福岡・九州の中小企業の情報セキュリティ対策を、登録セキスペが実務目線で支援します。

SCS★3準備支援

取引先からセキュリティ対策を確認される前に、SCS評価制度★3を見据えた準備を始めませんか。

ライトハウスコンサルタントでは、福岡・九州の中小企業を中心に、サプライチェーン強化に向けたセキュリティ対策評価制度、いわゆるSCS評価制度の★3を見据えた準備支援を行っています。

SCS評価制度は、サプライチェーンを構成する企業のセキュリティ対策状況を共通の基準で可視化し、委託元企業・委託先企業の双方の負担を軽減しながら、サプライチェーン全体のセキュリティ水準を高めることを目的とした制度です。

2026年5月現在、SCS評価制度は運用開始前の段階です。★3・★4の運用開始は2027年3月頃が予定されており、申請方法や詳細な運用手順は今後公開される予定です。

そのため、当サービスでは「取得保証」や「公式な申請代行」ではなく、制度開始に向けて、現時点で公表されている要求事項・評価基準や中小企業の情報セキュリティ対策ガイドラインを踏まえ、貴社の現状整理、ギャップ確認、規程整備、自己評価準備を支援します。

SCS★3準備について相談する

このような企業様におすすめです

  • 大手企業、自治体、重要インフラ関連企業、元請企業との取引がある
  • 取引先から情報セキュリティに関するチェックシートの提出を求められることが増えている
  • SECURITY ACTION二つ星の次の段階として、より実務的な対策を整えたい
  • SCS★3の要求事項・評価基準に対して、自社がどの程度対応できているか確認したい
  • 情報セキュリティ規程、情報資産台帳、アクセス管理、ログ管理、バックアップ、インシデント対応手順を整備したい
  • 専任の情報システム担当者やセキュリティ担当者がいない
  • 製品を売り込まれるのではなく、自社に必要な対策を冷静に整理したい

SCS評価制度とは

SCS評価制度は、正式名称を「サプライチェーン強化に向けたセキュリティ対策評価制度」といいます。

近年、取引先や委託先を経由したサイバー攻撃、クラウドサービスの停止、情報漏えい、業務停止などのリスクが高まっています。そこで、企業間取引において、委託元企業が委託先に対して適切なセキュリティ対策の段階を示し、対策状況を確認しやすくするための仕組みとして検討されています。

★3は、一般的なサイバー脅威に対処し得る水準として位置付けられており、取得希望組織が自己評価を行い、セキュリティ専門家による確認・助言を経たうえで、事務局に評価結果を提出する流れが想定されています。

ただし、2026年5月現在、制度の運用開始前であり、申請方法、申請・登録費用、セキュリティ専門家の登録方法などは、今後IPAから順次公表される予定です。

重要:当サービスは「取得保証」ではありません

SCS評価制度は、制度開始前であり、詳細な申請手順や登録費用も今後公表される予定です。
そのため、当サービスは、現時点で「SCS★3を必ず取得できる」と保証するものではありません。

また、SCS評価制度は、特定のセキュリティ製品を導入しなければならない制度ではありません。
当サービスでは、不要な製品導入を前提とせず、貴社の業務、規模、取引先、利用システムに応じて、現実的に必要な対策を整理します。

制度開始後に正式な申請・専門家確認が必要となる場合は、IPAが公表する最新情報に従って対応します。

SCS★3に向けて、今から準備すべきこと

SCS★3の取得を見据える場合、単にチェックリストに回答するだけではなく、実際の運用、社内ルール、証跡、担当体制を整理しておくことが重要です。

  • 自社の情報資産、利用システム、クラウドサービス、外部委託先を把握する
  • 情報セキュリティ基本方針や関連規程を整備する
  • アカウント管理、権限管理、退職者アカウント削除のルールを整える
  • バックアップ、復旧手順、ランサムウェア対策を確認する
  • ログ管理、ウイルス対策、脆弱性対応、ソフトウェア更新の運用を確認する
  • インシデント発生時の初動対応、連絡体制、取引先への報告手順を整える
  • 従業員教育、委託先管理、クラウドサービス利用ルールを整える
  • 自己評価時に説明できる資料や証跡を準備する

支援内容

1. SCS★3準備度チェック

現時点で公表されているSCS評価制度の要求事項・評価基準、中小企業の情報セキュリティ対策ガイドライン第4.0版、SECURITY ACTIONの考え方を踏まえ、貴社の現状を確認します。

既に取引先から提出を求められているセキュリティチェックシートがある場合は、その内容もあわせて確認します。

2. 適用範囲の整理

SCS★3の準備では、「どの事業、どの拠点、どのシステム、どのクラウドサービスを対象にするか」を整理することが重要です。

全社を一度に対象とするのか、特定の事業・取引・システムから始めるのかを確認し、無理のない準備範囲を整理します。

3. 情報資産・システム・クラウド利用状況の棚卸し

顧客情報、取引先情報、業務データ、会計データ、設計データ、メール、グループウェア、クラウドストレージ、業務システムなど、保護すべき情報資産を整理します。

あわせて、利用中のクラウドサービス、外部委託先、管理者アカウント、共有アカウント、退職者アカウントの状況も確認します。

4. 規程・ルール類の整備

情報セキュリティ基本方針、情報セキュリティ関連規程、クラウドサービス利用ルール、アカウント管理ルール、バックアップルール、インシデント対応手順など、必要な文書を整備します。

ひな形をそのまま導入するのではなく、貴社の業務実態に合わせて、運用できる内容に調整します。

5. アクセス制御・ログ管理・バックアップの確認

SCS★3を見据える場合、アカウント管理やアクセス権限、ログの取得・確認、バックアップと復旧手順は重要な確認ポイントになります。

管理者権限の付与状況、多要素認証、退職者アカウント削除、ファイル共有の権限、バックアップの保存先、復旧テストの有無などを確認します。

6. インシデント対応体制の整備

ランサムウェア感染、不正アクセス、メール誤送信、クラウドアカウント乗っ取り、情報漏えいなどが発生した場合に、誰が、何を、どの順番で判断するかを整理します。

社内連絡先、取引先への報告、警察・専門機関への相談、ITベンダーへの連絡、広報対応、業務継続の観点を含めて、初動対応手順を作成します。

7. 自己評価準備とギャップ整理

SCS★3の自己評価を見据えて、現状で対応できている項目、追加対応が必要な項目、証跡が不足している項目を整理します。

単なるチェックではなく、経営者や取引先に説明できる形で、改善優先度、対応期限、担当者、必要な費用感をまとめます。

8. ITベンダー・委託先への確認事項整理

クラウドサービス、業務システム、ネットワーク機器、保守会社、Webサイト制作会社など、外部事業者に確認すべき事項を整理します。

「ログは取得できるか」「バックアップはどこに保存されているか」「障害時の復旧時間はどの程度か」「退職者アカウントは削除されているか」など、取引先やITベンダーに聞くべき質問リストを作成します。

成果物

  • SCS★3準備度チェック結果
  • 情報資産・システム・クラウド利用状況の整理表
  • SCS★3要求事項を見据えたギャップ一覧
  • 改善優先度リスト
  • 情報セキュリティ基本方針・関連規程の確認または修正案
  • アカウント管理、アクセス制御、ログ管理、バックアップに関する確認結果
  • インシデント対応手順のたたき台
  • ITベンダー・委託先への確認事項リスト
  • 経営者向け報告書

料金

プラン 内容 料金目安
初回相談 現在の状況、取引先からの要求、SCS対応の必要性を確認します。 30分無料
SCS★3準備度クイックチェック オンライン面談、簡易ヒアリング、現状の課題整理、今後の対応方針の助言を行います。 88,000円(税込)
SCS★3ギャップ診断 要求事項を見据えた現状確認、情報資産・システム状況の確認、ギャップ一覧、改善優先度リストを作成します。 220,000円(税込)〜
SCS★3準備支援ライト ギャップ診断に加え、基本方針・規程類の整備、アカウント管理、バックアップ、インシデント対応手順の初期整備を支援します。 330,000円(税込)〜
SCS★3準備支援スタンダード 3か月程度の伴走支援として、規程整備、運用改善、証跡整理、自己評価準備、経営者向け報告まで支援します。 660,000円(税込)〜
月額セキュリティ顧問 SCS準備後の継続運用、取引先チェックシート対応、インシデント初動相談、従業員教育を支援します。 月額88,000円(税込)〜
訪問対応 福岡県内を中心に訪問対応します。遠方は交通費別途。 個別見積

※ 上記は標準的な料金です。企業規模、対象範囲、拠点数、システム数、既存資料の有無により変動します。

※ SCS評価制度の正式な申請・登録費用は、2026年5月現在、今後公表予定です。上記料金には、制度事務局への申請・登録費用は含まれていません。

※ 本サービスは、SCS★3の取得保証、公式な申請代行、制度上の専門家確認・署名を保証するものではありません。制度開始後は、IPAが公表する最新の手続きに従って対応します。

ご相談の流れ

  1. お問い合わせフォームからご連絡ください。
  2. 取引先からの要求、現在のセキュリティ対策状況、利用中のシステムを確認します。
  3. 初回相談で、SCS★3準備の必要性と優先順位を整理します。
  4. 必要に応じて、クイックチェック、ギャップ診断、準備支援プランをご提案します。
  5. 情報資産、利用システム、クラウドサービス、規程類、運用状況を確認します。
  6. ギャップ一覧、改善優先度、必要な文書・運用改善項目を整理します。
  7. 制度開始後の申請・自己評価に備え、説明できる資料と証跡を整えます。

ライトハウスコンサルタントの特徴

ライトハウスコンサルタント代表の橋爪兼続は、情報処理安全確保支援士、いわゆる登録セキスペです。
中小企業の情報セキュリティ規程整備、情報資産の洗い出し、リスク分析、クラウドサービスの安全利用、インシデント対応、従業員教育などを支援しています。

単にチェックリストを埋めるのではなく、経営者、総務担当者、現場担当者、ITベンダーが実際に運用できる形に落とし込むことを重視しています。

また、福岡・九州エリアの企業様については、オンラインだけでなく、必要に応じて訪問でのヒアリング、社内説明、机上演習にも対応可能です。

よくある質問

Q. SCS★3は今すぐ取得できますか。

2026年5月現在、SCS評価制度は運用開始前です。★3・★4の運用開始は2027年3月頃が予定されています。そのため、現時点では正式な取得ではなく、制度開始に向けた準備を行う段階です。

Q. SCS★3を取得しないと取引できなくなりますか。

SCS評価制度は、個社間の商取引を直接規制する制度ではなく、取引先との間で適切なセキュリティ対策状況を確認しやすくするための任意制度とされています。
ただし、今後、取引先からセキュリティ対策の説明を求められる機会は増えると考えられるため、早めに準備しておくことをおすすめします。

Q. 特定のセキュリティ製品を導入する必要がありますか。

いいえ。SCS評価制度の基準を満たすために、特定のセキュリティ製品の導入が必須とされているわけではありません。
当サービスでは、製品導入を前提にせず、まずは貴社の業務、リスク、既存環境に応じた対策を整理します。

Q. SECURITY ACTION二つ星とは何が違いますか。

SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自己宣言する制度です。
一方、SCS評価制度は、サプライチェーン上の取引先との関係も意識しながら、より具体的な要求事項・評価基準に基づいて対策状況を可視化する制度です。
SECURITY ACTION二つ星を整えた企業が、次の段階としてSCS★3を見据える流れが考えられます。

Q. 公式なSCS専門家確認もお願いできますか。

2026年5月現在、SCS評価制度におけるセキュリティ専門家はまだ公表前です。
当サービスでは、現時点ではSCS★3に向けた準備支援、ギャップ整理、自己評価準備を行います。
制度開始後の専門家確認や申請手続きについては、IPAが公表する最新情報に従って対応します。

Q. どのくらいの期間が必要ですか。

簡易的な準備度チェックであれば短期間で対応可能です。
ただし、情報資産の整理、規程整備、アカウント管理、ログ管理、バックアップ、インシデント対応手順まで整える場合は、1か月から3か月程度を見込むことをおすすめします。

Q. オンラインでも対応できますか。

はい。オンラインで全国対応可能です。
福岡県内および九州エリアについては、内容により訪問対応も可能です。

まずはSCS★3準備度チェックから

SCS評価制度は、制度開始後に慌てて対応するよりも、今のうちから自社の情報資産、システム、クラウド利用、アカウント管理、バックアップ、インシデント対応体制を整理しておくことが重要です。

取引先からセキュリティチェックシートを求められている企業様、SECURITY ACTION二つ星の次の段階を検討している企業様、SCS★3に向けて何から始めればよいか分からない企業様は、ライトハウスコンサルタントへご相談ください。

SCS★3準備支援を相談する

サービス概要

PAGETOP
Copyright © ライトハウスコンサルタント All Rights Reserved.
Powered by WordPress & BizVektor Theme by Vektor,Inc. technology.