前回は、SCS評価制度の全体像と、なぜEDIが「無関係ではない領域」として見られやすくなるのかを整理しました。SCS評価制度の文脈では、取引の中でセキュリティ対策状況が確認されることが前提になります。
そのため多くの企業にとって最初の関心事は、「結局、まず何をどこまでやればいいのか?」という点ではないでしょうか。

そこで第2回となる本稿で取り上げるのが、★3(最低限実装すべき対策)です。 ​
★3は「高度な対策」を求めるものではありません。むしろ、後続の★4・★5に進むための“土台づくり”に近い位置づけとなります。 ​
それでは、SCS評価制度★3をEDIの運用現場に引き寄せて読み解き、「最低限、何をそろえておくべきか」を整理していきましょう。

※本稿の制度内容の整理は、経済産業省が公表している「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」および関連資料を参考に、EDI実務の観点から再構成しています。

SCS評価制度★3とは何か

制度構築方針(案)における★3は、すべてのサプライチェーン企業が最低限実装すべき対策レベルとして整理されています。EDIの観点で重要なのは、★3が「新しい仕組みを導入すること」を直接求めているわけではない、という点です。
むしろ問われやすいのは、

現状を把握できているか
運用として説明できる状態になっているか

という“整理と見える化”の部分です。

第1回で提示した①~⑥は、★3対応を「何から手を付けるか」に落とすためのチェックポイントです。 ここでは各項目について、★3でまず揃えたい“最低限の到達点”と、第三者に示しやすい“文書・記録”をセットで整理します。

6つのチェックポイント

1. 脆弱性管理:更新が「運用として回っている」と言えるか

★3の最低限

OSやミドルウェアを最新状態に保ち、脆弱性を放置しない方針がある。
「いつ」「誰が」「どの範囲」を更新するかの運用が決まっている。

文書・記録

更新方針
直近の更新記録(例:月次の実施記録、変更履歴の抜粋)
適用できない場合の扱い(例外の理由・期限・代替策)
ポイント:★3では“完全な脆弱性管理プログラム”よりも、放置しない運用があることを示すのが先です。
2. 通信の安全確保:暗号化が「管理されている」と言えるか

★3の最低限

通信が適切に暗号化され、盗聴・改ざんのリスクを抑えている。
暗号設定が場当たりでなく、標準として管理されている。

文書・記録

暗号化の方針(適用範囲・例外)
設定の根拠(画面キャプチャや設定一覧の抜粋など)
証明書など期限のある要素の更新手順(担当・期限管理の方法)
3. アクセス管理・認証:「誰が触れるか」を説明できるか

★3の最低限

ID/パスワード管理が適切で、許可された人だけがアクセスできる。
権限が必要以上に広がっていない(管理者が増殖していない)。

文書・記録

アカウント一覧(管理者・運用者・参照者の区分が分かる程度)
権限付与・変更・削除の手順(異動/退職時を含む)
直近の棚卸し結果(年1回でも実施した記録があると望ましい)
4. ログ取得・証跡:ログが「取れる」ではなく「出せる」か
★3で差が出やすいのがログです。ログは“ある”だけでは弱く、必要なときに取り出せることが重要です。

★3の最低限

送受信記録や処理結果、エラー、操作履歴など、追跡に必要なログが取れている。
保管場所・保管期間・参照できる人が決まっている。

文書・記録

「どのログが」「どこに」「どれくらい」残るかの一覧
未着・重複・遅延など、典型的な問い合わせ時の一次切り分け手順
5. 事業継続性(BCP):止まったときの“戻し方”が決まっているか

★3の最低限

障害・災害時に業務を止めない/止まっても戻すための方針がある。
バックアップ・復旧の考え方(誰が判断し、どう戻すか)が整理されている。

文書・記録

バックアップ方針(頻度・保管先・復元手順の所在)
復旧手順(最低限の“手順の入口”があるだけでも良い)
代替手段の考え方(手動処理や連絡テンプレなど、現実的な案)
6. 外部委託先の管理:外部サービスが絡む場合の説明材料があるか
制度構築方針(案)では、外部サービス(クラウド等)を利用する場合、責任共有モデルに基づいて利用者側の実装範囲と、提供者側の対策状況の確認が必要、と整理されています。

★3の最低限

外部サービス利用がある場合に、「どこまでが自社で、どこからが提供者側か」が整理されている。
提供者側の対策状況を、何で確認するかの方針がある。

文書・記録

利用している外部サービスの一覧(名称・用途・責任の境界)
提供者の対策状況確認に使う資料(例:公開資料、監査報告、認証等の写し/参照先)
SCS評価制度に向けて、まずはEDIの現状把握から。
(画像)ITイメージ図

EDI‑Master Cloudは、SCS評価制度で求められるEDI運用の整理と説明性向上を支援します。SCS評価制度への備えや、EDIのセキュリティ対策について、自社の状況に合わせて確認したい方は、お気軽にご相談ください。

EDI‑Master Cloudについて相談する

★3は「できているか」を確認するための基準

ここまで整理してきた内容を見ると、★3において注目されやすいのは、「特別なツールが導入されているか」や「高度な対策が実施されているか」といった点そのものではありません。 むしろ、

現状を把握できているか
運用として説明できるか
属人化せず、最低限の形になっているか

といった“土台として整っているか”が重視されるテーマだと考えられます。
この土台が十分に整わないまま★4に進もうとすると、第三者評価の段階で、「説明が追いつかない」「運用が人に依存している」といった課題が表面化しやすくなります。

★3対応を進める際の進め方(3ステップ)

ここまでの6点を整理するにあたり、進め方の一例として、次のように段階を分けて取り組む方法があります。

STEP 1 現状を6点で棚卸しする
まずは「できている/できていない」よりも、説明の材料(規程・手順・記録)が揃っているか、特定の人に依存していないかといった観点で整理すると、次の手当てが見えやすくなります。
STEP 2 文書・記録(最小セット)を揃える
文書は厚く作ることが目的ではありません。どこに何があり、必要なときに提示できるか(所在・更新・参照手順)が分かる形に整えておくと、説明がしやすくなります。
STEP 3 障害・インシデント時の初動を決める
異常をどう把握するか(通知の受け口)
影響範囲をどう切り分けるか(どこを見るか)
連絡の順序(社内・取引先)
復旧の判断・手順(再送・代替・復旧基準)

といった初動の要点を決めておくと、対応が属人化しにくくなります。

次回予告:★4になると何が増えるのか
次回(第3回)は、★4(第三者評価)を見据えたときに、確認されやすいポイントと、準備しておきたい根拠(運用記録・ログ・手順)を、今回の6点(①~⑥)の軸で整理します。
 SCS評価制度への備えや、EDIのセキュリティ対策について、自社の状況に合わせて確認したい方は、お気軽にご相談ください。

関連するソリューション・製品

EDI-Master Cloud

通信・変換・ジョブフロー・運用管理機能と各種APIを備え、サーバ不要でEDI機能をクラウド上でご利用いただけるのに加えて、EDI業務運用サービスも提供します。

詳細へ

セキュリティ対策診断サービス セキュリティ対策評価制度対応版

専任のエンジニアがお客さまのセキュリティ対策状況を詳細にヒアリングし、潜在的なリスクを可視化するソリューションです。セキュリティ対策評価制度の認定レベル(★3/★4)を基準に顧客のセキュリティ対策状況を診断し、現状を可視化したうえで、課題に応じた対策の強化や追加の対策を提案します。

詳細へ

※この記事はキヤノンITソリューションズ株式会社による記事の転載です。

[PR]提供:キヤノンITソリューションズ