【SCS評価制度対策①】高評価の鍵は「第3者接続の統制」にある！サプライチェーンセキュリティの現実と対策

2026.06.23

活用ヒント

【SCS評価制度対策①】高評価の鍵は「第3者接続の統制」にある！サプライチェーンセキュリティの現実と対策

日本国内でも本格始動に向けて話題の「SCS（サプライチェーンセキュリティ）評価制度」。ガイドラインへの対応や、自社のセキュリティレベルを示す「星（★）」の獲得に向けて動き出す企業が増えています。

この制度への対応を進めるにあたり、審査をクリアして高い評価を得るための「最重要テーマ」があります。それが、外部の保守ベンダーや業務委託先に対する「第3者接続の統制」です。今回は、最新のセキュリティトレンドを踏まえ、SCS評価制度において高評価を狙うための具体的なアクセス管理のアプローチを紐解きます。

✨ [要約] SCS評価制度で「星3」以上の評価を満たすための最大の難所は、外部ベンダーによるリモートアクセスの管理です。従来のVPN運用に潜むリスクを見直し、アクセス権限を自社のコントロール下に置く「管理型リモートアクセス（TPAM）」への転換が不可欠となっています。

サプライチェーンを狙う「新たな現実」と制度の背景

そもそも、なぜSCS評価制度において、自社だけでなく「取引先」のセキュリティがこれほど厳しく問われるのでしょうか。その背景には、自社内部のセキュリティをいくら強固にしても、協業先や保守ベンダーの接続経路を通じた侵入を防ぎきれないという「新たな現実」があります。

世界的なセキュリティ統計を見ても、その脅威は一目瞭然です。

📊 レポートが示すサプライチェーンの現実

データ侵害における第3者の関与：30%

米Verizon社の『2025年データ漏洩/侵害調査報告書（DBIR）』によると、全体のデータ侵害の30%にサードパーティの供給業者が関与しており、この割合は前年比で2倍に急増しています。

サプライチェーン侵害の平均被害額：491万ドル（約8億円）

米IBM社が発表した2025年のセキュリティレポートによると、サプライチェーン経由で発生したデータ侵害1件あたりにかかる企業の平均費用は491万ドルに達しています。

現在の巧妙なサイバー攻撃は、高度なハッキング技術で正面突破するのではなく、「第3者に与えられた正規アクセス権限の悪用」によって引き起こされています。SCS評価制度が「外部との接点」の管理を厳しくチェックするのはこのためです。

従来の運用の落とし穴：問題の本質は「接続」ではなく「統制の不在」

SCS評価制度に対応する上で、多くの企業が壁にぶつかるのが「外部ベンダーからのリモートアクセス管理」です。「VPNアカウントの丸投げ」や「パスワードの共有」といった従来の運用では、制度が求める厳格な基準を満たすことが難しくなっています。

❌ 従来のVPN運用などに潜む4つのリスク

誰が接続したのか：ベンダー内で共有アカウントが使われ、個人単位の特定ができない
いつ接続したのか：常時接続が許可されており、作業時間の把握が曖昧
どのシステムにアクセスしたのか：ネットワーク全体が見えてしまい、不要なエリアまで侵入できる
どんな作業を行ったのか：画面操作などのログが残らず、事後の操作追跡ができない

サプライチェーンセキュリティにおいて問われるのは、遠隔アクセスを全面的に禁止することではありません。可視化されていない「統制のない接続」を排除し、アクセス状況を完全に自社のコントロール下に置くことが求められているのです。

SCS対策の核心は「第3者アクセス管理（TPAM）」の確立

SCS評価制度で高い水準（星3以上）を満たすためには、外部との接続に対して「管理の体系」を確立することが不可欠です。

具体的には、外部からのアクセスに対して以下のセキュリティポリシーを徹底し、実務運用として定着させる必要があります。これが「第3者アクセス管理（TPAM：Third-Party Access Management）」と呼ばれるアプローチです。

1. 多要素認証（MFA）の強制

IDとパスワードの知識認証だけに頼らず、ワンタイムパスワード（OTP）や認証用アプリ、電子メールによる動的なコード入力などを組み合わせ、接続する人間の身元を厳格に本人確認します。

2. IP / MACアドレス制限

不特定のインターネット回線からのアクセスを防ぐため、事前に許可された企業の特定のグローバルIPアドレスや、あらかじめ登録されたデバイス（端末）以外からの接続要求をゲートウェイで自動遮断します。

3. 最小権限の原則

リモート接続時、VPNのように社内のネットワーク全体をフルオープンに開放せず、該当の外部委託先ベンダーが保守点検を義務付けられている「特定のシステムや指定端末」だけしか画面表示・通信ができない状態にします。

4. 監査ログの確実な記録

リモート接続セッションの開始から終了まで、「いつ・誰が・どの画面を操作し・何の変更を加えたか」のテキストログや動画形式のログを自動記録。国や外部監査機関への評価申請の際に、客観的な証跡として提出できる状態にします。

従来のVPN等に潜む課題とリスク、および管理型リモートアクセス（RemoteView）を導入することによる第3者アクセス管理の確立とSCS★3以上獲得の全体像を示す比較図解。 — 図1：従来の接続手法（左）と管理型リモートアクセスによる第3者アクセス統制（右）の対応比較

評価制度をクリアする最適解：「管理型リモートアクセス」への転換

外部ベンダーによるリモート保守やサポートは、現代のビジネスにおいて不可欠であり、アクセスを完全に閉ざすことは現実的ではありません。アクセスを閉ざすのではなく、「自社のセキュリティポリシーの傘の中で、安全に可視化・管理すること」こそが、制度対応の正解です。

ここで、従来の接続手段（VPNなど）と、これからの「管理型リモートアクセス」の違いを整理してみましょう。

比較項目	従来の接続（VPNなど）	管理型リモートアクセス（RemoteView等）
本人認証	ID/PWのみ（漏洩・使い回しリスク大）	MFA（多要素認証）の強制によるなりすまし防御
アクセス範囲	ネットワーク全体を開放（接続範囲が広すぎる）	特定の業務対象の端末・システムのみに限定して通信許可
端末の制限	社外の持ち出しPC等の個別制限が困難	接続元のIPアドレス、MACアドレスで確実に端末を固定可能
履歴の証明	接続ログ取得が困難、または事後調査に膨大な時間がかかる	誰が・いつ何をしたか、全セッションの詳細を確実に自動記録

RSUPPORTが提供する『RemoteView（リモートビュー）』のような管理型リモートアクセスソリューションを導入すれば、SCS評価制度で求められる「外部からのアクセス経路の可視化と統制」を、現場の業務効率を落とすことなく容易に実現できます。

不透明だった外部接続のブラックボックスを、「監査・管理が可能な安全な領域」へと変えること。それこそが、SCS評価制度への対応をスムーズにし、企業のサプライチェーンを守り抜くための最短ルートです。

👉 RemoteViewの強固なセキュリティ機能の詳細はこちら

第3者アクセス管理に関するよくある質問（FAQ）

Q1. SCS評価制度の審査において、なぜVPNの運用だけでは不十分とされるのですか？

A. VPNは「社内ネットワークへの入り口」を認証する境界型の技術であり、一度認証を通ってしまうとネットワーク内のシステムへの自由な横移動（ラテラルムーブメント）を許してしまいがちだからです。また、外部ベンダーの作業者が「どの端末で・どんな具体的な操作をしたか」という詳細な画面挙動まで追跡・監査できない点が、制度の求める「客観的な可視化・統制」の基準に達しない最大の理由です。

Q2. 外部委託先（ベンダー）に厳しいアクセス制限を課すと、保守業務の効率が落ちませんか？

A. 管理型リモートアクセス（RemoteViewなど）であれば、接続先で専用の複雑なクライアント設定をベンダーに強いることなく、ブラウザなどから安全かつワンクリックで必要な端末に接続可能です。業務の利便性や接続スピードを損なわずに、自社ポリシーを適用できるため、業務効率を下げることなく高水準のセキュリティを獲得できます。

Q3. アカウントの「使い回し」を防止するための実務的な工夫はありますか？

A. ソリューション側で「1ユーザーID＝特定デバイス」を強制するMFA（多要素認証）を紐付けるアプローチや、事前の作業申請承認のプロセスに連動して「期限付きの一時アカウント」をその時間内だけ自動発行する仕組みが有効です。現場の手動管理に頼らず、RemoteViewのようなツールの機能を利用して自動化することで、アカウント放置や貸し借りを未然に防ぎます。

💡 次のステップへの動線

外部ベンダーのアクセス管理（TPAM）の整備は、SCS評価制度をクリアするための強力な基盤となります。
しかし、サプライチェーンを狙うサイバー侵害の脅威はAI技術の悪用などによってさらに高速に進化しています。

AI時代の脅威に追いつくための、現場で最も見落とされやすい「3つの管理の空白」の防ぎ方については、
ぜひシリーズ最終章となる次の解説記事をご覧ください。

👉 次の記事：【SCS評価制度対策②】現場に潜む「3つのセキュリティ空白」

リスト