合格の鍵は英国にあり。英国先行事例（Cyber Essentials）から読み解くSCS評価制度

英国「Cyber Essentials」とは

英国政府が主導する「Cyber Essentials」は、一言でいえば「インターネット上で発生する低レベルなサイバー攻撃の約80%を未然に防ぐことを目指す」認証制度です。

最大の特徴は、膨大な管理策を求めるISMS（ISO/IEC27001：2022）とは対照的に、防御の要となる「5つの技術的コントロール」に絞り込んでいる点にあります（表1参照）。

【表1】 CEで求められる5つの技術的コントロール

経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」、The National Cyber Security Centre「Cyber Essentials」を基にニュートン・コンサルティングが作成

これらの項目は、決して高度な最新技術を求めているわけではありません。むしろ、セキュリティにおける「当たり前の要求事項」を、組織全体で万事徹底することを目的としています。また、本制度の認証有効期間は「1年間」と定められています。毎年更新を求めることで、一度きりの対策で終わらせず、組織のセキュリティ対応が形骸化することを防ぐ仕組みとなっているのです。

CEとSCS評価制度の共通点

日本の「SCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）」は、英国の成功モデルを色濃く反映して設計されています。これまで日本の産業界、特に中小企業においては、ISMS（ISO/IEC27001：2022）のような重厚な認証制度は、コストと手間の両面でハードルが高く、普及が停滞していました。

そこで経済産業省を中心に、「実効性」と「導入しやすさ」を両立させる仕組みとして着目されたのが、英国のCEです。「基本的な対策の徹底こそがサプライチェーン全体の底上げにつながる」という英国が証明した合理性を、日本の商慣習に合わせて再構築したのが、このSCS評価制度なのです。

SCS評価制度の具体的な評価項目を紐解くと、CEが掲げる「5つの技術的コントロール」が形を変えて随所に組み込まれていることがわかります。

例えば、SCS評価制度における「機器の管理」や「脆弱性への対応」は、まさにCEの「セキュリティアップデート管理（パッチ適用）」の内容と類似しています。また、単に「ツールの導入有無」を問うのではなく、「その設定が組織内で標準化され、適切に維持されているか」を重視する構成も、CEにも通じる「サイバー衛生（Cyber Hygiene：手洗いやうがいのように、日常的に行うべき基本的なセキュリティ対策）」の考え方が色濃く反映されています。

メーカーサポート終了による脆弱性の未修正など、古いOS（レガシーシステム）を放置しないという視点についても、CEと同様に、セキュリティの基本を徹底させようとする強い意志が読み取れます。

さらに、評価・確認の仕組み自体も共通しています。SCS評価制度では、★3において専門家の確認に基づく自己評価を求め、★4では外部専門家による厳格な監査（実地・技術検証）を掲げていますが、これは英国の「CE（専門家の確認による自己宣言）」と「Cyber Essentials Plus（技術監査）（以下、CEP）」の関係性と構造上の類似が見られます。

【表2】CEとSCS評価制度の比較

経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」、The National Cyber Security Centre「Cyber Essentials」を基にニュートン・コンサルティングが作成

CEから紐解くSCS評価の実務

ここまで、英国のCE／CEPと日本のSCS評価制度の考え方の共通点を見てきました。SCS評価制度において、自己評価は、評価項目に沿って自社の対応状況を確認するためプロセスは明確ですが、企業の皆様が疑問に感じやすいのは「第三者評価」の部分ではないでしょうか。現在公表されている★4における第三者評価の進め方は、図1のようになります。

図1：★4における第三者評価の進め方

×

では、先行する英国の認証プロセスを踏まえたとき、日本のSCS評価制度の評価はどのように進むのでしょうか。英国の上位認証であるCEPでは、自己評価によるCE取得に加えて、以下の4点について専門家による厳格な検証（第三者評価）が実施されます。

これに対し、日本のSCS評価制度においても、特に上位レベル（★4など）では同様の手法を用いた以下の監査が行われることが予測されます。現在公表されている内容は以下のとおりです。

【表3】SCS評価制度における評価スキーム

経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」P.23を基にニュートン・コンサルティングが作成

特に注目すべきは、認証における「技術的な検証範囲の違い」です。英国のCEPでは、ファイアウォールやセキュリティアップデート管理（パッチ適用）などの「5つの技術的コントロール」が単に導入されているだけでなく、「設計通りに機能しているか」をエビデンス（証跡）ベースで証明することが厳格に求められます。これには、外部・内部両面からの脆弱性診断が含まれます。

一方で、現時点の日本のSCS評価制度の要件案を見ると、ファイアウォールやVPN機器など、外部との接点に関する設定不備や脆弱性の確認（外部脆弱性診断）は求められているものの、対象領域内にある個々の端末やサーバーのアップデート状況まで技術的にスキャンする「内部脆弱性診断」までは明示的に求められていません。これらの点を踏まえると、企業がSCS評価制度の★4取得に向けてまず着手すべきは、「外部との接点となる機器（ファイアウォール、VPNなど）に対する脆弱性診断を前提とした対策と証跡の準備」といえるでしょう。

補足：さらに上位の評価（★5）を見据えた対策

現在、制度の詳細が検討されている最高位レベル「★5」においては、英国のCEPと同様に、内部脆弱性診断の実施が要件に組み込まれる可能性も十分に考えられます。CEPでの実査になぞらえれば、QualysやNessusといった専用の脆弱性スキャナーを用いた、社内ネットワーク内の機器に対する網羅的な診断が求められるかもしれません。

サプライチェーンの中でより高い信頼性を提示したい、あるいは組織のセキュリティレベルを根本から引き上げたい企業は、将来的な要件化を見据え、内部の機器に対する脆弱性管理プロセスについても今から検討しておくことを推奨します。

まとめ

本コラムで紐解いてきた通り、英国のCEから着想を得た日本のSCS評価制度は、単なる形式的な評価ではなく、実効性を重視した極めて実戦的な制度となります。

2026年3月27日には制度構築の方針が公表され、2026年度（令和8年度）末頃の制度開始、すなわち申請受付の開始を目指したロードマップが示されました。特に、政府調達や重要インフラ分野のサプライチェーンに連なる企業においては、今後、本制度による上位評価（★3・★4など）の取得が、取引要件や入札条件に組み込まれる可能性があります。

英国の事例が示すように、サイバー攻撃から自社とサプライチェーンを守る鍵は、高度な技術よりも「当たり前の徹底」にあります。経営層およびセキュリティ担当者は、既に示されている「セキュリティ要求事項」をガイドラインとして参照し、制度開始を見据えた現状把握、ならびに不足している対策の計画的な改善・強化に、今すぐ着手することを強く推奨します。

参考情報