SCS評価制度（セキュリティ評価制度）対応

SCS評価制度とは

SCS評価制度は、経済産業省と内閣官房が推進するサプライチェーンのセキュリティ強化を目的とした評価制度です。企業がセキュリティ対策の実施状況を第三者に評価してもらい、★1〜★5の評価を取得する仕組みです。

特に製造業・インフラ系企業や、大企業のサプライヤーとなる中小企業において、取引条件として★3/★4の取得を求められるケースが増えています。

★1〜★2

パスワード管理・アップデート適用・バックアップなど、基礎的なセキュリティ対策の実施。

★3

セキュリティポリシー策定・インシデント対応手順の整備・定期的なログレビューの実施。

★4〜★5

EDR/SIEMによる継続的監視・相関分析・インシデント対応の証跡記録・定期レポートの提出。

SCS★4が求める技術要件のうち、BBSACが担当できる項目を示します。ガバナンス・体制整備・取引先管理はパートナーSIerや社内対応が必要です。

SCS★4 要件	BBSACの対応内容	状態
ネットワーク通信の監視	Zscaler・Cloudflare Zero Trustのログを収集・分析。C2通信・異常アクセスを検知	✅ 対応
ハードウェア・ソフトウェアの挙動監視	CrowdStrike・Microsoft DefenderのEDRログを解析。マルウェア・異常プロセスを検知	✅ 対応
ログの取得・定期レビュー	Bronze〜Platinumの4層でログを蓄積。週次・月次でAIがレビュー結果を生成	✅ 対応
異常の検知・アラート	AI（Claude Haiku）による重大度判定・統計異常・地理的異常・相関分析で検知	✅ 対応
インシデント通知（60分以内）	重大度High以上を数分以内にTeams/Slackへ通知	✅ 対応
定期的なセキュリティレポート	週次・月次レポートをAIが自動生成。経営者向け総括・前月比・MITRE分布を含む	✅ 対応
インシデント対応記録（証跡）	Platinumファイルにタイムスタンプ・対応内容を記録（WORM記録は実装予定）	一部対応
脅威インテリジェンスの活用	AIによるCVE・MITRE ATT&CK解説を各アラートに付与	✅ 対応
セキュリティガバナンス体制	社内規程・体制整備はお客様側での対応が必要	お客様対応
サプライヤー管理	取引先のセキュリティ評価はお客様側での対応が必要	お客様対応

SCS評価の審査では、セキュリティ対策の実施を証明する証跡書類が必要です。BBSACが自動生成するデータが証跡として直接活用できます。

証跡① 監視ログ

各ベンダーから収集した生ログ（Bronze）・正規化済みログ（Silver）・AI分析結果（Platinum）が顧客AWSのS3に保存されます。「継続的監視の実施」の証跡として提出できます。

証跡② 定期レポート

毎週月曜日・毎月1日にAIが自動生成するレポートが「定期的なセキュリティレビュー」の実施証跡になります。過去レポートはダッシュボードからダウンロードできます。

証跡③ インシデント対応記録

アラートごとに検知時刻・AI分析・対応アクションのタイムスタンプが記録されます。「インシデント対応の記録」要件に対応します。

証跡④ 通知実績

重大インシデントの通知メッセージがTeams/Slackに残ります。「異常発生時の即時通知体制」の実績として活用できます。

フェーズ	実施内容	担当
Phase 1 （1〜2週間）	BBSAC導入・ベンダー接続・ダッシュボード稼働開始	BBSAC
Phase 2 （1〜2ヶ月）	セキュリティポリシー策定・インシデント対応手順の整備	お客様 + パートナーSIer
Phase 3 （運用開始後）	週次・月次レポートを蓄積。証跡書類の整理	BBSAC（自動）
Phase 4 （3〜6ヶ月後）	SCS評価機関への申請・審査対応	お客様 + パートナーSIer