・制度要求事項と自社の現状対策とのギャップが把握できていない
・★3と★4のどちらを目指すべきか判断がつかない
・限られたリソースの中で効率的に評価取得を進めたい
・既存のISMS認証やセキュリティガイドラインとの整合性を取りたい
・評価取得に向けた社内体制・プロセスの整備が必要
制度の概要と企業への影響
経済産業省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」は、企業のサイバーセキュリティ対策状況を★3〜★5の段階で可視化し、サプライチェーン全体のセキュリティ水準向上を目指す制度です。
制度の背景
近年、サプライチェーンに起因するサイバー・インシデントが増加しており、取引においてもサイバーセキュリティ対策の担保が求められています。一方で、受注企業は異なる取引先から様々な対策水準を要求され、発注企業は外部から各企業の対策状況を判断することが難しいという課題が存在しています。
評価段階
| 評価段階 | 位置づけ | 要求項目数 |
| ★3 | 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策 | 83項目 |
| ★4 | サプライチェーン企業等が標準的に目指すべきセキュリティ対策 | 157項目 |
| ★5 | 高度なセキュリティ対策(検討中) | 未定 |
※★1・★2はIPAの「SECURITY ACTION」制度と連携
想定スケジュール
・2025年度:制度構築方針の成案化、実証事業
・2026年度末:★3・★4の運用開始
・2027年度以降:取引条件として制度が参照される可能性
こんな課題をお持ちの企業様へ
-
Solution01
受注企業(評価を取得する側)
-
Solution02
発注企業(評価を要求する側)
・委託先への評価段階の要求方針を整理したい
・サプライチェーン全体のセキュリティリスクを可視化したい
・委託先管理プロセスに制度を組み込む方法がわからない
・取引先とのネットワーク接続状況の見直しが必要
サービスの特徴
-
Feature01
専門性と実績
金融機関・公的機関のセキュリティガバナンス支援で培った実践知を活かし、制度要件の形式的な充足にとどまらない、実効性のある対策整備を支援します。
-
Feature02
横断的な知見
NIST CSF、ISMS、金融庁サイバーセキュリティガイドライン、自工会/部工会ガイドライン等、国内外の各種フレームワーク・ガイドラインとの整合性を踏まえた包括的なアドバイスを提供します。
-
Feature03
伴走型支援
「Beyond Advisory」の理念のもと、提言にとどまらず、クライアントと共に手を動かし、確実な成果へと導きます。
なお、弊社では本制度開始に向け、★4における評価機関の認定準備を進めております。
サービス内容
-
Content01
現状評価・ギャップ分析
現行のセキュリティ対策状況を棚卸しし、制度要求事項との差分を明確化します。
・現行セキュリティ対策状況の棚卸し
・制度要求事項(★3:83項目、★4:157項目)との差分分析
・サプライチェーン上の自社ポジション評価
・既存認証(ISMS等)・業界ガイドラインとのマッピング -
Content02
目標設定・ロードマップ策定
取引要件や自社のリソースを踏まえ、現実的かつ効果的な対応計画を立案します。
・取引要件を踏まえた目標評価段階の設定
・既存認証・ガイドライン対応状況との統合整理
・優先順位を明確にした段階的対応計画の立案
・必要リソース・投資の見積もり -
Content03
対策実装支援
計画に基づき、実際の対策整備を伴走型で支援します。
・セキュリティポリシー・規程類の整備
・技術的対策の導入支援(資産管理、アクセス制御、ログ管理等)
・組織体制・プロセスの構築
・従業員教育・訓練の実施支援 -
Content04
評価取得支援
評価取得に向けた準備から、評価機関対応までをサポートします。
・自己評価の実施支援(★3における自己評価、★4第三者評価前の自己評価)
・第三者評価に向けた準備・模擬評価
・エビデンス整備のサポート
・評価機関対応のサポート -
Content05
発注企業向けサービス
委託先への評価要求や、サプライチェーン全体のリスク管理を支援します。
・委託先管理方針の策定支援
・取引先への評価段階要求基準の設計
・サプライチェーンリスク管理プロセスへの制度組み込み
・委託先評価・モニタリングの仕組み構築
支援の進め方
-
Phase01
現状評価・ギャップ分析(1〜2か月)
主な成果物:ギャップ分析レポート -
Phase02
ロードマップ策定(1か月)
主な成果物:対応ロードマップ -
Phase03
対策実装支援(3~6か月)
主な成果物:規程類、体制・プロセス -
Phase04
評価取得支援 (1~2か月)
主な成果物:評価取得
マネージャー
有野 恭平 Kyohei Arino
経歴
PwCあらた有限責任監査法人(現 PwC Japan有限責任監査法人)、グローバル上場企業、ITスタートアップにおいて、10年以上にわたりガバナンス強化、内部監査、リスクマネジメント領域での実務経験を有する。製造業、IT、サービス業など多様な業界に対し、内部監査支援、J-SOX の構築・評価支援、コーポレートガバナンス体制の高度化支援、リスクマネジメントの構築・運用強化支援、さらにIPO準備に向けた内部監査制度設計支援など、幅広いプロジェクトを推進してきた。
また、ベトナム、中国、米国、東南アジアでの豊富な海外実務経験を有し、多国籍チームと連携しながら、グローバル企業のガバナンス強化・内部監査・リスク管理を主導した実績を持つ。
シニアマネージャー
鷹野 智 Satoru Takano
経歴
野村総合研究所にて金融機関のシステム開発、運用保守、プロジェクトマネジメント業務に従事。PwCあらた有限責任監査法人(現PwC Japan有限責任監査法人)にて、金融機関向けに、システムリスク管理、システム監査・サイバーセキュリティ監査の支援に従事。また、デジタル庁にて、ガバナンスマネージャーとして、政府情報システムの統括・監理業務に従事。システム関連のコンサルティング/アドバイザリーに豊富な経験を有する。
資格
Project Management Professional(PMP)
公認情報システム監査人(CISA)
CSM(Certified ScrumMaster)
プロジェクトマネージャ(情報処理試験)
システムアーキテクト(情報処理試験)
執行役員
佐藤 眞 Makoto Sato
経歴
元金融庁監督局特別検査官(2014年4月~2019年3月)で、金融庁、大手金融機関及び大手監査法人等での幅広い勤務経験を有する。
過去に主要行等、外国銀行・外国証券、地方銀行、仮想通貨交換業者など幅広い金融機関のオンサイトおよびオフサイトのモニタリングに従事した経験を有する。近年は、銀行、証券等の金融機関、仮想通貨交換業者に対する内部管理、内部監査、リスク管理及び当局対応支援などのアドバイザリー業務に従事。
資格
公認内部監査人(CIA)
本田 陽一 Yoichi Honda
経歴
PwCあらた有限責任監査法人(現PwC Japan有限責任監査法人)、暗号資産交換業、コンサルティング会社で15年以上にわたり、ガバナンス・リスク管理・コンプライアンスに関するアドバイザリーに従事。
メガバンクグループを始めとした大手金融グループ等に多数のアドバイザリーサービスをプロジェクトマネージャーとして提供した経験を有する。
専門領域はEmbedded Finance、暗号資産交換業、金融規制、リスク管理、金融工学、IT企画など多岐にわたる。
近年は、FinTech等における内部監査、及び新規事業の体制構築・プロジェクトマネジメント等の支援に多数従事。
資格
なし
執行役員
小田切 洋介 Yosuke Odagiri
経歴
PwCあらた有限責任監査法人(現PwC Japan有限責任監査法人)にてJSOXやISMAPなどの制度対応や、セキュリティやシステムリスクなどITリスク管理に関するアドバイザリーに従事。
ISMAP等のグローバル/ローカルのデジタルレギュレーションに精通。
AWS/ DevOpsなどのクラウドベースの先端のシステム環境におけるシステム監査経験を有する。
金融機関やクラウドベンダーなど、幅広いクライアントへの業務実施経験を有する。
AIを活用したシステムを提供するX-Regulationの代表。
資格
公認情報システム監査人(CISA)
執行役員
齊藤 智徳 Tomonori Saito
経歴
金融庁及び大手監査法人等にて、15年以上にわたり、金融規制対応、ガバナンス・リスク管理に係るアドバイザリー及び関連業務に従事。
国内外の金融機関、FinTech事業者、決済サービス事業者、公的機関などに対し、金融規制対応(資金決済法、銀行法、割賦販売法等)、リスク管理体制の構築や内部監査等のサービスを提供。近年では、規制対応の一環として、金融サービスの新規開発や当局への登録等に関する支援も提供。
金融規制対応、内部監査、リスク管理態勢構築のコンサルティング/アドバイザリーに豊富な経験を有する。
資格
公認内部監査人(CIA)
公認AMLスペシャリスト(CAMS)
個人情報保護士
執行役員
江成 秀午 Shugo Enari
経歴
大手監査法人にて金融機関向けのシステムリスクやサイバーセキュリティアドバイザリー、大規模プロジェクトマネジメントに関するアドバイザリー等、多数従事。
その後、大手損保の持株会社にてグループ全体のサイバーセキュリティの統括リードや、損保事業会社における大規模プロジェクトのガバナンス構築運用に従事。また、DX活動におけるセキュリティ対策やAIなどのデジタルリスクマネジメントの整備等も務める。
外資系コンサルティング会社および監査法人系コンサルティング会社では、DX戦略の実現に資するリスクマネジメントサービスの立ち上げや、金融機関向けのオペレーショナル・レジリエンス、AIガバナンス、サイバーセキュリティ、TPRM、大規模プロジェクトマネジメント支援などデジタルガバナンス・リスクに関するサービスを担当。
現在、株式会社フロンティアにおいて、金融機関をはじめ様々な業種のお客様に向けたデジタルガバナンス・リスクに関する整備・実行サービスのリードを務める。
資格
公認情報システム監査人(ISACA)
プロジェクトマネージャ(IPA)
システム監査技術者(IPA)
執行役員
柴田 裕 Yutaka Shibata
経歴
都銀系システム開発子会社を経て、有限責任あずさ監査法人で17年にわたり、IT監査およびシステムリスク、セキュリティに係るアドバイザリーに従事。
地方銀行やネット銀行を始めとした国内金融機関、システム共同センターに対するアドバイザリー業務や、クラウドベンダーに対するISMAP情報セキュリティ監査において豊富な経験を有する。
資格
システム監査技術者
公認情報システム監査人(CISA)
公認情報セキュリティ監査人(CAIS)
執行役員
土田 浩之 Hiroyuki Tsuchida
経歴
PwCあらた有限責任監査法人(現PwC Japan有限責任監査法人)、コンサルティング会社、テック企業等で15年以上にわたりグローバルの内部監査や経営管理業務等に従事。
主にグローバルの製造業、ITサービス業、公的機関等のクライアントを中心に、アジアや米欧諸国等15か国以上で海外子会社の内部監査コソーシング/アウトソーシング等を提供した経験を有する。
その後、日米中で事業展開するテック系ユニコーン企業において、内部監査部門長として、グローバルの内部監査・リスクマネジメント・コンプライアンス・セキュリティ等の体制をハンズオンで構築。
米国シリコンバレー子会社のFront-IA Innovations, Inc.の代表。
資格
公認内部監査人(CIA)
公認情報システム監査人(CISA)
公認不正検査士(CFE)
中小企業診断士
フロンティア・アドバイザリー・アンド・コンサルティング株式会社 | 取締役<br>Frontier Advisory & Consulting Inc. | Director
武田 智行 Toshiyuki Takeda
経歴
PwCあらた有限責任監査法人(現PwC Japan有限責任監査法人)で、三菱UFJ信託銀行株式会社、エーオンヒューイットジャパン株式会社、アイシン精機株式会社での勤務を経て現職。
注力分野は、コーポレートガバナンス、役員報酬・報酬委員会、内部監査を含む企業法務全般、人材・タレントマネジメント、信託、歴史的建築物の保存等。
御園総合法律事務所パートナー弁護士
ライズ・コンサルティング・グループ社外取締役
早稲田大学紛争交渉研究所 招聘研究員
資格
弁護士
代表取締役
正田 洋平 Yohei Shoda
経歴
PwCあらた有限責任監査法人(現PwC Japan有限責任監査法人)及びコンサルティング会社等で約15年以上にわたり、ガバナンス・リスク管理・コンプライアンスに係るアドバイザリーに従事。
プロジェクトマネージャーとしてメガバンクを始めとした国内外の主要金融機関、政府系金融機関、公的機関、事業会社など幅広いクライアントにアドバイザリー業務を提供した経験を有する。
内部監査・システム監査のコンサルティング/アドバイザリーに豊富な経験を有する。
資格
公認内部監査人(CIA)
公認情報システム監査人(CISA)
公認不正検査士(CFE)
CSM(Certified ScrumMaster)
