Cases 導入事例

SCS評価制度★4取得・運用プロセスを一元管理。評価基準153項目のセキュリティチェックを2週間で完了!

SCS評価制度★4取得・運用プロセスを一元管理。評価基準153項目のセキュリティチェックを2週間で完了!

ポニー工業株式会社

非破壊検査の専門商社として発電所や石油プラントといったインフラ設備などの品質管理・保守を支えるポニー工業株式会社(以下、ポニー工業)では、サプライチェーンからのセキュリティ要求の高まりを背景に、サプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)の★4取得を目指す取り組みを開始。ソースポッドのSPC Trust Chainを導入し、153項目の評価基準へのセルフチェックを終えるなど着実に対応を進めています。ご担当者に導入の経緯と活用状況について詳しく伺いました。(取材日:2026年5月)

(写真)ポニー工業 管理本部 総務部 兼 資材管理部 係長 野村 周平氏


★4取得に必要な評価基準153項目のアセスメントが2週間で完了

―ポニー工業におけるSPC Trust Chainの利用状況について教えてください。

2026年5月から「セルフチェック機能」を利用し、SCS評価制度★4の評価基準153項目について、現状確認と回答を完了しています。私一人でも他の業務を行いながら、実質2週間ほどで対応できました。

6月からは「課題管理機能」の本格運用を開始する予定です。セルフチェックを通じて明らかになった現状とのギャップを課題として登録し、対策・担当者・優先度・期限を設定して全社的に推進していきます。SPC Trust Chainの情報共有・共同作業の機能を活用し、複数部門と連携しながら進めるつもりです。


Excelでは実現できない、効率的な対応が可能

―「セルフチェック機能」を使ってみての感想をお聞かせください。

最も助かったのが、各設問の具体的な補足説明が表示されるヘルプ機能です。SCS評価制度の項目には、どこまでできていたら「はい」と回答してよいのか判断に迷う、抽象的な表現のものがあります。しかしSPC Trust Chainでは、ヘルプボタンを押せば項目のすぐ横に説明が表示されるので、判断と操作性の両面で効率よく回答を進めることができました。

操作性の良さは他の箇所にも感じています。以前、取引先からの求めで★3の評価基準をどれだけ満たしているのかを確認し、その際はExcelのアンケートに回答しました。評価基準の中には「No.○○で定めた…」「No.△△で示す…」といった形で、別の項目を参照するものが多くあるのですが、Excelだと項目間を行き来して確認しなくてはならず、手間がかかります。対してSPC Trust Chainでは関連する設問が別ウィンドウで表示され、その設問に対する自社の回答内容まで合わせて確認できるので、手間なくスピーディーに回答できました。

―ほかにもExcelにはない利点を感じましたか。

回答の進捗状況が回答率として可視化される機能です。今回は私が一人で対応しましたが、複数人で分担する場合には、より価値が出てくるでしょう。また、各設問にメモを付ける機能は、共同作業での認識のズレを防ぐのに役立つと思います。今後は複数部門と協働することになるため、こうした特長がさらに活きてくると期待しています。

 


人数とノウハウの制約を超えるには外部の支援が不可欠

―SCS評価制度に取り組むことになった経緯を教えてください。

以前から大手取引先を中心に、セキュリティチェックシートへの回答依頼が年々増えてきたことを受け、セキュリティを強化しなければという意識が社内にもありました。そうした中でSCS評価制度が公表されたため、今後を見据えて先行して取り組んでいこうと会社として判断しました。

社会インフラを支える分野で活用される製品を多く取り扱っていることから、弊社が求められるセキュリティレベルは高いと認識しています。そのため、★3ではなく★4を目指すことにしました。

―★4への対応を進めるにあたり、どのような課題がありましたか。

★4の評価基準は153項目にのぼります。規程類を文書として整えるだけであれば誰でもできますが、それを弊社の業務運用に支障が出ないよう実装するには、相当なノウハウが必要です。内容と現状のギャップがかなり大きいなか、自社だけで対応するのは難しいと判断し、外部の支援会社を探し始めました。

もう一つの課題が体制面です。情報システム関連を担う総務部の実働は私を含む2名です。しかも総務・資材管理業務を兼務しながら、セキュリティやネットワーク、DX関連の実務も担っています。その状況で153項目への対応を全社展開していくことには大きな懸念がありました。

―取り組みのパートナーとしてソースポッドを選んだ決め手は何でしたか。

2025年9月から10月にかけて複数のコンサルティング会社に相談しましたが、他社の提案は規程類の整備に特化した内容が中心でした。SCS評価制度への対応は規程類の整備だけで完結するものではなく、リスクアセスメントから計画、従業員教育、内部監査、マネジメントレビューさらには多要素認証やログ管理といった技術的な対策の実装まで求められます。ソースポッドの支援内容は、そうした一連のプロセスを包括的にカバーするものでした。

そして課題を感じていたExcelのチェックシートではなく、SPC Trust Chainというセキュリティマネジメントツールで対応プロセスを一元管理できることへの期待も大きく、効率面での不安を払拭してくれました。

とはいえ、特に期待していた「セルフチェック機能」の補足説明を行うヘルプ内容の充実度がどの程度なのかは気がかりでした。内容が浅ければ、結局自分たちで解釈を判断しなければならない場面が出てくるからです。しかし実際には十分な内容だったので、順調にセルフチェックを進めることができました。


中小企業こそ最初の計画が重要

―ソースポッドおよびSPC Trust Chainへの、今後への期待をお聞かせください。

非破壊検査の専門商社である弊社の事業内容を理解した上で、業務運用に支障が出ないようにサポートしていただけることを期待しています。さまざまな業種・規模の企業の対応経験から得た知見を共有していただけることが、自社だけでは気づけない視点をもたらしてくれると感じています。

SPC Trust Chainの機能面では、「課題管理機能」に続き、取引先への「セキュリティチェック機能」や、「セルフチェック機能」の結果の自動評価・集計など、今後提供予定の機能にも関心を持っています。★4取得のための評価ガイドは2026年10月に公開予定であり、評価基準に対する想定要件が変わる可能性もありますが、そうした変化にも対応しながらSPC Trust Chainの機能を拡充していただけると聞いており、安心しています。

セキュリティ対応に終わりはありません。SCS評価制度をきっかけに、これまで不十分だった部分を整理しながら、脅威の変化にスピーディーに対応できる体制を構築していきたいと考えています。

―同じ立場にある企業へのアドバイスをお聞かせください。

中小企業の場合、専任担当者がいなかったり、予算面の制約が大きかったりすることが多いです。何をどこまでやるかで、労力もコストも大きく変わります。自社の事業内容によって強化すべき優先順位は変動するので、最初にしっかり計画を立てることが、結果的に最小のコストで最大の効果を得ることにつながるでしょう。その場しのぎではなく、継続的に改善を回せる仕組みとして評価制度を捉えることが重要だと、今回の取り組みを通じて感じています。

法人概要

法人名 ポニー工業株式会社
所在地 本社所在地 大阪府大阪市中央区北久宝寺町2-3-6
ご利用数 -アカウント

関連サービス