StarQuest とは？

はじめに

StarQuestは、SCS評価制度（サプライチェーン強化に向けたセキュリティ対策評価制度）における「セキュリティ対策・申請・運用」を効率化するクラウドサービスです。

SCS評価制度に取り組むセキュリティ担当者の業務負担を削減し、サプライチェーン全体のセキュリティレベル向上を実現することを目的としています。

SCS評価制度の詳細は、以下をご確認ください。

• 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」
• IPA「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」

注意

SCS評価制度の開始は、2027年度中が予定されています。このページに記載されている内容は、ページ作成時点における最新の公開情報に基づいて作られており、今後内容は変更になる可能性があります。

セキュリティ対策

「★3」もしくは「★4」を取得するには、SCS評価制度で求められている「要求事項・評価基準」に従ってセキュリティ対策を行う必要があります。★3では26項目、★4では43項目の要求事項があり、各要求事項に紐づく形で、更に多くの評価基準が存在します。

★3で求められるセキュリティ対策（要求事項）の例

• 自社のセキュリティ対応方針を策定し、周知すること。
• ユーザID の発行・変更・削除の手続を定め、適切に運用すること。
• パスワードの管理に関するルールを定め、周知すること。

★4で求められるセキュリティ対策（要求事項）の例

• セキュリティに関する法令、契約等に規定された事項を考慮し、社内ルールを策定及び周知すること。
• 脆弱性の管理体制、管理プロセスを定め、それに基づく管理を行うこと。
• ハードウェア及びソフトウェアの状態及び挙動を監視すること。

★の取得を申請するためには、各評価基準ごとに、自社の取り組み状況を記述したアセスメントシートを作成する必要があります。アセスメントシートは、通常であればExcelで作成し、1セルごとに自社の取組状況を記入することが一般的ですが、StarQuestを使えば、面倒なアセスメントシートの作成を効率的に行うことが可能です。

申請

★を取得するためには、完成したアセスメントシートをもとに、申請を行う必要があります。★3と★4で、申請の方法が異なります。

★3の取得を目指す場合、制度上で認められたセキュリティ専門家に依頼します。アセスメントシートを提出し、内容に問題がなければ、★3を取得できます。

★4の取得を目指す場合、制度上で認められた評価機関に審査を依頼する必要があります。審査は「文書確認」「実地審査」「技術検証」の3ステップに分かれており、いずれもクリアすれば、★4を取得できます。

StarQuestを使えば、オンラインでセキュリティ専門家や評価機関を探すことができ、StarQuest上から申請を行うことも可能です。

運用

★には有効期限があります。★3の場合は、1年に1回のセキュリティ専門家への確認が必要であり、★4の場合は、1年ごとの自己評価と、3年に1回の評価機関による評価が必要です。

申請後も、アセスメントシートに定めたセキュリティの取り組みを継続して実施する必要があります。StarQuestを使えば、定期的に取り組む必要があるセキュリティ対策を、繰り返しタスクとして管理できます。対策の実施漏れをなくし、確実な★の維持が可能となります。