SCS評価制度★3取得チェックリスト完全版|8評価分野・証跡整備・申請ステップを情シスが解説【2026年版】
「SCS評価制度の★3を取りたいが、具体的に何を準備すればいいかわからない」「対策はしているつもりだが、どれが証跡として使えるか判断できない」——SCS評価制度★3(Basic)の申請を前に、多くの情シス担当者がこのような壁に直面しています。
★3の合否を分けるのは「対策の実施」ではなく「証跡の整備」です。どれだけ対策を実施していても、記録がなければ評価されません。逆に言えば、今から証跡整備を始めれば、2026年10月の申請開始に間に合います。
この記事では、8つの評価分野ごとに具体的なチェックリストを公開し、証跡整備の実務的な進め方を解説します。
目次
想定読者
- SCS評価制度★3の申請を検討しており、何を準備すべきか整理したい情シス担当者
- セキュリティ対策は実施しているが、★3要件を満たすか自信がない方
- 2026年10月の運用開始前に証跡整備を完了させたい方
- 親会社・取引先から★3相当のセキュリティ証明を求められている企業の担当者
1. ★3の合否は「証跡整備」で決まる:自己評価の仕組み
SCS評価制度★3は「自己評価+専門家助言」で完結します。第三者審査は不要ですが、それは「なんでも自己申告できる」という意味ではありません。
自己評価では、各評価項目に対して「実施している」と回答するだけでなく、実施したことを証明する証跡の有無を問われます。
★3の自己評価で問われること
評価項目のほぼすべてで、以下を確認されます。
- 対策・ルールが文書化されているか(規程・手順書の有無)
- 対策を実際に実施したか(実施の記録・ログの有無)
- 定期的に見直しているか(改訂履歴・日付の有無)
「やっている」と回答しても証跡がなければ「不十分」と評価されます。これが「★3の合否は証跡整備で決まる」と言われる理由です。
証跡として認められる主なもの
- 規程・ポリシー文書(情報セキュリティポリシー、インシデント対応規程等)
- 台帳・リスト(IT機器台帳、ソフトウェアリスト、アカウント管理台帳)
- 実施記録(パッチ適用記録、バックアップ実施・復旧テスト記録、教育受講記録)
- ログ・レポート(アクセスログ、アンチウイルスの定義更新ログ等)
2. ★3チェックリスト:8評価分野別の要件と証跡一覧
以下のチェックリストは、SCS評価制度★3(Basic)の8評価分野に対応しています。「要件」と「証跡として使えるもの」を分野ごとに整理しました。
分野①:経営体制・方針策定
経営層がセキュリティ対策を明示的に方針として定め、組織全体に周知していることを確認します。
| # | チェック項目 | 証跡として使えるもの |
|---|---|---|
| 1-1 | 情報セキュリティポリシーが文書化されているか | ポリシー文書(制定日・改訂日付き) |
| 1-2 | 経営層がポリシーを承認しているか | 役員/経営者の承認印または承認記録 |
| 1-3 | ポリシーを従業員に周知しているか | 配布記録、社内掲示、全員への送付メール |
| 1-4 | セキュリティ担当者(CISO等)が任命されているか | 辞令・任命書、組織図 |
| 1-5 | 年1回以上ポリシーを見直しているか | 改訂履歴(年次見直し日付) |
準備ポイント: ポリシーが存在しても「制定日」「最終改訂日」「承認者のサイン」がなければ証跡として弱くなります。必ずメタ情報を付与してください。
分野②:資産管理
IT機器・ソフトウェア・データの所在と管理責任が明確になっていることを確認します。
| # | チェック項目 | 証跡として使えるもの |
|---|---|---|
| 2-1 | IT機器(PC・サーバー・ネットワーク機器等)の台帳があるか | IT機器台帳(型番・設置場所・管理者・廃棄予定日) |
| 2-2 | ソフトウェア・ライセンスの一覧があるか | ソフトウェアリスト(製品名・バージョン・ライセンス数) |
| 2-3 | 重要データ(顧客情報等)の保管場所が把握されているか | データ分類表・データフロー図 |
| 2-4 | 廃棄機器のデータ消去記録があるか | データ消去証明書・廃棄業者の証明書 |
| 2-5 | 台帳が年1回以上更新されているか | 更新日付・更新者のサイン |
準備ポイント: Excelで作成した台帳でも問題ありません。重要なのは「最終更新日」と「担当者名」が入っていることです。
分野③:脆弱性管理
OSやソフトウェアの脆弱性を定期的に確認し、パッチを適用していることを確認します。
| # | チェック項目 | 証跡として使えるもの |
|---|---|---|
| 3-1 | OSのセキュリティパッチを定期的に適用しているか | パッチ適用記録(適用日・対象機器・バージョン) |
| 3-2 | 業務アプリケーションのアップデートを管理しているか | アプリケーション更新記録 |
| 3-3 | アンチウイルスソフトの定義ファイルを自動更新しているか | 定義更新ログまたはスキャンレポート |
| 3-4 | EOL(サポート終了)製品の把握・対応計画があるか | EOL管理台帳・更改計画書 |
| 3-5 | 脆弱性情報(JVN等)を定期確認しているか | 確認記録・ウォッチリスト |
準備ポイント: Windows Updateの適用だけでは不十分です。「いつ・どの機器に・何のパッチを・誰が適用したか」を記録するシートを作成してください。
分野④:アクセス制御
業務システムへのアクセスが必要最小限の権限に絞られ、多要素認証(MFA)が導入されていることを確認します。
| # | チェック項目 | 証跡として使えるもの |
|---|---|---|
| 4-1 | ユーザーアカウントの一覧があり、権限が管理されているか | アカウント管理台帳(権限レベル付き) |
| 4-2 | 退職者・異動者のアカウントを速やかに無効化しているか | 無効化記録(日付・対象者・担当者) |
| 4-3 | 管理者アカウントと一般アカウントが分離されているか | アカウント管理台帳・AD設定画面のスクリーンショット |
| 4-4 | 重要システムにMFA(多要素認証)が導入されているか | MFA設定画面のスクリーンショット・導入記録 |
| 4-5 | 共有アカウントの使用を制限しているか | アカウントポリシー規程 |
準備ポイント: MFAが未導入の場合は、Microsoft 365のMFA設定から始めてください。設定後のスクリーンショットが証跡になります。
分野⑤:バックアップ・復旧
重要データのバックアップが取得されており、定期的に復旧テストを実施していることを確認します。
| # | チェック項目 | 証跡として使えるもの |
|---|---|---|
| 5-1 | 重要データの定期バックアップを実施しているか | バックアップ設定画面・実施ログ |
| 5-2 | バックアップデータを別の場所(オフサイト等)に保管しているか | 保管場所の記録・クラウドバックアップの設定 |
| 5-3 | バックアップからの復旧テストを年1回以上実施しているか | 復旧テスト実施記録(日付・対象データ・所要時間・担当者) |
| 5-4 | バックアップ保存期間が定められているか | バックアップ規程または設定記録 |
| 5-5 | バックアップ失敗時のアラート・通知が設定されているか | アラート設定画面のスクリーンショット |
準備ポイント: 復旧テストの記録が最も見落とされがちな証跡です。 バックアップは取っていても「本当に復元できるか確認したことがない」という企業は多いです。必ず年1回、実際にファイルを復元して記録を残してください。
分野⑥:教育訓練
全従業員がセキュリティ教育を年1回以上受け、記録が残っていることを確認します。
| # | チェック項目 | 証跡として使えるもの |
|---|---|---|
| 6-1 | セキュリティ教育を年1回以上実施しているか | 研修実施記録(開催日・内容・参加者一覧) |
| 6-2 | 全従業員が受講しているか | 受講完了リスト(氏名・受講日) |
| 6-3 | フィッシングメール訓練等を実施しているか | 訓練実施報告書・クリック率レポート |
| 6-4 | 新入社員・中途採用者への教育が実施されているか | 新入社員向け研修実施記録 |
| 6-5 | 教育内容を年度ごとに見直しているか | 教育計画書・改訂記録 |
準備ポイント: 外部の研修サービス(eラーニング等)を使用している場合、受講完了の自動記録が証跡になります。社内勉強会の場合は参加者サインシートを必ず保管してください。
分野⑦:インシデント対応
セキュリティインシデントが発生した際の対応手順が文書化されており、訓練を実施していることを確認します。
| # | チェック項目 | 証跡として使えるもの |
|---|---|---|
| 7-1 | インシデント対応手順書が作成されているか | インシデント対応規程・手順書(制定日付き) |
| 7-2 | 担当者・連絡先(IPA、顧問弁護士等)が明記されているか | 連絡先リスト(インシデント対応規程に含める) |
| 7-3 | インシデント発生時の報告ルートが定められているか | エスカレーションフロー図 |
| 7-4 | 過去のインシデント(軽微なものを含む)を記録しているか | インシデント記録台帳 |
| 7-5 | 対応訓練(机上演習等)を実施しているか | 訓練実施記録・議事録 |
準備ポイント: 対応手順書がない場合は、IPA の「情報セキュリティインシデント対応ガイドライン」をベースに自社向けに1〜2ページで作成するのが現実的です。
分野⑧:サプライチェーン管理(基礎)
自社の取引先・委託先のセキュリティ管理について、基礎的な把握ができていることを確認します。(★3は基礎要件のみ。★4でより詳細な管理が求められます)
| # | チェック項目 | 証跡として使えるもの |
|---|---|---|
| 8-1 | 個人情報・機密情報を扱う委託先の一覧があるか | 委託先管理台帳(会社名・委託内容・情報の種類) |
| 8-2 | 委託契約に情報セキュリティに関する条項があるか | 委託契約書(セキュリティ条項のページ) |
| 8-3 | 委託先へのセキュリティ要求事項を文書で伝えているか | セキュリティ要求事項の書面・メールの送付記録 |
準備ポイント: 既存の委託契約にセキュリティ条項がない場合、新たな覚書・念書として追加することで対応できます。
SCS評価制度の★3取得に向けた準備を進める中で、どの分野から手をつければいいか迷う場合は、c3index にご相談ください。ギャップ分析から証跡整備まで、情シスの立場で伴走支援します。
3. よくある落とし穴:証跡整備の失敗パターン5選
★3の自己評価で「対策は実施しているのに証跡がない」というケースが多発します。以下の落とし穴を事前に把握しておいてください。
落とし穴①:「やっているが記録していない」
最も多いパターンです。バックアップの実施・パッチの適用・セキュリティ教育などは実施していても、記録が残っていないと証跡にはなりません。今日から記録を残す習慣をつけることが第一歩です。
落とし穴②:「台帳はあるが更新されていない」
IT機器台帳・ソフトウェアリストは存在するが、3年前から更新されていないケースがあります。古い台帳は証跡として認められないため、最終更新日を確認し、現状と一致するよう更新してください。
落とし穴③:「ポリシーはあるが社長が知らない」
情報セキュリティポリシーが担当者レベルで作成されているが、経営層が承認しておらず、従業員にも周知されていないケースです。ポリシーは「経営者の承認+全員への周知記録」が必須です。
落とし穴④:「パッチは自動更新しているが記録がない」
Windows Updateの自動更新はセキュリティ対策として有効ですが、適用記録が残っていないと証跡として使いにくくなります。更新履歴のスクリーンショットを定期的に保存するか、管理ツール(WSUS等)を導入してください。
落とし穴⑤:「退職者のアカウントが残っている」
アカウント管理台帳を作成したところ、退職済みの社員のアカウントが有効のまま残っていることが判明するケースがあります。★3の準備を機に、全アカウントの棚卸しを実施することを推奨します。
4. 証跡整備の進め方:3ステップアプローチ
ステップ1:分野ごとにギャップを把握する(2〜3日)
本記事のチェックリストを使って、8分野の要件を「✅証跡あり」「⚠️対策はあるが証跡なし」「❌未対応」の3段階で仕分けします。⚠️を優先的に対応することで効率よく証跡整備が進みます。
ステップ2:優先順位をつけて証跡を整備する(〜2ヶ月)
優先すべき証跡整備の順序:
- IT機器台帳・アカウント管理台帳の更新(1〜2日):既存のExcelを更新するだけで完了
- パッチ適用記録の開始(即日〜):今日から記録する習慣をつける
- バックアップ復旧テストの実施と記録(1日):年1回の実施を今期中に完了させる
- セキュリティ教育の実施と受講記録(2〜4週間):eラーニングサービスの活用が効率的
- インシデント対応手順書の作成(1〜2週間):テンプレートを使えば短期間で完成
ステップ3:自己評価シートに記入し専門家レビューを受ける(〜9月)
IPA・認定評価機関が提供する自己評価シートに記入します。記入後は、内容の妥当性確認のため、専門家(SIerや認定コンサル)のレビューを受けることを推奨します。記入ミスや証跡の不足を事前に発見できます。
よくある質問
Q. 規程・手順書はWordで作成したものでいいですか?
はい、形式の指定はありません。重要なのは「制定日」「最終改訂日」「承認者」が明記されていることです。見栄えよりも必要事項が揃っていることを優先してください。
Q. 今まで記録がまったくありません。ゼロから始めて10月に間に合いますか?
完全にゼロからでも、3〜4ヶ月あれば★3に必要な証跡の整備は可能です。ただし、バックアップ復旧テストや教育訓練の記録は「一定期間の実績」が必要なため、今すぐ開始することが重要です。
Q. クラウドサービス(Microsoft 365等)のログは証跡になりますか?
はい、有効な証跡になります。Microsoft 365のセキュリティレポートやAzure ADのサインインログなど、管理コンソールから取得できるレポートはそのまま証跡として活用できます。
Q. ★3の自己評価シートはいつから入手できますか?
IPA・認定評価機関から2026年10月の申請受付開始前後に提供される予定です。現時点では公式な様式は未公表ですが、本チェックリストで先行準備を進めておけば、様式取得後すぐに記入対応できます。
Q. 専門家助言は必ず受ける必要がありますか?
★3は「専門家助言」が推奨されていますが、必須要件か否かは申請要領で確定します(2026年10月公表予定)。自己評価の記入に不安がある場合は専門家のレビューを受けることで、提出前に不備を修正できます。
まとめ
- ★3の合否を分けるのは「対策の有無」ではなく「証跡の整備」
- 8評価分野それぞれに、対策の記録・台帳・手順書が必要
- 特に見落とされやすいのは「バックアップ復旧テスト記録」「パッチ適用記録」「退職者アカウントの棚卸し」
- 今日からギャップ把握→証跡整備の順で進め、2026年9月末までに自己評価シートを完成させる
2026年10月の申請開始に向けて、本チェックリストを使って今すぐ着手してください。証跡整備の方法がわからない場合や、専門家の目線でレビューを受けたい場合は、c3index にご相談ください。
c3index に相談する
c3index は、製造業・中堅企業の情シスを支援するシステム会社です。SCS評価制度★3取得に向けたギャップ分析・証跡整備支援・自己評価シートのレビューまで、情シスの立場で伴走します。まずはお気軽にご相談ください。
