SCS評価制度、経営層の関与でレジリエンス強化を要求

SCS評価制度の狙い

ITmedia Securityは2026年5月29日、SCS評価制度の要求事項に込められたメッセージを解説する記事を公開しました。記事では、同制度が企業のインシデント対応能力や復旧能力の向上を通じて、組織としてのレジリエンスを高めることを強く意識した設計であると指摘しています。

インシデント対応と経営層の関与

記事によると、SCS評価制度の「大分類：インシデントからの復旧」の要求事項No.7-1-1は、企業のレジリエンス強化を目指した項目と読み取れます。また、インシデント対応や有害事象の分析など、複数の評価基準にインシデント対応関連の項目が組み込まれています。

さらに、制度は経営層の関与の必要性も説いています。★4における評価基準No.1-4-1-1では、セキュリティ担当部署が年1回以上、インシデント対応に関する事項を含む複数の評価基準について、セキュリティを統括する役員への報告・承認・社内共有といった点検を実施することが求められています。これにより、レジリエンス強化を技術的対応だけでなく、経営レベルの意思決定と結び付けて運用することを求めています。

今回の公表で判明していること

記事では、セキュリティ担当者と他部署とのコミュニケーションの課題に触れ、IPA（情報処理推進機構）が公表した「サイバーレジリエンスのためのコミュニケーション」という文書を紹介しています。この文書では、セキュリティ担当者と他部署との間には「知識の違い」、「言語の違い」、「価値観の違い」という3つの違いがコミュニケーションの障壁になりやすいと指摘されています。