top of page
ノートとペン

コラム

検索

SCS評価制度★3の26項目を、士業事務所の言葉で読み解く

  • 5月14日
  • 読了時間: 5分

SCS評価制度★3は、26項目の要求事項で構成されています。

経済産業省の資料はどうしても行政文書的な表現になっており、「これが自分の事務所の何に相当するのか」がすぐには分かりにくい。この記事では、★3の26項目を弁護士事務所をはじめとする、士業事務所の実務に引き付けた言葉で説明します。「自分の事務所に何をすればいいか」が具体的にイメージできることを目的としています。



カテゴリ1:組織・体制(4項目)

セキュリティの責任者を決めること——

「誰がIT・セキュリティを管理するか」を決め、その役割を明文化することが求められます。所長が兼任する場合でも、「所長がセキュリティ管理を担当する」と明記した規程が必要です。「誰でも担当」は「誰も担当していない」のと同義です。


セキュリティポリシーの策定——

「情報管理の基本ルール」を文書化することです。既に個人情報取扱規程を整備している事務所は、その内容にセキュリティ管理の観点を追加することで対応できます。IPAのガイドラインにひな型があります。


従業員へのセキュリティ教育——

年1回以上の教育実施と記録が求められます。勉強会の議事録、説明資料の配布記録など「教育した事実の記録」が重要です。「メールで通知した」ことの記録も証跡になります。


インシデント対応手順の整備——

「何かが起きたときの対応手順」を文書化することです。誰に連絡し、何をするかを1枚の紙にまとめておく形が現実的です。


カテゴリ2:資産管理(4項目)

IT資産台帳の整備——

事務所で使用しているPC・スマートフォン・タブレット・ルーターなどのリストを作ることです。「何がある」「誰が使っている」「OSのバージョンはいくつか」を一覧にした台帳です。ExcelやSharePointのリストで管理できます。


ソフトウェア・クラウドサービスの把握——

Microsoft 365、Google Workspace、クラウド給与ソフトなど、業務で使用しているサービスのリストを作ることです。どのサービスに誰がアクセスできるかを把握することが目的です。


重要情報の特定と管理ルールの設定——

マイナンバー・決算情報・案件書類など「特に保護が必要な情報」を特定し、保管場所とアクセス権限を定めることです。「重要情報のリスト」を作成し、それぞれに管理ルールを設定します。


廃棄ルールの整備——

PCの廃棄時のデータ消去手順、マイナンバーの廃棄タイミングなど、情報の「出口管理」のルールです。廃棄した際の記録も必要です。


カテゴリ3:アクセス制御(5項目)

アカウント管理——

誰がどのシステムにアクセスできるかを把握・管理することです。退職者のアカウントを即日無効化する手順の整備が含まれます。アカウント一覧の管理台帳が証跡になります。


多要素認証(MFA)の設定——

Microsoft 365・Google等の業務システムへのログインに、パスワード+スマートフォン認証を設定することです。全員に設定されていることが必要です。


最小権限の原則——

「業務に必要な最小限のアクセス権だけを付与する」という設計です。全員が全フォルダにアクセスできる状態を改め、担当者のみが案件フォルダにアクセスできる状態にします。


リモートアクセスの制御——

テレワーク時のアクセス制御です。条件付きアクセスによる管理済み端末からのみのアクセス許可が推奨されます。


特権ID(管理者アカウント)の管理——

Microsoft 365の管理者アカウントを通常業務に使わない、管理者アカウントのパスワードを強固にする、という対応です。管理者アカウントと通常業務アカウントを分離することが求められます。


カテゴリ4:システム防御(8項目)

マルウェア対策——

Windows Defenderの有効化・最新定義ファイルへの更新確認です。サードパーティのウイルス対策ソフトを使っている場合は、そちらの設定を確認してください。


パッチ管理——

Windows UpdateとOfficeの更新プログラムを定期的に適用することです。自動更新が有効になっているかを確認してください。サポートが終了したOSを使い続けることは、この要件を満たしません。


ディスク暗号化——

BitLockerの有効化です。持ち歩くPCには必須の対策です。


メールセキュリティ——

フィッシングメール対策のフィルタリング設定です。Microsoft 365のDefender for Office 365、またはDMARC/SPF/DKIMの設定が該当します。

ネットワーク境界の管理、Webアクセスの管理、外部接続・リモートデスクトップの制御、モバイルデバイス管理——これらはWi-Fiの適切な設定、不審サイトへのアクセス制限、不要なリモートアクセスの無効化、スマートフォンへのMDM適用がそれぞれ対応します。


カテゴリ5:バックアップ・事業継続(3項目)

定期的なバックアップの実施、バックアップからの復元確認——「取っているだけ」では不十分です。半年に一度の復元テストが求められます。テストの記録を残してください。

事業継続計画(BCP)の最低限の整備——重大なインシデントが発生した際の業務継続手順の文書化です。全社的なBCPである必要はなく、「感染・漏洩発生時にどう動くか」の手順書で十分です。


カテゴリ6:ログ管理(2項目)

アクセスログの取得・保存——

誰がいつどのシステムにアクセスしたかのログを保存することです。Microsoft 365のサインインログ・監査ログが該当します。保存期間の設定確認が必要です。


ログの定期確認——

保存したログを定期的に確認し、不審なアクセスを検知する手順を定めることです。月1回の確認と記録が推奨されます。


▶ 士業向けIT・セキュリティ整備サービス


行政書士事務所みまもり

セキュリティ研究者・デジタルフォレンジックエンジニア

成田 浩志

bottom of page