- 日本語 | English
JCICコラム
-----------------------------------------------------------
セキュリティ対策の“はじめの一歩”をAIが支える
― SCS評価制度の普及に向けて ―
-----------------------------------------------------------
JCIC客員研究員 古澤一憲
JCIC代表理事 兼 上席研究員 梶浦敏範
2026年4月
しかし、多くの中小、特に小規模企業においては、セキュリティの専門要員を置く余裕がなく、経営者や総務担当が兼務せざるを得ないのが実情であり、対策の初歩すら難しいことが少なくない。
一方で、新しい技術やツールの活用は、実は大企業よりも中小・小規模企業のほうが進めやすい面もある。生成AIはその典型で、組織構造がシンプルで意思決定者と実行者の距離が近く、扱うデータの量や種類も限られているため、導入のハードルが低い。個人や少人数のスタートアップが生成AIを日常業務にいち早く取り入れている現状は、その証左である。
そこで、急速に力を増している生成AI、とりわけAIエージェントの力を借りて、セキュリティ対策の領域でもこの構図を活かし、中小企業等のセキュリティリソースが限定的な組織であっても、自社の対策とセルフチェックを行えるような手段がないか考察した。
☆では「OSやソフトウェアは常に最新の状態にする」「パスワードを強化する」「共有設定を見直す」など5か条の基本的な対策に取り組むことが求められる。☆☆ではさらに、25項目のチェックリスト「5分でできる!情報セキュリティ自社診断」を実施し、「情報セキュリティ基本方針」を策定して外部に公開する必要がある。
いずれも専門家の確認は不要で、自己宣言によって完結する。つまり、経営者や担当者が自力で対応すべきものだが、それでも「何から手をつければいいかわからない」という声は多い。ここにこそ、生成AIの出番がある。
たとえば、☆の「情報セキュリティ5か条」について考えてみよう。「共有設定を見直す」と言われても、小規模企業の経営者がまず何を確認すべきかは自明ではない。ここで生成AIに「うちは従業員5人の製造業で、A社のクラウド型メール・ファイル共有サービスを使っている。共有設定で気をつけるべきことは?」と聞けば、その企業の規模や利用サービスに応じた具体的なチェックポイントが得られる。汎用的なチェックリストを自社の文脈に「翻訳」する作業こそ、生成AIが最も得意とするところだ。
☆☆の「情報セキュリティ基本方針」の策定も同様である。IPAのサイトにはひな型が公開されているが、これをそのまま掲載しても実効性は乏しい。生成AIを使えば、自社の業種・規模・扱うデータの種類を踏まえて、ひな型を自社に合った内容に書き直すことができる。さらに「5分でできる!自社診断」の25項目についても、各項目の意味を対話的に確認しながら、実態に即した回答を導き出すことが可能だ。担当者が一人でチェックリストに向き合うのではなく、AIと対話しながら自社の実態を棚卸しし、対策を進める。実態を踏まえて策定された基本方針であれば、外部公開にも十分耐えうる品質となるだろう。形式的な宣言にとどまらない、実効性あるセキュリティ対策の第一歩を踏み出すことができるはずだ。
ここで重要なのは、専門家が確認するのはあくまで企業側が行った自己評価の結果であるという点だ。つまり、企業はまず自ら対策状況を評価シートに記入し、その内容を情報処理安全確保支援士等の資格を持つ専門家に確認してもらう。この「自己評価を実施する」プロセスにおいて、前章と同様にAIの活用が考えられる。
26件の要求事項それぞれについて、自社の現状がどの程度合致しているかを判断するには、要求事項の意味を正確に理解し、自社の実態と照らし合わせる必要がある。AIエージェントが要求事項の一つひとつを確認し、担当者との対話を通じて合致状況の下書きを作成する。これにより、専門家に確認を依頼する前の段階で、対策の抜け漏れに自ら気づき、改善を行うことができる。
さらに一歩進めれば、AIエージェントに社内のセキュリティ関連文書やIT利用規程を読み込ませ、各項目について「対策済み・未対策・要確認」を仕分けし、未対策の項目については具体的な対応手順まで提示する、といった支援も現実的になりつつある。よりデジタル化の進んだ企業では、クラウドサービスの設定状況や端末の管理状態をAIエージェントが直接参照し、技術面での対策状況まで自動的に把握することも視野に入ってくるだろう。なお、この際、AIに読み込ませる情報の取扱いについては留意が必要である。機密情報を除外したり、エンタープライズ向けのAIサービスを利用するなどして、情報の漏えいを避ける必要がある。
こうした自己評価の改善を行うことは、以後の確認を行う専門家の負荷も軽減する。現場の実態を反映した自己評価が事前に整っていれば、専門家は内容の妥当性確認に集中でき、より多くの企業を効率的に支援できるようになる。
これらの段階では評価の主体が第三者に移るため、AIの役割はより補助的なものとなる。ただし、第三者評価を受ける前の内部準備、すなわち社内で行う模擬的なセルフチェックにおいては、十分な活用の余地がある。評価を受ける前に自社の対策状況をAIで棚卸しし、不備を事前に是正しておくことは、評価プロセス全体の効率化に寄与するだろう。
コンサル企業に依頼したり、セミナーに従業員を派遣したりできるのは、現時点では中堅企業以上に限られるだろう。本来この制度は、特に☆☆☆は、小規模だけれど日本産業界のサプライチェーンを構成している企業までを対象として、社会全体のサイバーセキュリティ力を向上させるもの。より小規模な企業に実践してもらう工夫が必要である。
経産省とIPAでは、「サイバーセキュリティお助け隊サービス」の中で、☆☆☆以上の取得に関する支援を行うことにしている。しかし、安価と言ってもこのサービスは有料で、人手も介し相応の時間もかかる。むしろ、☆・☆☆の自己宣言の段階であれば、既存の生成AIサービスを活用するだけでも十分な効果が見込める。行政としては、セルフチェックに使えるプロンプト例や活用ガイド、セキュリティ上の注意事項などを整備し、小規模企業が自力で取り組める環境を整えることを後押しすべきではないだろうか。さらに、☆☆☆以上の自己評価では社内文書や設定情報をAIに読み込ませる場面も想定されるため、情報漏えいの懸念なく利用できる専用ツール等の提供もあわせて検討されることが望ましいだろう。自己宣言の段階でAIを活用してセキュリティ対策の基礎を身につけた企業が、自然と☆☆☆、さらには☆☆☆☆へとステップアップしていく。そのような階段状の成長を促す仕組みとしてのAI活用こそ、制度の普及と実効性の両立に不可欠ではないだろうか。
サイバーセキュリティ対策を外部から見えるようにすることは、経営者が対策に注力するインセンティブにもなり、その結果企業価値の向上にもつながる。しかし反面、コスト(時間・要員・費用)がかかり、これまで広く普及とまでは行かなかった。今回の制度の充実と、急速に向上するAI技術によって、この効果が高まり、コストが抑えられることを期待している。
<注記>
*1:https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
*2:https://www.meti.go.jp/policy/netsecurity/security_action.html
セキュリティ対策の“はじめの一歩”をAIが支える
― SCS評価制度の普及に向けて ―
-----------------------------------------------------------
JCIC客員研究員 古澤一憲
JCIC代表理事 兼 上席研究員 梶浦敏範
2026年4月
はじめに
サプライチェーン攻撃が企業のサイバーリスクの重要な要素となって、数年が経つ。取引先企業のサイバーセキュリティ耐性を知りたいという要求は強くなっていて、経産省は「SCS評価制度」*1を導入することにした。以前からある自己宣言「Security Action」*2を拡張する形で企業を外部から見える化する試みだ。しかし、多くの中小、特に小規模企業においては、セキュリティの専門要員を置く余裕がなく、経営者や総務担当が兼務せざるを得ないのが実情であり、対策の初歩すら難しいことが少なくない。
一方で、新しい技術やツールの活用は、実は大企業よりも中小・小規模企業のほうが進めやすい面もある。生成AIはその典型で、組織構造がシンプルで意思決定者と実行者の距離が近く、扱うデータの量や種類も限られているため、導入のハードルが低い。個人や少人数のスタートアップが生成AIを日常業務にいち早く取り入れている現状は、その証左である。
そこで、急速に力を増している生成AI、とりわけAIエージェントの力を借りて、セキュリティ対策の領域でもこの構図を活かし、中小企業等のセキュリティリソースが限定的な組織であっても、自社の対策とセルフチェックを行えるような手段がないか考察した。
1.Security Actionの自己宣言(☆・☆☆)とAI支援
Security Actionは、中小企業が情報セキュリティ対策に取り組むことをIPAのサイト上で自己宣言する制度で、☆(一つ星)と☆☆(二つ星)の2段階がある。2017年の開始以来、宣言事業者は40万件を超えている。☆では「OSやソフトウェアは常に最新の状態にする」「パスワードを強化する」「共有設定を見直す」など5か条の基本的な対策に取り組むことが求められる。☆☆ではさらに、25項目のチェックリスト「5分でできる!情報セキュリティ自社診断」を実施し、「情報セキュリティ基本方針」を策定して外部に公開する必要がある。
いずれも専門家の確認は不要で、自己宣言によって完結する。つまり、経営者や担当者が自力で対応すべきものだが、それでも「何から手をつければいいかわからない」という声は多い。ここにこそ、生成AIの出番がある。
たとえば、☆の「情報セキュリティ5か条」について考えてみよう。「共有設定を見直す」と言われても、小規模企業の経営者がまず何を確認すべきかは自明ではない。ここで生成AIに「うちは従業員5人の製造業で、A社のクラウド型メール・ファイル共有サービスを使っている。共有設定で気をつけるべきことは?」と聞けば、その企業の規模や利用サービスに応じた具体的なチェックポイントが得られる。汎用的なチェックリストを自社の文脈に「翻訳」する作業こそ、生成AIが最も得意とするところだ。
☆☆の「情報セキュリティ基本方針」の策定も同様である。IPAのサイトにはひな型が公開されているが、これをそのまま掲載しても実効性は乏しい。生成AIを使えば、自社の業種・規模・扱うデータの種類を踏まえて、ひな型を自社に合った内容に書き直すことができる。さらに「5分でできる!自社診断」の25項目についても、各項目の意味を対話的に確認しながら、実態に即した回答を導き出すことが可能だ。担当者が一人でチェックリストに向き合うのではなく、AIと対話しながら自社の実態を棚卸しし、対策を進める。実態を踏まえて策定された基本方針であれば、外部公開にも十分耐えうる品質となるだろう。形式的な宣言にとどまらない、実効性あるセキュリティ対策の第一歩を踏み出すことができるはずだ。
2.SCS評価制度☆☆☆における自己評価とAI支援
SCS評価制度の☆☆☆では、想定される脅威として広く認知された脆弱性を悪用する一般的なサイバー攻撃が規定されており、全サプライチェーン構成企業が最低限実施すべきセキュリティ対策として26件の要求事項が設けられている。評価スキームは「専門家確認付き自己評価」であり、有効期間は1年だ。ここで重要なのは、専門家が確認するのはあくまで企業側が行った自己評価の結果であるという点だ。つまり、企業はまず自ら対策状況を評価シートに記入し、その内容を情報処理安全確保支援士等の資格を持つ専門家に確認してもらう。この「自己評価を実施する」プロセスにおいて、前章と同様にAIの活用が考えられる。
26件の要求事項それぞれについて、自社の現状がどの程度合致しているかを判断するには、要求事項の意味を正確に理解し、自社の実態と照らし合わせる必要がある。AIエージェントが要求事項の一つひとつを確認し、担当者との対話を通じて合致状況の下書きを作成する。これにより、専門家に確認を依頼する前の段階で、対策の抜け漏れに自ら気づき、改善を行うことができる。
さらに一歩進めれば、AIエージェントに社内のセキュリティ関連文書やIT利用規程を読み込ませ、各項目について「対策済み・未対策・要確認」を仕分けし、未対策の項目については具体的な対応手順まで提示する、といった支援も現実的になりつつある。よりデジタル化の進んだ企業では、クラウドサービスの設定状況や端末の管理状態をAIエージェントが直接参照し、技術面での対策状況まで自動的に把握することも視野に入ってくるだろう。なお、この際、AIに読み込ませる情報の取扱いについては留意が必要である。機密情報を除外したり、エンタープライズ向けのAIサービスを利用するなどして、情報の漏えいを避ける必要がある。
こうした自己評価の改善を行うことは、以後の確認を行う専門家の負荷も軽減する。現場の実態を反映した自己評価が事前に整っていれば、専門家は内容の妥当性確認に集中でき、より多くの企業を効率的に支援できるようになる。
3.☆☆☆☆以上における第三者評価とAI
☆☆☆☆以上では、供給停止や機密情報漏えいなどサプライチェーンに大きな影響をもたらす攻撃を想定し、43件の要求事項が規定されている。評価スキームは第三者機関による評価であり、有効期間は3年だ。これらの段階では評価の主体が第三者に移るため、AIの役割はより補助的なものとなる。ただし、第三者評価を受ける前の内部準備、すなわち社内で行う模擬的なセルフチェックにおいては、十分な活用の余地がある。評価を受ける前に自社の対策状況をAIで棚卸しし、不備を事前に是正しておくことは、評価プロセス全体の効率化に寄与するだろう。
4.より多くの企業に制度を活用してもらうために
要求事項・評価基準を満たす具体的な実装例などをまとめた評価ガイド等は、2026年秋頃を目途に公表されるのだが、すでに巷では同制度に関して「制度対応だけでなく、実効性ある対策までプロが伴走する」とのコンサル企業の広告や、「企業が知るべき制度の概要と目的」と題したセミナー案内が溢れている。コンサル企業に依頼したり、セミナーに従業員を派遣したりできるのは、現時点では中堅企業以上に限られるだろう。本来この制度は、特に☆☆☆は、小規模だけれど日本産業界のサプライチェーンを構成している企業までを対象として、社会全体のサイバーセキュリティ力を向上させるもの。より小規模な企業に実践してもらう工夫が必要である。
経産省とIPAでは、「サイバーセキュリティお助け隊サービス」の中で、☆☆☆以上の取得に関する支援を行うことにしている。しかし、安価と言ってもこのサービスは有料で、人手も介し相応の時間もかかる。むしろ、☆・☆☆の自己宣言の段階であれば、既存の生成AIサービスを活用するだけでも十分な効果が見込める。行政としては、セルフチェックに使えるプロンプト例や活用ガイド、セキュリティ上の注意事項などを整備し、小規模企業が自力で取り組める環境を整えることを後押しすべきではないだろうか。さらに、☆☆☆以上の自己評価では社内文書や設定情報をAIに読み込ませる場面も想定されるため、情報漏えいの懸念なく利用できる専用ツール等の提供もあわせて検討されることが望ましいだろう。自己宣言の段階でAIを活用してセキュリティ対策の基礎を身につけた企業が、自然と☆☆☆、さらには☆☆☆☆へとステップアップしていく。そのような階段状の成長を促す仕組みとしてのAI活用こそ、制度の普及と実効性の両立に不可欠ではないだろうか。
サイバーセキュリティ対策を外部から見えるようにすることは、経営者が対策に注力するインセンティブにもなり、その結果企業価値の向上にもつながる。しかし反面、コスト(時間・要員・費用)がかかり、これまで広く普及とまでは行かなかった。今回の制度の充実と、急速に向上するAI技術によって、この効果が高まり、コストが抑えられることを期待している。
以上
<注記>
*1:https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
*2:https://www.meti.go.jp/policy/netsecurity/security_action.html