はじめに

「とりあえず導入はした」「監査票には答えられる」。――それでも侵入・横展開を止め切れないのは、運用と証跡が伴っていないからです。Day2では、制度が定める★3（Basic）＝自己評価の実像を、25項目の構造と証跡ループ（方針→実装→運用→記録）で具体化します。

★3は“最低限の土台”。しかし正しく作れば、ネットワーク経由の侵入や弱い認証を突く典型的な攻撃に対し、大きな防波堤になります。経営としては、「何を、どの順番で、どのレベルまで」やるのかを明確にし、四半期で可視化・改善を回すことが肝心です。

1. ★3とは何か：定義と到達基準

SC評価制度の★3（Basic）は、全サプライチェーン企業が最低限実装すべき基礎対策を自己評価で確認する段階です。制度の公式資料では、★3は自己評価（25項目）として整理され、組織体制・基本方針・資産管理・アクセス管理・脆弱性/パッチ・ログ保全・バックアップ等の“土台”を求めています。

2. 25項目の構造：ガバナンス→資産→アクセス→脆弱性→ログ→バックアップ

参考資料（★3/★4要求事項・評価基準案）を見ると、★3は以下のような流れで整理されています。ここでは経営に関係する“骨格”を抜き出して、実装の型と合わせて提示します。

2-1. ガバナンスと役割

• 規程整備と周知：関連法令・業界基準・顧客要件を踏まえた社内ルールの策定・改定・教育。
• 役割・責任：CISO等の統括と担当部署の責任を明確化。連絡先リストを常時更新。
• 定期棚卸し：体制、接続システム一覧、機密区分・管理ルール順守、ID一覧、インシデント体制を年1回以上見直し。

2-2. 取引先・委託の把握

• 接続関係の一覧化：自社の資産が接続する外部管理システム（顧客・子会社・クラウド等）の一覧。
• 機密情報の共有：機密情報の共有先リスト、やり取り手段の把握（受発注・ファイル共有・API等）。

2-3. IT基盤の基本防御

• アクセス管理：管理者IDの分離、権限の最小化、退職者・休眠IDの即時無効化、重要アカウントのMFA。
• 脆弱性・パッチ：SLAと例外承認、重大脆弱性の優先是正、外部露出機器（VPN/RDP/管理ポータル）の定期点検。
• ログ・監視：改ざん耐性のある保全、保存期間の規定、相関分析は★4の領域だが★3でも収集・保存は必須。
• バックアップ：論理的隔離（イミュータブル等）と復元演習の定期化（テーブルトップ→限定実機）。
• メール/WEB防御：既定値の強化（SPF/DKIM/DMARC、URL/添付制御、サンドボックス）。

2-4. インシデント対応の初動

• 体制と連絡網：初動手順（隔離・封じ込め・根絶・復旧）と外部通報先（警察庁・NISC・関係当局・主要顧客）。
• 記録と是正：発生ログ・原因分析・再発防止策をチケットで完結。四半期でレビュー。

3. 証跡設計：監査に耐える“作法”とテンプレ

証跡は「量」ではなく「因果が追える最小セット」が原則です。以下のテンプレで揃えましょう。

3-1. 最小証跡セット（四半期更新）

• 方針・規程：最新化履歴、教育記録（受講ログ・資料）。
• 資産・ネットワーク：機器/OS/ソフトの一覧、ネットワーク図、外部接続一覧。
• アクセス管理：ID台帳（管理者/一般）、権限差分、入退社フローのログ。
• 脆弱性対応：検出→評価→是正→検証のチケット履歴、重大CVEの是正SLA遵守率。
• バックアップ：世代・保管先・イミュータブル設定、復元演習プロトコルと実施記録。
• ログ：保存期間・改ざん耐性（WORM等）の設定、監査時のサンプリング手順。
• 是正：監査指摘と対応のエビデンス（再発防止策の実装確認まで）。

3-2. エビデンス“作法”のコツ

• スクショ＋出力：設定画面のスクリーンショットに加え、CLI/CSV出力で改ざん困難化。
• 識別子：台帳・チケット・変更申請を一意IDで相互参照できるようにする。
• 抜取検査：監査想定のサンプリング手順（例：高機密資産から3件、重大CVEから5件）。
• 時系列：検知→封じ込め→根絶→復旧→再発防止までのタイムラインを1枚で追える図に。

4. 経営ダッシュボード：KPIと四半期運用

★3を「見える化」するダッシュボード例です。四半期の役員会で“赤→黄→緑”を更新し、是正の優先順位を即決できる状態にします。

• MFA適用率（特権ID・外部接続ID）：100%を目標。
• 重大CVE是正SLA遵守率（例：CVSS 9.0+を14日以内）：95%+。
• 退職/休眠IDゼロ化（検出→無効化までのリードタイム）：24–72h。
• バックアップ復元演習（四半期あたりの達成回数）：1回以上。
• 監査指摘の是正完了率（四半期）：100%。

5. 統計で裏付ける優先順位（感染経路と対策の対応表）

国内の最新動向では、VPN/RDPなどネットワーク露出の弱点が依然として主要な侵入経路です。したがって、★3の中でもMFAの徹底、外部露出機器のパッチと設定見直し、権限最小化、バックアップの隔離は最優先で実装しましょう。

• 侵入経路：VPN 約63%、RDP 約18%（合計約81%） → 対策：VPN/RDPの閉塞・ゼロトラスト化、MFA、脆弱性即応。
• メール・Web経由：フィッシング/添付 → 対策：ゲートウェイ強化、添付分離、URL保護、訓練。

6. 役員会用チェックリスト（到達確認）

• 最新の資産・ネットワーク・外部接続一覧が1枚にまとまっている。
• MFAは特権と外部接続に100%適用。例外は経営承認と期限付き。
• 重大CVEのSLA（例：14日）が文書化され、遵守率が四半期で報告される。
• バックアップは隔離保存と復元演習の記録がある。
• 退職/休眠IDはゼロ。権限差分の棚卸しを実施済み。
• インシデント初動手順（連絡先・外部通報・封じ込め手順）が更新されている。

7. まとめ

• ★3は“最低限の土台”だが、運用と証跡を回すことで実効性が出る。
• 25項目は、ガバナンス→資産→アクセス→脆弱性→ログ→バックアップの骨格で実装する。
• 侵入の主因がVPN/RDP等の露出である事実に合わせ、MFA・パッチSLA・隔離バックアップを最優先に。
• 四半期のダッシュボードで「見える化→是正→再発防止」を回し、★4への橋渡しに備える。

8. FAQ（3問）

Q1. ★3はどこまで“必須”ですか？

A. 制度上、★3は「全サプライチェーン企業が最低限実装すべき対策」を想定しています。自己評価であっても、運用と証跡まで揃って初めて“到達”とみなされます。

Q2. ★3だけで十分でしょうか？

A. 説明責任が強い業態・顧客が多い場合は、設計段階から★4相当を視野に入れておくと二度手間を防げます。まずは★3の運用・証跡を四半期で回し、ギャップを最小化しましょう。

Q3. クラウドや委託が多い場合の留意点は？

A. 共有責任モデルを契約・設定・証跡に落とし込み、クラウド事業者/委託先の脆弱性対応・ログ・是正を自社KPIに織り込むのが近道です。