経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」解説 第2回【ツール活用】Vantaで実現する継続的コンプライアンス
ao
本記事の概要
経済産業省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」において、受注側企業が直面するのは「評価対応の工数増」と「継続的な信頼性の証明」という大きな課題です。
本記事では、コンプライアンス自動化プラットフォームVantaを活用し、SCS評価制度の要求事項への適合と「途切れない証明(Continuous Compliance)」を実務レベルでいかに実現するかという具体的な実践方法をご紹介します。
受注者側の視点に立ち、制度の要求事項(★3・★4)をVantaのカスタムフレームワークを用いて日々のワークフローへ組み込み、発注者からの信頼を「自動で」証明し続けるためのステップを紐解いていきましょう。
はじめに ~ なぜ「自動化」が必須なのか
第1回の記事では、経済産業省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の要点について解説しました。この制度の最大の特徴は、単なるガイドラインではなく、発注元企業と受注側企業の「2社間取引における要求事項」として機能する点にあります。
発注者から提示される適切なセキュリティ段階(★3や★4)をクリアし、それを維持し続けることは、今や取引を継続するための「必須条件」となりつつあります。しかし、サイバー攻撃の手口が日々巧妙化する中で、これらの要求事項を一度きりの「点」の対策で終わらせることはできません。取引先への信頼を維持するためには、対策が正しく機能していることを恒常的に確認し、証明し続ける仕組みが不可欠なのです。
しかし、ここで多くの企業が直面するのが、「継続的な評価対応に伴う膨大な運用負荷」という最大の壁です。
手動運用が招く「その場しのぎ」の限界とリスク
SCS評価制度における★3の「専門家確認付き自己評価」や、★4の「技術検証」という高いハードルを前にして、これらの管理をすべて人の手で対応しようとすると、次ような様々な問題が発生します。
- 「何から手をつければいいか分からない」という重圧
発注者から渡された膨大なチェックリストを前に、どの設定をどう確認し、何の資料を証拠として出せばいいのか。その判断一つひとつに膨大な時間が取られ、本来の業務が手につかなくなるという「本末転倒」な事態を招きます。 - 「あの人に聞かないと分からない」という脆弱な体制
「サーバーの設定は誰が知っているのか?」「この前の報告書はどこにあるのか?」といった情報が特定の社員の頭の中にしかない状態では、急な発注者からの問い合わせや確認要求に即座に答えられません。これは、属人化による対応遅延を招くだけでなく、有事の際の事業継続性における不安要素となり、組織としての管理実態の不透明さを露呈させるリスクとなります。 - 「正しいという確信」が持てない不安
手作業で集めた古いスクリーンショットやエクセル上の自己申告では、「今、本当に安全な設定になっているか」を自分たちでも確信できません。いざ専門家や第三者のチェックが入った際に、認識違いや設定ミスが発覚し、取引の継続に赤信号が灯るという最悪のシナリオも想定されます。
これまでセキュリティ対応を後回しにせざるを得なかった環境において、非効率な手動プロセスに頼り続けることは、単なる作業負担を増やすだけではありません。それは、発注者に対する「説明責任」を果たせなくなるという、ビジネス上の大きな落とし穴を抱え続けることを意味します。
「手作業の限界」を突破し、選ばれる企業になるための仕組み
「手作業による管理」に伴う負担をいかにコントロールするか。これこそが、SCS評価制度対応をスムーズに進めるための重要なポイントです。
そこで本記事では、セキュリティ自動化プラットフォーム「Vanta」を活用し、評価対応の負担を最小限に抑えながら、発注者からの信頼を確実に獲得する方法を解説します。Vantaを導入することは、単に「チェックリストを埋める」ことではありません。それは、自社の安全性をシステムで自動証明し、競合他社に先んじて「信頼されるパートナー」としての地位を確立することを意味します。
Vantaとは? ~ コンプライアンス運用を「仕組み化」するプラットフォーム
Vantaは、単なる書類作成ツールではありません。SCS評価制度対応において負担となりやすい「継続的な管理と証拠収集」を、「運用に組み込み、仕組み化する」プラットフォームです。
Vantaの最大の特徴は、システムと連携して対策状況を「自動でチェックし続ける」機能にあります。もちろん、すべての管理を自動化できるわけではありませんが、手動で行うべき管理とシステムで自動化できる管理をVanta上で一元管理することで、SCS評価制度の★3や★4で求められる「対策の継続的な証明」を大幅にスムーズにします。
【本記事における用語の定義と使い分け】
実務での混乱を避けるため、Vanta上の機能を以下のように整理して解説します。
- 証跡(エビデンス):自動・手動それぞれの確認結果が、発注者への報告にそのまま使える「証拠」としてVantaに集約されます。
- 要求事項(コントロール):SCS評価制度で求められる各項目を、Vanta上では「管理策(コントロール)」として登録します。
- 自動テストと手動確認:クラウド設定などはVantaが「自動テスト」で常時監視し、物理セキュリティなどのシステム外の対策は、担当者がVanta上で「手動確認」の結果を記録します。
Vantaのコア機能と評価制度への適用
SCS評価制度が求める高度な要求に対し、手動運用で生じる膨大な負荷をVantaがどのように解消し、★4で求められる「強靭な体制」を最小工数で実現するかを解説します。
| コア機能 | 機能概要 | SCS評価制度への適用 |
| システム連携 | クラウド、SaaS、HRシステムなど、様々なインフラやツールとAPIで連携。 | 【 証拠の網羅性確保】 API連携させることで、管理が漏れがちな各種SaaSなども含め、対策対象となるシステムを網羅的にカバー。監視の「盲点」をなくし、発注者へ提示する証拠の信頼性を高めます。 また、クラウド、SaaS、IDaaS、セキュリティツール等を統合することで★4で重視される被害拡大防止を担う各種ツールを、組織の管理プロセス(Vanta)へ定常的に紐付けます。 |
| 継続的モニタリング | 要求事項(コントロール)への準拠状況をSLAに基づき高頻度でシステムと連携し、準拠状況を恒常的に監視します。これにより、監査に必要な証拠の鮮度と客観性を保証します。 | 【 自動テストによる遵守状況の維持 】 SCS評価制度の要求事項に対し、SLAに基づいた自動テストを継続的に実施。監査前の単発的な確認に頼ることなく、常に基準を満たしている状態を高い鮮度で維持・証明できます。 |
| エビデンスの自動収集 | 監査に必要なログ、設定ファイル、ポリシー書類などを連携システムから自動で集約・整理・保管。 | 【 工数削減と客観性の確保 】 担当者を「証拠集め」のルーティン作業から解放し、★3の自己評価から★4の第三者評価まで、必要な証拠の鮮度と客観性を保証します。 |
| リスクと課題の可視化 | 不合格となっているテストを一覧化し、担当者の割り当てや是正期限を設定。対応の進捗状況が追跡できます。 | 【 運用の効率化(是正プロセスの連携)】 Jiraのワークフロー設定機能を活用し、検知した不備をJira等へチケットとして起票し、是正完了までをSCS評価制度の要求事項と自動で紐付けし運用。現場は「いつもの運用」の中で是正を行えます。対応結果はSCS評価制度の要求事項と紐付いて記録されるため、評価の際に実務の記録を改めて整理し直す手間を最小限に抑えられます。 |
これらのコア機能がもたらす最大の価値は、単なる作業の自動化ではありません。Vantaは、これまで「何をすればいいか分からず、手探りで行っていた対策」を、システム主導で「常に基準を満たし、客観的に証明できる仕組み」へと進化させます。
SCS評価制度の★3や★4において、発注者が最も重視するのは「その場限りの回答」ではなく、「日々、対策が守られ続けているという事実」です。Vantaはその事実をシステムで自動証明し続けることで、受注企業が自信を持って取引に臨むための、強固な信頼の基盤を提供します。
VantaによるSCS評価制度対応の負荷解消の仕組み
SCS評価が求める高度な要求に対し、手動運用で生じる膨大な負荷をVantaがどのように解消し、★4で求められる体制を最小工数で実現するかを解説します。
| ★3 Basic | ★4 Standard | |
| 評価レベルごとの要求 | 基準の各項目(コントロール)に対して、対応状況を示す証拠(エビデンス)の提示 | 第三者評価において、設定された対策や基準への準拠が、評価期間を通じて恒常的に維持されていることの客観的な証明 |
| 具体的なタスク | 83の評価基準への適合を証明するエビデンス収集。具体的には、システム設定画面のスクリーンショットや、アクセスログの手動抽出、社内文書の作成・更新。 | 高度な技術対策を含む計157の評価基準への対応。 |
| 制度課題と負荷 | 手動での証拠収集は、膨大な工数を要するだけでなく、その証拠が取得した「時点」の情報に限定されるため、客観的な継続性を証明できません。継続性を担保するためには、複雑な手動作業(複数回取得、変更ログ紐づけ)が必要となり、運用負荷が飛躍的に増大します。 | 手動での継続的な監視は、極めて高い運用負荷と属人化を招きます。また、監査でわずかな逸脱が見つかっただけで、対策の継続性全体に疑義が生じ、再審査や評価期間の長期化という致命的なリスクに直結します。 |
| Vantaによる解決策 | 【 カスタムフレームワーク 】 SCS評価制度の要求事項をVanta上に定義することで、システムからの証拠収集と保管を導入直後からすぐに自動化できます。 | 【 継続的モニタリング 】 Vantaのカスタムフレームワーク上に、★4の157項目を含む全ての要求事項を定義。設定したSLAに基づきで準拠状況を監視します。 |
| 効果(費用対効果) | 【 工数削減と証拠の鮮度向上 】 エビデンス収集工数を劇的に削減し、監査に耐えうる客観的な証拠の鮮度を維持します。 | 【 工数削減と手直しリスク低減 】 監査直前の手直しを不要にし、評価期間の長期化を防ぎます。継続性証明という最大の壁を解消します。 |
実践 ~ 経済産業省評価基準をVantaに組み込む方法
このセクションでは、経済産業省サプライチェーン対策評価基準を、Vantaの強力な監視機能に結びつけるための、具体的なカスタムフレームワークの構築手順とその意義を解説します。今回は、経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」に付随する、「別添 ★3・★4要求事項及び評価基準案(Excel形式)」を使ってカスタムフレームワークを作ってみます。
手順1. 経済産業省 サプライチェーン対策評価制度 要求事項の Vanta 形式への変換
要求事項のデータ読み込み(カスタムコントロールのインポート)
Vantaのカスタムフレームワーク機能を利用する最初のステップは、SCS評価制度の評価基準(★3の83項目)を、Vantaが理解できるデータ形式に変換し、コントロール(管理策)としてインポートします。
1.テンプレートの準備
Vantaに用意されているコントロールのインポート用テンプレート(CSV形式)をダウンロードします。
2.データ挿入
今回はテンプレートのName列にSCS評価制度の評価基準をいれます。Description列は解説や評価方法を入れたいのですが20025年12月25日リリースの資料では「具体的な評価手法やガイダンス情報を提示するためのガイダンス資料を今後策定」とあるため今回は入力なしとします。ただし、Vantaの仕組み上、一括インポートをする際に設定をする必要があるため「.」をインポートするコントロールには設定しインポートします。この時、参考文献として書かれているISO27001:2022の管理策をしていいすることでISO27001:2022の管理策と紐づけができます。他のフレームワークのコントロールとの紐づけはコントロールとしてインポートした後に手動でリンクすることも可能です。(注意点: 要求事項の場合は、章番号の前に「C.」をつける必要があります)
3.ID付与とインポート
各行にIDを付与し、このCSVファイルをVanta にインポートします。
4.結果
経済産業省評価制度の要求事項が、コントロールとしてVantaにインポートされ、すぐに監視可能な項目として登録されます。
要求事項と評価基準をフレームワークに紐づける(カスタムフレームワークのインポート)
次に、読み込んだ要求事項を、METI SCS_L3という名前をつけた新しいカスタムフレームワークに組み込みます。
まずはカスタムフレームワークの概要と名前を設定します。ここで設定するShort name(ショートネーム)がフレームワークの一覧に表示されます。
次に、カスタムフレームワーク インポート用のエクセルテンプレートを利用し要求事項をインポートします。
Vantaのカスタムフレームワークでは「セクション(親)」とその下に紐付く「サブセクション(子)」という二層構造で設定を行います。
(1),(2) 親セクション: フレームワークの大分類。ID、名前、説明を設定します。
(3) 子セクション: 親に紐付く具体的な要求事項。ID、名前、説明を設定します。
(4) コントロール(管理策): 要求事項を満たすために実行する具体的なアクション。
SCS評価制度の要求事項、評価基準は次のような構造になっています。
大分類-中分類ー要求事項No.ー要求事項名ー要求事項ー評価基準No.ー評価基準
STEP1で評価基準No.をカスタムコントロールのIDに、評価基準を設定しています。フレームワークでは大分類-中分類ー要求事項No.ー要求事項名ー要求事項部分を設定します。
インポートが完了するとフレームワークのリストに Custom(カスタムフレームワーク)として表示されます。
手順2. ISO 27001:2022の管理策(コントロール)とのマッピング、およびテスト、ドキュメントの紐づけ
次に、出来上がったSCS評価制度のカスタムフレームワークのコントロールを、Vantaが持つISO 27001:2022 のフレームワークと自動テスト、ドキュメントに結びつけます。
管理策(コントロール)とのマッピング
コントロールをインポートする場合に他のフレームワークとの紐づけをしていない場合は次の手順でも紐づけが可能です。
1) Frameworksにある + (次の図の赤枠の部分)をクリックし、マッピングしたいフレームワークをプルダウンで選択、リンクする要求事項やコントロールを追加します。
ISO 27001:2022 とのマッピングが完了するとFrameworkの部分に表示されます。
【補足:JAMAガイドラインの活用】
自動車産業サイバーセキュリティガイドラインをカスタムフレームワークとしてインポートしている場合は、そのコントロールもマッピングできます。
テストの紐づけ
ISO 27001:2022 をマッピングした後、ユーザーはVantaが標準で持つ ISO 27001:2022 の既存のテスト(テストケース)を選択して紐づけます。この際、Vanta AIによる提案機能を活用することで、Vantaがあらかじめ持っているテスト(テストケース)を適切かつ効率的に適用できます。もちろん、不足する項目に対してはカスタムテストも設定できます。
ここでは、例として、SCS評価制度の1-2-3-2「・入社時又は社外要員の受入れ時に守秘義務のルールを説明すること。」を見てみます。この評価基準に対して、Vanta AIは次の4つのテストを提案しています。
Vanta AI 提案 テスト①:「会社は承認された人事セキュリティポリシーをもっています」
人事セキュリティポリシーは「全従業員は守秘義務を順守しなければならない」や、「入社時に教育を受けなければならない」というルールが書かれているはずです。ですが、1-2-3-2では守秘義務のルールを説明することというアクションや実施した証跡を求めています。そのためこのVanta AIの提案したテストはマッピング対象外とする方が良いでしょう。
Vanta AI 提案 テスト②:「当社は承認された情報セキュリティポリシー(AUP)を保有しています」
情報セキュリティポリシーAUP(Acceptable Use Policy)は通常、PCの私的利用禁止、パスワードの管理、不審なメールを開かないといった「IT機器や情報の具体的な取り扱いルール」に関し定義されています。従業員は定期的に情報セキュリティ教育を受けなければならない」というルールは含まれている可能性はありますが、「入社時の守秘義務の説明」とは別になるためマッピング対象外とする方が良いでしょう。
Vanta AI 提案 テスト③:「従業員は行動規範に同意する」
行動規範には守秘義務に関する指針が含まれている場合、これに従業員が同意したという記録はルールの存在証明ではなく、「入社時にルールを説明され、本人がそれを順守することを承諾したという証跡になります。今回はこのテストをマッピングします。
Vanta AI 提案 テスト④:「当社は、機密情報管理(METI)を承認しました」
情報管理ポリシーは情報をどう扱うべきかが書かれているものなのでマッピング対象外とする方が良いでしょう。
テストをマッピングすると次の画面のようにテストの欄にマッピングされたテストが表示されます。ほかのフレームワークでそのテストを使用している場合で、すでに証跡がそのテストとリンクしていたり、テストに合格している場合は、それらのがすべてのこのフレームワークにも反映されます。フレームワークごとに証跡を別々に管理する必要はありません。
ドキュメントの紐づけ
次に、この要求事項に紐づけるドキュメント(文書)を見ていきましょう。
Vanta AIは次の7つのドキュメント(文書)を紐づけることを提案しています。
- Contractor agreement (業務委託契約書)
- Employee agreement (雇用契約書)
- Employee exit process (退職プロセス)
- Signed confidentiality agreement (署名済みの秘密保持合意書)
- External non-disclosure agreement template (対外秘密保持契約(NDA)ひな形
- Internal non-disclosure agreement template (社内秘密保持契約(NDA)ひな形)
- Employee termination security policy (退職時のセキュリティ規定)
SCS評価制度の1-2-3-2「・入社時又は社外要員の受入れ時に守秘義務のルールを説明すること。」は「入社時・受入れ時」に「ルールを説明すること(アクション)」を求めているため、Vanta AIの7つの提案のうち次の2つのドキュメントをマッピングします。
- Signed confidentiality agreement(署名済みの秘密保持合意書)はすでにサインがされているということで同意をとっているという実施の証跡となり、今回の要求事項に最も適合します。
- Employee agreement(雇用契約書)は一般的に雇用契約の中には守秘義務を順守することという条項が含まれます。入社時にこれを取り交わすことがルールの説明と合意のプロセスを兼ねているとみなすことができるためマッピングできます。
マッピングされているテストとドキュメント(文書)の進捗は各要求事項の詳細から確認できます。
このように、ISO 27001:2022(管理策)をはじめとする各種フレームワークとのマッピング、および具体的なテストやエビデンス(文書)との紐付けを、すべての要求事項に対して網羅的に実施していきます。
手順3. 継続的モニタリングの開始
マッピングが完了後、Vantaは連携済みのシステムからSCS評価制度の評価基準に対するエビデンスを自動で収集し、準拠状況の監視を開始します。
これにより、証跡の収集漏れや、担当者の交代に伴う「運用の断絶」を抑え、あらかじめ定義されたルールに沿った管理状態を維持することが可能になります。
対策を「仕組み化」し、ビジネス成長を加速
Vantaのカスタムフレームワーク構築能力は、国際規格(ISO 27001)やNIST CSF 2.0の思想に基づいて設計されたCSC 評価制度の要求事項と評価基準の構造をVanta上に再現します。これにより、Vantaが標準で持っていないフレームワークであっても、適切なマッピング(紐付け)を行うことで、Vantaの強力な自動収集機能を活用したモニタリングが可能になります。
前回と今回の2回の記事を通じて、SCS評価制度において重要なのは、単発の適合確認に留まらず、「定義された管理ルールが正しく機能しているか」を定常的に確認できる体制を築くことです。手動運用による記録の漏れや、担当者の交代に伴う「管理の断絶」を防ぐため、Vantaは証跡収集を自動化するという「仕組み」を提供します。
2025年12月12日に公開した「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ(2025/4/14公表)」に関する記事はこちらです。
TrustNowでは、Vanta製品の専門知識をもつコンサルタントが
導入をサポートします。
製品を検討中、または関心のある方は、こちらからご相談ください!!
Vanta製品の概要・機能を知りたい。
Vanta製品のデモを見たい。
