サイバーセキュリティの制度対応で「人がいない」は、言い訳にならなくなりつつあります。経済産業省・内閣官房国家サイバー統括室が策定しIPAが運営するSCS評価制度は、取引先から対応を求められる場面が増えると見込まれていますが、専任担当者を置けない企業にとって評価項目の多さは現実的な壁です。AIと専門家の組み合わせで、その壁をどう乗り越えるか。CISOaaSの今回の対応が示す設計思想を読み解きます。
株式会社セキュアベースは、サイバーリスクガバナンスSaaS「CISOaaS」において、経済産業省・内閣官房国家サイバー統括室が策定しIPAが運営する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」への準拠支援を2026年6月8日より開始した。
SCS評価制度は企業のサイバーセキュリティ対策状況を評価・可視化する任意の制度であり、委託元が委託先に必要な段階(★)を提示して対策状況を確認する運用が想定されている。大企業サプライチェーンに連なる中堅・成長企業が対応を求められる場面が増えると見込まれる一方、専任担当者不在の企業には評価項目の多さが負担となっていた。
CISOaaSでは、AIが対話形式で評価項目のヒアリングを担い、専門コンサルタントがレビューする二段階フローにより、専任CISOを置けない企業でも★3・★4レベルの準拠対応を進められる。またCIS Controls v8.1、NIST CSF 2.0、OWASP Top 10 for LLM 2025を含む計5種・560評価項目を同一環境で評価でき、リスクの年間損失額試算や改善ロードマップ、経営会議向けPDFレポートの出力にも対応する。SCS評価制度の詳細仕様(評価ガイド等)は2026年秋頃に公表予定で、セキュアベースは仕様確定に合わせて機能を継続アップデートするとしている。
From: 
セキュアベース、サイバーリスクガバナンスSaaS「CISOaaS®」で経済産業省「SCS評価制度」への準拠支援を開始
【編集部解説】
「セキュリティ担当者がいないので、制度への対応が難しい」——SCS評価制度をめぐる中堅・中小企業の声を一文で表すとすれば、こうなるかもしれません。CISOaaSが今回打ち出したのは、この課題に対するひとつの答えです。AIが評価項目のヒアリングを担い、専門コンサルタントが結果をレビューするという二段階フローは、制度対応の入口を「専任担当者がいなくても通れる」設計に変えようとするものです。
SCS評価制度が企業に迫るもの
SCS評価制度は、経済産業省・内閣官房国家サイバー統括室が2026年3月に制度構築方針を正式決定し、IPAが運営する制度で、2026年度末の申請受付開始が見込まれています。任意の制度ですが、委託元(発注企業)が委託先(取引先)に必要な★レベルを提示して対策状況を確認する運用が想定されており、大企業サプライチェーンに連なる中堅・成長企業が取引先から対応を求められる場面は今後増えると見込まれます。
制度が実質的な「取引要件」として機能しはじめたとき、対応できない企業は取引から外される可能性があります。しかし問題は、対応したくても「評価項目が多く、専任担当者がいない企業には負担が重い」という構造的な難しさです。
★3レベルの申請にあたっては、セキュリティ専門家による確認を経た自己評価(専門家確認付き自己評価)が求められます。評価項目の読み解きから専門家のレビューまで、ひとり情シスや兼任担当者が全工程を回すのは容易ではありません。
AIと専門家の役割分担という設計
CISOaaSのフローは、この負荷をAIと専門家に分散させる構造です。AIが対話形式で評価項目のヒアリングを引き受け、回答はテキスト入力ではなく選択肢からのクリックが中心です。社内規程などの書類を添付すれば、AIが内容を読み取って評価に反映する仕組みも備えています。専門用語はかみ砕いて質問されるため、セキュリティの専門知識がない担当者でも操作が進められるとしています。
その後、当社のセキュリティコンサルタントがAIの一次評価をレビュー・承認する二段階フローを経て、結果が確定します。★3対応は月額3万円の自己診断プラン(AI自動完結)から、★4対応は月額18万円の専門家レビュープランで提供されます。
この設計から読み取れるのは、「CISOの機能を外部化・分散化する」という思想です。専任CISOの採用は人材難もあり、中堅・成長企業には現実的でないケースが多い。そこでAIが自走できる部分を自走させ、専門家の判断が必要な部分にのみ人を投入することで、継続的なガバナンスを月額定額で維持できる構造にしています。
評価結果を経営判断につなぐ
もうひとつ注目される点は、制度準拠の確認にとどまらず、評価結果を経営層への説明材料に変換する機能です。リスクを年間損失額として試算し(FAIR+モンテカルロ・シミュレーション)、推奨投資額や投資対効果まで算出したうえで、経営会議で使えるPDFレポートを自動生成します。「セキュリティ対策に予算をつけてもらえない」という現場の課題に対し、定量的な説明材料を準備するところまでをひとつの流れで完結させる設計です。
また、SCS評価基準を含む5つのフレームワーク(CIS Controls v8.1.2、NIST CSF 2.0、ISO 27001:2022、OWASP Top 10 for LLM 2025)を同一環境で並行評価できるため、SCS対応を契機に他のフレームワークとの整合を確認したい企業にとっても入口になりえます。
留意しておくべき点
一点確認しておく必要があります。SCS評価制度の評価ガイド等の詳細仕様は2026年秋頃に公表予定であり、現時点ではまだ制度の全容が確定していません。セキュアベース自身もプレスリリース内で「SCS評価制度に関する正式・最新の情報は、スキームオーナーであるIPAの公表情報を必ずご確認ください」と注記しており、今後の仕様確定に合わせた機能アップデートを予告しています。現時点で準拠支援の利用を検討する場合は、制度の正式仕様とのすり合わせが必要な段階であることを念頭に置いておくべきでしょう。
【用語解説】
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)
経済産業省・内閣官房国家サイバー統括室が制度構築方針を策定し、IPAが運営する、企業のサイバーセキュリティ対策状況を評価・可視化する制度。★1〜★5のレベルで評価され、取引先から必要な★レベルを提示される運用が想定される。2026年度末の申請受付開始が見込まれている。
CISO(Chief Information Security Officer)
最高情報セキュリティ責任者。組織全体のサイバーセキュリティ戦略を統括する役職。専門人材の採用難・コスト負担から、CISOを置けない中堅・中小企業は多い。
CIS Controls(CISコントロールズ)
米国のCenter for Internet Securityが策定する、実践的なサイバーセキュリティ対策のフレームワーク。攻撃データを起点に優先度が設定されており、IG1〜IG3の実装グループに分かれている。v8.1.2が最新版。
NIST CSF(NISTサイバーセキュリティフレームワーク)
米国国立標準技術研究所(NIST)が策定したサイバーセキュリティのフレームワーク。識別・防御・検知・対応・復旧・ガバナンスの6機能で構成され、経営層への報告にも活用される。2024年2月に2.0が公開。
OWASP Top 10 for LLM
生成AI・大規模言語モデル(LLM)アプリケーション固有のセキュリティリスクをまとめたリスト。OWASPが策定・公開し、プロンプトインジェクションや機密情報漏洩などが上位に挙げられている。
FAIR(Factor Analysis of Information Risk)
情報リスクを財務的に定量化するための国際標準フレームワーク。損失の発生頻度と規模を確率分布で算出し、年間期待損失額を「いくらの確率でいくら」という形で示す。
Gordon-Loebモデル
情報セキュリティへの最適投資額を算出する経済学モデル(Gordon & Loeb, 2002)。年間期待損失額に基づき、過剰投資・投資不足を防ぐための最適投資上限を導く。
【参考リンク】
CISOaaS®(株式会社セキュアベース)(外部)
AIと専門家が一体となってサイバーリスクの可視化・投資最適化・継続的ガバナンスを支援するプラットフォーム。SCS評価制度を含む5フレームワーク・560評価項目に対応。プラン・料金も公開されている。
SCS評価制度(IPA)(外部)
経済産業省・内閣官房国家サイバー統括室・IPAによるSCS評価制度の公式サイト。制度構築方針、★3・★4要求事項・評価基準、よくある質問などが公開されている。制度の最新・正式情報はこちらで確認できる。
経済産業省「SCS評価制度の構築方針」公表ページ(外部)
2026年3月27日付の経産省プレスリリース。制度構築方針のPDF、★3・★4要求事項・評価基準(Excel)が入手できる。評価ガイド等の詳細仕様は2026年秋頃に公表予定と明記されている。
【関連記事】
サイバーセキュリティ対策強化へ、中小企業がvCISOサービスに注目
専任CISOを置けない中小・中堅企業が外部のvCISOサービスでセキュリティガバナンスを担保しようとする動きを解説。今回の記事と同じ課題構造を扱っており、あわせて読むと背景が理解しやすい。
松沢書店、ランサムウェア被害で「楽譜ナビ」「注文くん」停止 メール受注で業務継続へ
サプライチェーンの中継点となる中堅・専門企業がランサムウェアの標的となった国内事例。SCS評価制度が対象とするリスクが、すでに現実の被害として起きていることを示す。
【編集部後記】
専任担当者がいない企業がセキュリティ要件を満たすために何が必要か、その問いに対するアプローチはツールだけで完結しない部分も多くあります。私たちも引き続き、制度の正式仕様が固まる秋以降の動きを注視していきたいと思います。
