管理策42項目
簡易版もあります
このページの概要を1分で読みたい方は 簡易版 をご覧ください。
重要
本サイトの「管理策42項目」は、経産省SCS制度の要求事項を中小企業が理解しやすい形に独自に再構成したものです。公式には★3=26要求事項/83評価基準、★4=44要求事項/157評価基準です。正式な要求事項は経産省公表資料を参照してください。
カテゴリ別項目数
| No. | カテゴリ | 項目数 | 主な内容 |
|---|---|---|---|
| 1 | 組織・体制 | 4 | 責任者任命、基本方針、周知、見直し |
| 2 | 情報資産管理 | 4 | 資産一覧、重要度分類、端末管理、記録媒体 |
| 3 | アクセス制御・アカウント管理 | 6 | 発行・削除ルール、退職時対応、パスワード、MFA、共有アカウント、棚卸し |
| 4 | ネットワーク・通信セキュリティ | 4 | ファイアウォール、VPN、無線LAN、不要ポート |
| 5 | ソフトウェア管理・脆弱性対応 | 5 | 最新化、脆弱性確認、パッチ適用、ウイルス対策、未許可ソフト制限 |
| 6 | データ保護・バックアップ | 4 | 定期バックアップ、分離保管、リストアテスト、暗号化 |
| 7 | インシデント対応 | 4 | 手順文書化、連絡先一覧、訓練、記録 |
| 8 | 委託先管理(サプライチェーン) | 5 | 委託先一覧、NDA、対策確認、再委託、定期見直し |
| 9 | 教育・啓発 | 3 | 教育実施、記録、注意喚起 |
| 10 | 物理セキュリティ | 3 | 入退室管理、盗難対策、廃棄時消去 |
| 合計 | 42 |
全項目一覧(タブ切替)
4項目
| No. | 確認項目 |
|---|---|
| 1-1 | 情報セキュリティの責任者を決めているか |
| 1-2 | セキュリティに関する基本方針を文書化しているか |
| 1-3 | 方針を従業員に周知しているか |
| 1-4 | 方針の見直しを定期的に実施しているか |
取り組みポイント
- 責任者の任命(1-1): 専任でなくてよい。兼務でも「この人が判断する」を決める
- 基本方針の文書化(1-2): A4で1〜2枚程度でよい。テンプレートを活用する
- 従業員への周知(1-3): 朝礼やメールでの通知、社内掲示でもよい
- 定期見直し(1-4): 年1回、方針が実態と合っているか確認する
4項目
| No. | 確認項目 |
|---|---|
| 2-1 | 情報資産の一覧を作成・管理しているか |
| 2-2 | 情報資産の重要度を分類しているか |
| 2-3 | 端末(PC・スマホ等)の一覧を管理しているか |
| 2-4 | 記録媒体(USB・外付HDD等)の管理ルールがあるか |
取り組みポイント
- 資産一覧(2-1): まず主要な資産10件程度から。完璧は目指さない
- 重要度分類(2-2): 高・中・低の3段階で十分
- 端末管理(2-3): PC・スマホ等のデバイス一覧。誰が何を使っているかを把握する
- 記録媒体管理(2-4): USB・外付HDD等の利用ルール。紛失時のリスクを考慮する
6項目
| No. | 確認項目 |
|---|---|
| 3-1 | アカウントの発行・削除ルールがあるか |
| 3-2 | 退職者・異動者のアカウントを適時に停止・削除しているか |
| 3-3 | パスワードの強度ルールを定めているか |
| 3-4 | 多要素認証(MFA)を導入しているか |
| 3-5 | 共有アカウントの使用を制限しているか |
| 3-6 | アカウントの定期棚卸しを実施しているか |
取り組みポイント
- 発行・削除ルール(3-1): 申請→承認→発行の流れを決める
- 退職・異動対応(3-2): 退職日当日のアカウント停止を徹底する
- パスワード強度(3-3): 最低12文字以上を推奨。パスワードマネージャの活用も検討
- MFA(3-4): クラウドサービスから優先的に導入。SMS認証でも効果大
- 共有アカウント禁止(3-5): 個人アカウントを基本とし、監査ログを残せるようにする
- 定期棚卸し(3-6): 四半期に1回、不要アカウントがないか確認する
4項目
| No. | 確認項目 |
|---|---|
| 4-1 | ファイアウォールを設置・運用しているか |
| 4-2 | リモートアクセスにVPN等の暗号化通信を使用しているか |
| 4-3 | 無線LANのセキュリティ設定は適切か |
| 4-4 | 不要なポート・サービスを閉じているか |
取り組みポイント
- ファイアウォール(4-1): ルーターの設定を確認。不要な外部公開がないか
- VPN(4-2): リモートアクセスには必ず暗号化通信を使う
- 無線LAN(4-3): WPA3またはWPA2を使用。来客用と業務用のネットワークを分離する
- 不要ポート閉塞(4-4): 使っていないサービスのポートは閉じる
5項目
| No. | 確認項目 |
|---|---|
| 5-1 | OS・ソフトウェアを最新の状態に保っているか |
| 5-2 | 脆弱性情報を定期的に確認しているか |
| 5-3 | セキュリティパッチの適用ルールがあるか |
| 5-4 | ウイルス対策ソフトを導入・更新しているか |
| 5-5 | 許可されていないソフトウェアの導入を制限しているか |
取り組みポイント
4項目
| No. | 確認項目 |
|---|---|
| 6-1 | 重要データのバックアップを定期的に取得しているか |
| 6-2 | バックアップデータを本番環境と分離して保管しているか |
| 6-3 | リストア(復元)テストを定期的に実施しているか |
| 6-4 | データの暗号化を実施しているか(持ち出し時等) |
取り組みポイント
- 定期バックアップ(6-1): 重要データは日次、それ以外は週次以上
- 分離保管(6-2): バックアップは本番環境とは別の場所(クラウド、外付HDD等)に保管
- リストアテスト(6-3): 四半期に1回は復元テストを実施する
- 暗号化(6-4): 持ち出しPCのディスク暗号化(BitLocker等)、重要データの暗号化
4項目
| No. | 確認項目 |
|---|---|
| 7-1 | インシデント対応手順を文書化しているか |
| 7-2 | 緊急連絡先一覧を整備しているか |
| 7-3 | インシデント対応の訓練を実施しているか |
| 7-4 | インシデント記録を残しているか |
取り組みポイント
- 手順の文書化(7-1): 検知→報告→初動→調査→報告のフローを1枚にまとめる
- 連絡先一覧(7-2): 社内責任者、外部ベンダー、警察、IPAの連絡先を整備する
- 訓練(7-3): 年1回以上。机上訓練(手順の読み合わせ)でもよい
- 記録(7-4): 発生したインシデントは記録し、再発防止に活用する
5項目
| No. | 確認項目 |
|---|---|
| 8-1 | 委託先の一覧を管理しているか |
| 8-2 | 委託先とNDA(秘密保持契約)を締結しているか |
| 8-3 | 委託先のセキュリティ対策状況を確認しているか |
| 8-4 | 再委託の管理ルールがあるか |
| 8-5 | 委託先管理の定期見直しを実施しているか |
取り組みポイント
- 委託先一覧(8-1): まず主要な3〜5社から一覧を作成する
- NDA締結(8-2): データの取扱いに関する秘密保持契約を結ぶ
- 対策確認(8-3): 委託先にセキュリティ対策状況をヒアリングまたはチェックシートで確認
- 再委託管理(8-4): 委託先がさらに別の企業に再委託する場合のルールを定める
- 定期見直し(8-5): 半年〜1年に1回、委託先の対策状況を再確認する
3項目
| No. | 確認項目 |
|---|---|
| 9-1 | 従業員向けセキュリティ教育を実施しているか |
| 9-2 | 教育の実施記録を残しているか |
| 9-3 | フィッシング等の注意喚起を行っているか |
取り組みポイント
- 教育実施(9-1): 年1回以上。外部研修でなくても社内勉強会でよい
- 記録(9-2): 実施日・内容・参加者を記録する
- 注意喚起(9-3): フィッシングメールの事例共有、パスワードの重要性の周知等
3項目
| No. | 確認項目 |
|---|---|
| 10-1 | サーバー室・重要機器の入退室管理をしているか |
| 10-2 | 機器の盗難・紛失対策をしているか |
| 10-3 | 廃棄時のデータ消去手順があるか |
取り組みポイント
- 入退室管理(10-1): サーバー室や重要書類保管場所への入室制限
- 盗難・紛失対策(10-2): ノートPCのワイヤーロック、持ち出しルール
- 廃棄時データ消去(10-3): PC・HDD廃棄時のデータ完全消去(物理破壊または専用ツール)
次のステップ
- 自社の対応状況を評価するにはギャップ評価の方法を参照
- 評価用のテンプレートはテンプレート・ダウンロードから入手可能