【評価されるばかりじゃない!】SCS評価制度では企業を「審査する側」になれる? ★3を審査できる「セキュリティ専門家」に必要な資格とは
SCS評価制度とは
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)は、経済産業省と内閣官房国家サイバー統括室が主導し、サプライチェーン全体のサイバーセキュリティ水準を「見える化」し、向上させるための新しい評価制度です。評価はサイバー対策の成熟度に応じて★1〜★5の5段階が設定されていますが、特に実務で中心となるのは★3(専門家確認付き自己評価)と★4(第三者評価)であるとされています。
筆者もこれまで、数多くのSCS評価制度に関する記事やセミナーを行ってまいりましたが、本記事では「自社が★評価を取得するために必要な手順」ではなく、SCS評価制度において、企業が「審査・評価を担当する側」になるために必要な資格要件に焦点をあてます。
SCS評価制度では、申請・取得プロセスを通じて、企業のセキュリティ対策状況を的確に確認・評価できる「セキュリティ専門家」を配置することが求められます。当該専門家となるには、定められた資格を有し、制度指定の研修を修了している必要があります。
本記事では、その「審査する側」に適用される資格要件を体系的に整理し、今後★評価の取得を掲げる企業様やコンサルタント、支援事業者など、制度に関わるあらゆる方々の目的が達成できることを願います。
「セキュリティ専門家」とは何か
SCS評価制度において「セキュリティ専門家」とは、評価を受ける企業の自己評価内容をレビューし、その妥当性を確認した上で署名を行う役割を担う人物を指します。経済産業省が令和8年3月27日に発出した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」の13ページには、専門家の役割を次のように明記しています。
「社内外のセキュリティ専門家は、取得希望組織が記入した内容を確認するとともに、必要に応じて評価結果の修正を含む助言を行い、最終的に事務局へ提出する内容に関して了承した場合に署名を実施します。」
この仕組みの目的は、企業による自己宣言に客観性と信頼性を持たせることにあるとされており、経済産業省によると、専門家の主な役割は次のとおりです。
- 自己評価内容の実効性レビュー(形式的でなく機能する対策かどうかの確認)
- 評価基準との適合性確認(SCS評価基準の各項目を満たしているかのチェック)
- 不足している対策や改善点の指摘と助言
- 最終提出内容への専門家としての署名・責任の明示
※ なお、専門家は社外の人物である必要はありません。
セキュリティ専門家にあるために認定されている資格一覧
2026年3月27日に経済産業省が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS 評価制度)に関するよくあるお問い合わせ(FAQ)」によると、SCS評価制度の「セキュリティ専門家」として認められる資格は次の6種類です(いずれも制度指定の研修受講が必須です)。
No. | 資格名 | 種別 | 認定機関 |
|---|---|---|---|
1 | 情報処理安全確保支援士(登録セキスペ) | 国家資格 | 独立行政法人情報処理推進機構(IPA) |
2 | 公認情報セキュリティ監査人(CAIS) | 民間資格 | 日本情報セキュリティ監査協会(JASA) |
3 | CISSP | 国際資格 | (ISC)² |
4 | CISM | 国際資格 | ISACA |
5 | CISA | 国際資格 | ISACA |
6 | ISO27001 主任審査員 | 国際資格 | 各認定審査機関 |
資格の取得だけでは「セキュリティ専門家」としては認定されません。必ずSCS評価制度の評価基準・手続き等に関する制度指定研修の受講が必要です。詳細要件は独立行政法人情報処理推進機構(以下、IPA)から別途発表予定とのことです。
また、本記事で解説する資格要件が適用されるのは★3の「専門家確認付き自己評価」に限られます。★4以上の審査は、個人資格者ではなく「評価機関」および「技術検証事業者」としてIPAが指定した組織が担う仕組みとなっており、個人の資格要件とは制度上の枠組みが異なります。
評価区分 | 審査・確認の担い手 | 本記事との関係 |
|---|---|---|
★3 | 「個人」のセキュリティ専門家(資格保有+制度指定研修修了者) | 本記事の対象 |
★4 | IPAが指定した「評価機関」(組織)+「技術検証事業者」(組織) | 本記事の対象外 |
★5 | 未定(今後検討) | 本記事の対象外 |
※ ★4の評価機関の要件は制度構築方針(p.21)に記載されており、評価機関の具体的な指定・公表は2026年12月頃にIPAから行われる予定です。★4対応を検討している組織は、IPAの公式発表を別途ご確認ください。
各資格の詳細
以下のとおり、各資格についてまとめました。
No. | 資格名 | 種別 | 実務経験要件 | 国際通用性 |
|---|---|---|---|---|
1 | 情報処理安全確保支援士 | 国家資格 | 不要(試験のみ) | 国内中心 |
2 | 公認情報セキュリティ監査人 | 国内民間 | IT4年以上・セキュリティ2年以上 | 国内中心 |
3 | CISSP | 国際資格 | 5年以上 | 国外 |
4 | CISM | 国際資格 | 5年以上 | 国外 |
5 | CISA | 国際資格 | 5年以上 | 国外 |
6 | ISO27001 主任審査員 | 国際資格 | 審査実務経験 | 国外 |
1.情報処理安全確保支援士(登録セキスペ)
情報処理安全確保支援士(登録セキスペ)とは、IPAが認定する、情報処理分野における唯一の国家資格となります(士業)。サイバーセキュリティ対策を推進する人材を認定する資格であり、国内では取得者数が最も多い代表的なセキュリティ資格です。
取得要件
取得要件は以下のとおりです。
- 「情報処理安全確保支援士試験」に合格すること
- IPAへの登録申請と登録手数料の納付すること
維持要件
維持要件は以下のとおりです。
- 3年ごとの更新登録をおこなうこと
- 毎年のオンライン講習(年1回)を受講すること
- 3年に1度の集合講習(実践講習または特定講習)を受講すること
備考
情報処理安全確保支援士の試験制度は、2027年を目処に変更が予定されています。今後、公式より情報が更新されましたら、本ページの情報も速やかにアップデートいたします。
その他、詳細情報については、以下のページをご確認ください。
2.公認情報セキュリティ監査人(CAIS)
公認情報セキュリティ監査人(CAIS)とは、JASA(特定非営利活動法人 日本情報セキュリティ監査協会)が認定する、情報セキュリティ監査の専門家資格です。情報セキュリティ監査を体系的に実施できる能力を証明することができます。
取得要件
取得要件は以下のとおりです。
- 情報技術分野で4年以上の業務経験(うち情報セキュリティ関連で2年以上)を有すること
- 情報セキュリティ監査の実施経験を有すること
- 推薦者による推薦文・署名を提出すること
- JASA所定の試験・審査に合格すること
備考
日本の情報セキュリティ監査基準に準拠した国内特化型の資格です。
監査実務に特化しており、ISMS やガバナンス観点から企業のセキュリティ体制を評価する視点に強いことを証明できるとされています。
その他、資格の認定要件については以下のページをご確認ください。
3.CISSP
CISSP( Certified Information Systems Security Professional )とは、(ISC)²(International Information System Security Certification Consortium)が認定する、情報セキュリティ分野で世界最高峰とも称される国際資格です。日本語では「公認情報システムセキュリティプロフェッショナル」と呼ばれています。以下に掲示するように、試験範囲が広く、生半可な対策では合格できない試験とも言われています。
試験範囲
試験範囲はは以下のとおりです。
- セキュリティとリスクマネジメント
- 資産のセキュリティ
- セキュリティアーキテクチャとエンジニアリング
- 通信とネットワークセキュリティ
- アイデンティティとアクセス管理( IAM )
- セキュリティの評価とテスト
- セキュリティの運用
- ソフトウェア開発セキュリティ
取得要件
取得要件は以下のとおりです。
- 試験内容(CAT形式:最低125〜最大175問、3時間)
- 5年間以上の情報セキュリティ実務経験(CBKの2つ以上のドメイン)を有すること
- (ISC)² 会員によるエンドースメント(推薦)があること
※ IT関連分野の大学卒業学位または ISC2 認定資格で最大1年免除可能
維持要件
維持要件は以下のとおりです。
- 3年ごとに資格を更新すること
- 3年間で120 CPE(継続教育ポイント)を取得すること
※ CPEとは、資格の更新の際に求められる継続学習の単位の事を指し、他資格の取得や、セミナ-・勉強会への参加によってポイントを取得することができます。一定期間内に、規定の単位を取得しないと、資格が失効します。
備考
出題範囲が最も広く深い難易度の高い国際資格。技術、管理、リスク、法規制など多岐にわたる知識が求められ、グローバルで通用するセキュリティプロフェッショナルの証明として高く評価される。
詳細については下記のページをご確認ください。
4.CISM
CISM(Certified Information Security Manager)とは、ISACA(情報システムコントロール協会)が認定する、情報セキュリティマネジメントに特化した国際資格。日本語では「公認情報セキュリティマネージャー」と呼ばれている。CISO や情報セキュリティ責任者を目指すマネジメント層向けの資格です。
試験範囲
試験範囲は以下のとおりです。
- 情報セキュリティガバナンス
- 情報セキュリティリスク管理
- 情報セキュリティプログラムの開発と管理
- インシデント管理
取得要件
取得要件は以下のとおりです。
- 試験(150問、4時間)に合格すること
- 5年間以上の情報セキュリティ管理業務経験(うち3領域以上で各1年以上)を有すること
- ISACA 倫理規定へ同意すること
※ 最大2年間の経験免除制度あり
維持要件
維持要件は以下のとおりです。
- 3年ごとに資格を更新すること
- 3年間で120 CPE(継続教育ポイント)を取得すること
※ CPEとは、資格の更新の際に求められる継続学習の単位の事を指し、他資格の取得や、セミナ-・勉強会への参加によってポイントを取得することができます。一定期間内に、規定の単位を取得しないと、資格が失効します。
備考
技術的な詳細よりも「セキュリティ戦略・ポリシー・ガバナンス・インシデント対応体制」などマネジメント視点の知識が問われる資格試験です。グローバル企業のCISOやCSO採用評価基準としても活用されています。
詳細については下記のページをご確認ください。
5.CISA
CISA(Certified Information Systems Auditor)とは、ISACA が認定する情報システム監査の国際資格です。日本語では「公認情報システム監査人」。情報システム監査・コントロール分野で最も長い歴史と国際的普及度を誇ります。
試験範囲
試験範囲は以下のとおりです。
- 情報システム監査プロセス
- ITガバナンスと管理
- 情報システムの取得・開発・実装
- 情報システムの運用と事業継続
- 情報資産の保護
取得要件
取得要件は以下のとおりです。
- 試験(150問、4時間、450点/800点満点以上で合格)に合格すること
- 5年間以上の情報システム監査・コントロール・セキュリティ分野の実務経験を有すること
※ 最大3年間の経験代替制度あり(ITシステム運用・会計監査経験等)
維持要件
維持要件は以下のとおりです。
- 3年ごとに資格を更新すること
- 3年間で120 CPE(継続教育ポイント)を取得すること
※ CPEとは、資格の更新の際に求められる継続学習の単位の事を指し、他資格の取得や、セミナ-・勉強会への参加によってポイントを取得することができます。一定期間内に、規定の単位を取得しないと、資格が失効します。
備考
情報システム監査の考え方やプロセスが中心で、CISSP と比べシステム技術知識の比重が低めと言われています。監査法人系やITコンサル系でのキャリアに強く、内部監査・外部監査の実務で広く認知されている資格の1つです。
詳細については下記のページをご確認ください。
6.ISO27001 主任審査員
ISO27001 主任審査員は、ISMS(情報セキュリティマネジメントシステム)の国際規格である ISO/IEC 27001 に基づき、組織のISMSを審査及び認証できる人材を認定する資格です。BSI や JRCA など各認定機関が独自にプログラムを提供しています。
取得要件
取得要件は以下のとおりです。
- ISO27001 の理解と関連知識(情報セキュリティ、リスク管理等)を有すること
- 認定機関が提供するトレーニングコース(通常5日間)を修了すること
- 審査実務経験(機関により要件が異なる)を有すること
- 筆記試験・実技審査へ合格すること
※ 上記の項目は、受験する審査機関によって変動します。
維持要件
維持要件は以下のとおりです。
- 定期的な継続教育・実績報告(審査機関により異なる)
備考
ISMS の枠組みを深く理解しており、PDCAサイクルによる組織的なセキュリティ管理体制を評価する視点に強い資格とされます。ISO認証審査の実務に直結した資格であり、ISMS取得済みの企業との親和性が高いですが、同時にSCS評価制度においても同様の視点は活かせる可能性が高いです。
詳細については下記のページをご確認ください。
★3を審査する「セキュリティ専門家」になるためには、「資格+研修」が必須であることに注意
前項までに各資格について詳しく掘り下げてきました。
繰り返しにはなりますが、上記6種類の中のいずれかの資格を持つだけで、セキュリティ専門家としてみなされる訳ではありません。サプライチェーン強化に向けたセキュリティ対策評価制度(SCS 評価制度)に関する よくあるお問い合わせ(FAQ)では次のように明記されています。
「★3の『専門家確認付き自己評価』における『専門家』とは、制度構築方針p.20に記載の要件を満たす『セキュリティ専門家』を指します。具体的には、情報処理安全確保支援士、公認情報セキュリティ監査人、CISSP、CISM、CISA 又は ISO27001 主任審査員等の資格保持者のうち、本制度における所定の研修を受講した者を想定しています。詳細な要件については、制度の具体化に伴い改めてIPAから公表する予定です。」
資格取得に向けた準備と並行して、IPAからの研修情報の公表を継続的に確認しておくことが求められます。
まとめ
ここまで「審査する側」の資格要件を中心に解説してきましたが、★評価の取得を目指す企業(すなわち審査する側に立たない企業)においても、これらの資格保有者を社内に置くことにはいくつかのメリットが存在します。
1.自己評価の精度と信頼性が上がる
専門知識を持つ担当者が自社の対策状況を評価することで、チェック漏れや解釈の誤りが減ります。外部専門家のレビューを受ける際にも、社内に知識のある人間がいれば議論の質が格段に高まります。
2.外部専門家への依存度を下げられる
SCS評価制度における★の取得ならびに更新は継続的なプロセスです。コンサルタントを外部から雇うにしても、毎回外注をするとなると金銭的な負担が大きくなります。専門家人材を社内で養成し、それによって知見・ノウハウを蓄積していくことは、中長期的なコスト削減にもつながります。
3.取引先・発注企業への信頼性アピールになる
SCS評価制度は2027年度以降、取引条件として参照される可能性があります。資格保有者がいるという事実は、自社のセキュリティ対策に対する本気度を社外に示す材料にもなります。
4.インシデント発生時の対応力が高まる
CISSP、CISM、CISA などが求める知識は、制度対応に限らず、実際のセキュリティインシデントへの対処、リスク管理体制の整備、BCPの策定など、企業経営における幅広い場面で活かせます。
SCS評価制度への対応は、一時的なコンプライアンス対応ではなく、組織全体のセキュリティ成熟度を高める取り組みとして捉えることが重要です。その観点から、社内における専門人材の育成・確保を積極的に検討することを推奨します。
執筆者
