ギャップ評価の方法
ギャップ評価とは、SCS制度の要求事項に対する自社の現状を確認し、不足している項目(ギャップ)を特定する作業です。
評価ステータスの定義
各確認項目について、以下の5段階で評価します。
| ステータス | 定義 | 判定基準 |
|---|---|---|
| 対応済 | 規程・手順が文書化され、運用実績と証跡がある | 文書+運用+証跡すべて揃っている |
| 一部対応 | ルールはあるが文書化が不完全、または運用が不定期 | 一部の要素が欠けている |
| 未対応 | ルール・手順がない、または実施していない | 何も着手していない |
| 証跡なし | 対策は実施しているが、証跡がない | やっているが記録がない |
| 未確認 | 調査が未完了で判断できない | まだ調べていない |
判定フローチャート
確認項目を選択
関連する社内文書はあるか?
いいえ
実施している実態はあるか?
いいえ
未対応
はい
証跡なし
はい
実際に運用されているか?
いいえ
一部対応
はい
証跡(記録・ログ)はあるか?
いいえ
証跡なし
はい
文書化は十分か?
いいえ
一部対応
はい
対応済
評価の進め方
-
評価シートの準備
テンプレート・ダウンロードからギャップ評価シートをダウンロードし、42項目の確認項目リストを手元に用意します。
-
カテゴリ別に現状を確認
10カテゴリを順番に確認していきます。各項目について:
- 関連する社内文書があるか確認(規程、手順書、台帳など)
- 実際に運用されているか確認(担当者にヒアリング)
- 証跡があるか確認(記録、ログ、スクリーンショットなど)
- ステータスを判定(上記5段階)
-
根拠の記録
各項目の判定根拠を記録します。
記録すべき内容 例 根拠ファイル名 security-policy.md、asset-inventory.csv不足事項 「見直し頻度の記載がない」「記録が2年前から更新されていない」 改善提案 「年1回の見直しスケジュールを設定する」 -
評価サマリの作成
カテゴリ別にステータスを集計し、全体像を把握します。
カテゴリ 対応済 一部対応 未対応 証跡なし 未確認 合計 1. 組織・体制 4 2. 情報資産管理 4 3. アクセス制御 6 4. ネットワーク 4 5. ソフトウェア管理 5 6. データ保護 4 7. インシデント対応 4 8. 委託先管理 5 9. 教育・啓発 3 10. 物理セキュリティ 3 合計 42 -
優先順位付け
すべてを一度に対応する必要はありません。以下の基準で優先順位をつけます。
優先度 基準 最優先 「未対応」かつ基本6項目(資産管理、アカウント管理、バックアップ、ソフトウェア更新、委託先管理、インシデント対応) 高 「未対応」のその他の項目 中 「証跡なし」の項目(やっているが記録がない) 低 「一部対応」の項目(文書化の補完等)
重要
根拠がない項目は「未確認」としてください。推測で「対応済」としないことが、正確な評価の第一歩です。
AI活用によるギャップ評価
Claude Code等のAIツールを使うと、社内文書との照合を半自動化できます。詳しくはAI活用ガイドを参照してください。
証跡の種類
| 種類 | 具体例 | 取得方法 |
|---|---|---|
| 文書 | 規程、手順書、方針書 | Markdown/Word/PDFで作成 |
| 記録 | 実施ログ、変更履歴、承認記録 | 管理ツールからエクスポート |
| スクリーンショット | 設定画面、ダッシュボード | 画面キャプチャ |
| 契約書 | NDA、業務委託契約書 | PDF化して保存 |
| 教育記録 | 受講記録、テスト結果 | 一覧表として記録 |