大分類:「3 リスクの特定」の中の、
- 中分類:「3-1 資産管理」に属する、
- 要求事項 (No. 3-1-4):「機密区分に応じた情報の管理ルールを定め、それに基づく管理を行うこと」という目標があります。
- 適用レベル:これは★3と★4の両方に「○」がついている共通の要求事項です。
- 具体的な評価基準 (No. 3-1-4-1):目標を達成するために「機密の特定、レベル判定、取扱方法、取扱エリアの制限」を含む管理ルールを定めることが求められます。
- 上位の評価基準 (No. 3-1-4-4):さらに★4を目指す場合は、No. 3-1-4-3で把握した重要情報の内容を「年1回以上の頻度で点検すること」といった、より厳格な運用・監査が求められます。
3. リスクを読み解くポイント
このリストを運用する上での注意点は、要求事項(目標)を見るだけではなく、必ずセットになっている右側の「評価基準」を精査することです。
例えば「ルールを定めること」という評価基準だけでなく、「年1回以上の頻度で内容を点検すること」という基準がセットになっている項目が多くあります。これはSCS 評価制度が「ルールを作って終わり」ではなく、PDCAサイクルを回して実効性を継続的に担保することを重視しているためです。
コプリガードと適合性の高い要求事項と評価基準
それでは、コプリカードが役立つ要求事項と評価基準について、一つ一つ見ていきたいと思います。最初に見ていくのは、適合性の高い項目になります。
No.3-1-4-1(★3/★4)
- 要求事項: 機密区分に応じた情報の管理ルールを定め、それに基づく管理を行うこと
- 評価基準: 自社の保有する情報を対象に、機密の特定、機密区分のレベル判定及び表示、区分に応じた取扱方法、取扱エリアの区分及び制限を含む管理ルールを定めることが求められます。
- コプリガードの役割:情報を格納するフォルダーを機密区分に合わせて「重要領域」や「通常領域」に分けることで、取扱エリアを明確に制限できます。機密性の高い情報を「重要領域」に保存することでファイルの持ち出しを技術的に禁止できます。
No. 3-1-5-1(★4)
- 要求事項: リモートワークで使用する情報機器及び機密情報の条件についてのルールを定めること
- 評価基準: リモートワークで使用許可する情報機器の申請・承認の方法や、個人所有機器にダウンロード可能なファイルの機密区分および種類に関するルールを定めることが求められます
- コプリガードの役割: リモートワーク環境下でも「領域外(ローカルPC等)への保存禁止」を徹底できるため、BYOD端末への安易なダウンロードを技術的に防ぐことができます。
No.4-1-7-1(★3/★4)
- 要求事項: アクセス権の管理ルールを定めること
- 評価基準: システムやパソコンのアクセス権等について、発行・変更・削除の申請・承認制、権限範囲の必要な範囲への限定、棚卸の実施、申請書又は台帳の管理を含むルールを定めることが求められます。
- コプリガードの役割: 特定のユーザーやPCに対し、「閲覧はできるが印刷やコピーはできない」といった、OS標準のアクセス権よりも「きめ細かな権限設定」を実現し、権限の最小化を支援します。
No.4-1-9-1 ~4-1-9-3(★4)
- 要求事項: 可搬媒体の持込み・持出しを制限すること
- 評価基準: パソコン、スマートデバイス、外部記憶媒体、印刷物等の持込み・持出しルールを定め、年1回以上の頻度でルールの内容及び遵守状況について点検することが求められます。
- コプリガードの役割: USBメモリーやスマートフォン等の外部デバイスへのコピー禁止、および印刷禁止を制御できます。また禁止設定の適用状況や操作ログを確認することで、ルールの遵守に関する点検業務を効率化し、実効性を担保できます。
コプリガードが要件達成を後押しする要求事項と評価基準
要求事項を直接的に満たすわけではないものの、コプリガードの導入で下記の運用プロセスが後押しされ、要件達成が容易になる項目をご説明します。
- ルールの明文化
- 社員教育の効率化
- 点検作業の自動化
- エビデンス(証拠)の確保
- 事後対応コストの削減
No.1-1-1-1 / 1-1-1-2(★4)
- 要求事項:セキュリティに関する法令等に規定された事項を考慮し、社内ルールを策定及び周知すること
- 評価基準:法令や取引先の要求事項等を把握した上で社内ルールを定め、年1回以上の頻度でその内容を点検することが求められます。
- コプリガードの役割:法令や取引先の要求に基づき「何を禁止すべきか」を定める際、豊富なテンプレートがルールの雛形となります。また、製品の設定(ポリシー)そのものがルールの実装となるため、年1回のルール点検も設定内容の確認という形で実効性を持たせやすくなります。
No. 1-4-1-1(★4)
- 要求事項:セキュリティ対策推進計画を策定し、定期的に経営層へ対策実施状況に関する報告を行うとともに、報告結果を対策の推進に反映すること。
- 評価基準:セキュリティ担当部署は、年1回以上、セキュリティを統括する役員(CISO等)に対して、各対策の点検結果を踏まえたセキュリティ対策の実態および今後の対策推進計画を報告し、承認を得ることが求められます。
- コプリガードの役割: CISO等への報告に際し、管理画面から得られる「どのデバイスで、どのようなポリシーが適用されているか」や「どのような不正操作がブロックされたか」という客観的なデータは、対策が有効に機能している実態を証明する強力なエビデンスになります。
No.2-1-3-1(★4)
- 要求事項:事業継続リスク及び情報管理リスクの観点から自社に影響を及ぼす可能性のある取引先のセキュリティ対策状況を把握すること。
- 評価基準:重要な機密情報の提供先等の条件に該当する子会社又は取引先を対象に、年1回以上の頻度で、本制度の星取得状況の確認、訪問点検、チェックシート回答受領等の方法によりセキュリティ対策状況を把握することが求められます。
- コプリガードの役割:自社が取引先として評価を受ける際、「禁止型ソフトを導入し、技術的な強制力をもって機密情報を保護している」と回答できることは、管理策の信頼性を対外的に証明する大きな加点要素となるでしょう。
No.3-1-4-2 / 3-1-4-4(★3/★4)
- 要求事項:機密区分に応じた情報の管理ルールを定め、それに基づく管理を行うこと
- 評価基準:年1回以上の頻度で、機密区分に応じた管理ルールの内容、および重要な機密情報の保管場所等の把握項目について点検することが求められます。
- コプリガードの役割:コプリガードの「重要領域」の設定一覧を確認することで、どのフォルダーがどの機密レベルで保護されているかが可視化され、手作業での調査や点検業務を大幅に効率化できます。
No. 3-1-5-3(★4)
- 要求事項:リモートワークで使用する情報機器及び機密情報の条件についてのルールを定めること
- 評価基準:年1回以上の頻度で、リモートワークに関するルールの内容および遵守状況について点検することが求められます。
- コプリガードの役割: リモートワーク環境下でのルールの遵守状況を点検する際、技術的に持ち出しを禁止している事実は、ルールが形骸化していない客観的な証拠となり、点検の信頼性と実効性を高めることができます。
No. 4-1-7-2(★4)
- 要求事項:アクセス権の管理ルールを定めること
- 評価基準:年1回以上の頻度で役員、従業員、派遣社員及び受入出向者に付与したアクセス権の棚卸を実施することが求められます。
- コプリガードの役割:OS標準のアクセス権棚卸しを代替するものではありませんが、コプリガード独自の権限棚卸しとして要件の一部を満たします。「領域割当」機能により、ユーザーやグループごとに権限制御が可能です。管理画面でこのポリシー一覧を定期的に確認することで、二次利用などの権限棚卸しをスムーズに実施できます。
No. 4-1-9-3(★4)
- 要求事項:可搬媒体の持込み・持出しを制限すること
- 評価基準:年1回以上の頻度で、パソコン、外部記憶媒体等における持込みルールおよび持出しルールの内容および遵守状況について点検することが求められます。
- コプリガードの役割:USBメモリーへの書き出しを一律禁止に設定していれば、その設定内容と操作ログを確認するだけで点検業務が完了し、ルールの実効性を容易に証明できます
No.4-2-1-2 / 4-2-1-3(★3/★4)
- 要求事項:経営層を含むすべての要員に対して、セキュリティの意識向上のための教育・研修を実施すること
- 評価基準:職場単位で重要なルール及びリスクを年1回以上周知し、かつ機密区分の定義と取扱い等のトピックについて、教育資料配布やeラーニング等による教育・研修を年1回以上実施することが求められます。
- コプリガードの役割:禁止操作をした際に表示されるポップアップメッセージにより、守るべきルールを業務中にリアルタイムで周知できます。これにより、日常的に従業員へ意識付けを促し、教育・研修の実効性を高めることが可能です。
No. 5-2-1-1 / 5-2-1-2(★4)
- 要求事項:セキュリティインシデントのレベル及びレベルごとの対象範囲を明確にすること
- 評価基準:不審な認証試行の検知やアラートを受け取った場合に、あらかじめ定めたレベル及び対象範囲に基づき、どのレベルのインシデントに該当するかを分析し、判断することが求められます。
- コプリガードの役割:コプリガードが禁止操作をブロックした記録はログとして詳細に残るため、不審な挙動が「事故(過失)」なのか「不正(故意)」なのかを分析・判断する際、客観的な証拠として重要な判断材料を提供します。
No. 6-1-1-1(★3)
- 要求事項:セキュリティインシデントへの対応手順、対応体制等を定めること
- 評価基準:発見報告、初動、調査・対応、復旧、最終報告の手順を含んだセキュリティインシデントへの対応手順を定めることが求められます。
- コプリガードの役割:インシデントへの対応手順を整備しても、実際に流出が起きれば調査や報告に膨大な工数がかかります。コプリガードがファイルの持ち出しを出口で遮断することで、重大なインシデントに発展する事案そのものを削減し、担当者の対応負担を軽減します。
★4取得に向けたコプリガードの構成
SCS 評価制度の最高ランクである「★4」を取得・維持するためには、単にセキュリティ機能を導入するだけでなく、経営層の関与、厳格な点検、そして不正アクセスのリアルタイムな遮断といった、高度なガバナンスと防御力が求められます。
★4要件を満たすには何が必要なのか、コプリガードの最適な構成をご提案します。
1.基盤構成:コプリガード「サーバー管理版」の採用
★4取得において、スタンダード版ではなく「サーバー管理版」の採用が必須と言える理由は、評価項目における「点検」と「報告」の自動化にあります。
一括点検とエビデンス抽出(No. 1-4-1-1, 3-1-1-4)
★4では多くの項目で年1回以上の点検と経営層(CISO)への報告が義務付けられています。サーバー管理版であれば、全端末のポリシー適用状況や設定内容を管理画面から一括で出力できるため、客観的なエビデンス(証拠)として報告業務を効率化できます。
2. 防御構成:「共有フォルダー保護拡張オプション」の追加
★4特有の「検知・遮断」および「リモートワーク」の要件を満たすための鍵となる構成です。
BYOD・リモートワークの厳格化(No. 3-1-5-1)
個人所有機器へのダウンロード許可ルールを定める要件に対し、本オプションがあれば「コプリガード未導入端末は、重要フォルダーにアクセス不可」という極めて明確で堅牢な運用ルールを実装できます。
不正アクセスのリアルタイム遮断(No. 5-1-1-1)
★4ではネットワーク境界等で「不正アクセスをリアルタイムに検知・遮断する仕組み」が求められます。本オプションを導入することで、コプリガードがインストールされていない管理外デバイス(私物スマホ、Mac、不正端末など)から重要フォルダーへのアクセスを遮断できます。
以上の構成により、SCS 評価制度★4が求める評価基準を、技術的に高度な強制力をもって実現することが可能になります。
番外編:社外へ提供するファイルの保護とトランセーファーの役割
SCS 評価制度では、自社内での対策だけでなく、取引先へ機密情報を提供する際のルール作りも求められます。例えば「機密情報の取扱い(No. 2-1-2-1)」では、共有先との間で複製可否や第三者への提供可否を取り決めることが求められ、また「データの暗号化(No. 4-3-1-1, 4-3-1-2)」では、社外に持ち出すファイルや重要な機密情報の暗号化ルールの策定が必須となります。
こうした「社外に提供(配布)するファイル」の保護において、要件達成を強力に後押しするのが「トランセーファー BASIC」です。
トランセーファーは、社内外に配布するファイルの二次利用を防止することに特化したソフトウェアです。PDFやMicrosoft Officeファイル等を取引先に渡す際、あらかじめトランセーファーで暗号化しておくことで、相手の環境でも「閲覧はできるが、コピー、保存、編集、画面キャプチャーは一切できない」状態を技術的に強制できます。
社外との情報共有において、SCS 評価制度が求める厳格な機密情報の保護と暗号化ルールを、手間なく確実に実現できるソリューションと言えます。
まとめ:
現代のビジネス環境において、サプライチェーンを標的としたサイバー攻撃は、一企業の枠を超え、国家の安全保障にも関わる重大な懸念となっています。こうした脅威に対し、共通の基準をもって対策状況を可視化するSCS評価制度は、単なる認証の枠組みを超えて、サプライチェーンを構成する組織が互いに信頼しあう、共助の精神に基づいた理念的指標といえます。
本制度は任意ではありますが、実質的には取引継続の正当性を担保し、社会的な責任を果たすための「信頼の証」として機能します。2026年度末の申請開始を見据え、我々に求められるのは、事後的な記録に留まる「管理」の域を脱し、情報の流出を根底から許さない「実効性ある強固な防衛策」を構築することに他なりません。確実なセキュリティ対策の実践が、自社の機密情報を守り抜き、取引先からの信頼を獲得するための確かな一歩となるはずです。
※本記事は自社調査により作成しています。製品の調査には万全を期しておりますが、その内容を保証するものではありません。当資料のご利用は、お客様ご自身の責任においてなされるものであり、資料の内容によって受けたいかなる被害に関しても一切の保証をするものではありません。
本記事の作成者:村澤
所属:株式会社ティエスエスリンク / 営業部
企業と個人のための「情報漏洩対策ソフト」:基礎から高度な選択まで
「情報漏洩対策ソフト」は、多様なニーズに対応しています。ファイルの持ち出し制限、USB管理、ファイル交換ソフトの制限など、基本的な機能から高度なセキュリティ要件まで、限られた予算内で、最適なソフトの選定方法と、導入の流れをこの記事で解説します。
