星3認定は「ゴール」ではなく「ヘルスチェック」の始まり

経済産業省やIPAが進めるサイバーセキュリティ格付け制度において、「星3（★★★）」の取得を目指す企業が増えています。25もの要求項目をクリアすることは、取引先や株主に対する強力な信頼の証となります。しかし、その一方で「認定を取ること」自体が目的化してしまい、現場が過剰な運用工数でパンクしているケースも少なくありません。

規定集は立派だが、実態が伴っていない「ハリボテの評価」では、いざという時に組織を守ることはできません。星3の壁を突破し、かつ持続可能なセキュリティ体制を築くためには、単なるチェックリストの消化ではない、セキュビット流の「実効性の持続」と「組織の巻き込み方」に踏み込む必要があります。

「ハリボテ」にしない。アセスメントの実効性を担保するポイント

自己評価の結果を単なる「Yes/No」の回答だけで終わらせていませんか？星3の説得力は、項目を満たしているという形式的な回答ではなく、その対策が「現場で機能しているか」という証跡の具体性に宿ります。

特に「委託側」と「受託側」という異なる立場から、以下のポイントを確認することが重要です。
経済産業省が公表した『サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）』においても、実効性のある体制構築が強く求められています。

その要求事項及び評価基準案によると、「セキュリティ推進活動を担当する部署、役員及び従業員を決定し、責任及び権限を割り当てること」となっています。しかし、ここで注意すべきは、名前だけの責任者になっていないかという点です（要求項目 1-2-1-1 等）。単に役職者をアサインするのではなく、その担当者の情報処理安全確保支援士などの専門資格の有無や、過去のインシデントにおける具体的な対応実績、判断基準を確認します。受託側の立場であれば、これらの専門性を具体的にアピールすることで、アセスメントの信頼性は飛躍的に高まります。

また、同指針では自社のセキュリティ対応方針を策定し、周知することも求められています。セキュリティの対応方針の中に、現場が具体的に守るべきルールや手順が含まれているか、それが全社員に浸透しているかを確認してください。方針があることと、ルールが運用されていることは別物です。「周知が必要なルールが網羅されているか」という視点での再点検が、実効性確保の第一歩となります。

現場を救う「全組織横断」の体制づくり

25もの広範な要求項目を、セキュリティ部門やIT担当者だけでカバーしようとすること自体に無理があります。星3レベルの実装を推進するには、まず「どの部門がどの項目に責任を持つか」を明確にし、組織全体を巻き込む体制を構築しなければなりません。

具体的には、以下の4ステップでサイクルを回すことを推奨します。

1. 現行体制への役割当てはめ
2. 各部門による項目ごとの実行計画の策定
3. 計画の実行と進捗管理
4. 対策状況の報告

このサイクルにおいて、具体的に協力を仰ぐべき部門と役割の例を整理しました。

全体統括・ガバナンス

• 経営層・リスク管理部門：予算の確保、全社的な意思決定、重要リスクの判断
• セキュリティ統括部門・情報セキュリティ委員会：セキュリティポリシーの策定、全体のロードマップ策定、各部門間の調整

ルールの点検・徹底

• 内部監査部門：ルール遵守状況の客観的な点検
• 人事・教育部門：セキュリティ教育の実施、就業規則への反映、守秘義務契約の管理

法的・契約面の担保

• 法務部門：取引先とのNDA（機密保持契約）や委託先へのセキュリティ要求事項の精査
• 契約窓口部門（購買・営業等）：データを共有する取引先への対策要求と状況確認

技術的・運用的対策

• IT運用・技術部門：脆弱性の点検、監視・検知（SIEM/EDR等）、ID管理、認証基盤の整備
• IT開発・保守部門：システム設計におけるセキュリティ要件の実装
• DX利用ユーザー各部門：自部署で独自に導入しているSaaS（シャドーIT）の把握、利用サービスのセキュリティチェック、資産管理、利用者視点でのID管理

特に「DX利用ユーザー各部門」の協力は不可欠です。現場が利便性のために導入したツールをIT部門が把握しきれていない現状があるため、ここを巻き込めるかどうかが、アセスメントの精度を左右します。

細かすぎる要求事項への「現実的な緩和策・回避策」

星3の要求事項の中には、文字通りに受け取ると業務効率を著しく損なうものもあります。ここで必要なのは「諦める」ことではなく、実務に即した「緩和策」を講じることです。

例えば、構成管理や設定把握の仕組み作り（要求項目 3-1-1）です。最初から高価な資産管理システムを導入し、すべてを自動化・システム化しようとする必要はありません。まずは運用ルールを明確に定め、台帳管理などの「人的な仕組み」を確立させることで、要求事項を満たすことは十分に可能です。

また、ソフトウェアのインストール権限（要求項目 4-4-4-1）も大きな壁となります。すでに一般ユーザーに権限を解放している環境で、いきなり全ての権限を取り上げ、既存ソフトを削除しようとすれば、業務に大きな混乱が生じます。 こうした場合は、「利用許可を後追いで申請してもらい、安全性を確認した上で例外的に認める」といった追加ルールを設けることで、セキュリティリスクを抑えつつ、現実的な運用へと着地させることができます。

まとめ：持続可能な「星3」を目指すために

セキュリティ対策に「満点」はありません。大切なのは、身の丈に合った、嘘のない運用を全社で継続することです。25項目の重圧に担当者が疲弊し、報告書だけが綺麗に整えられている状態は、最もリスクが高いといえます。

自社の体制で、どの項目をどの部門に振り分けるべきか。どの項目に緩和策を適用すべきか。迷われた際は、現場を知り尽くしたセキュビットへご相談ください。貴社の実態に即した、生きたセキュリティ体制の構築をサポートいたします。

この記事を書いた人

寺西 照一（Teranishi Toshikazu）

株式会社セキュビット 取締役。小売業を中心にシステム開発およびシステムオペレーションのマネジメントを担当した後、2015年以降は小売グループのIT関連会社にてセキュリティ対策の専任者として従事。技術的対策の他、データセンターの物理的対策や人的・組織的対策まで広く対応した経験を持つ。2024年より株式会社セキュビットに参画し、クライアントのセキュリティ対策支援やセキュリティサービスの開発に従事している。CISSP、情報処理安全確保支援士。