95％がセキュリティベンダーを「信じない」 契約後も続く終わりなき疑心暗鬼のワケ：信頼の欠如が招く危機

セキュリティベンダーを「十分に信頼していない」企業は95％――。Sophosの調査が明らかにしたのはユーザー企業とベンダーの深い溝だった。なぜベンダーを信じられないのか、また、信頼の欠如からどのようなリスクが生じるのだろうか。

[田渕聖人，＠IT]

　Sophosは2026年3月31日（英国時間、以下同）、「2026年におけるサイバーセキュリティの信頼の実態」レポートを公開した。この調査はサイバーセキュリティに対する信頼と、それが業務リスクや取締役会レベルの意思決定に及ぼす影響を分析したものだ。特定のベンダーに依存しない中立的な立場で17カ国、5000の組織に対してグローバル調査を実施した。

　セキュリティベンダーにネットワークの保護と業務継続性を委ねる上で、信頼は極めて重要な要素にもかかわらず、調査によると「サイバーセキュリティベンダーを十分に信頼していない」と述べた回答者は95％だったという。

• ITコストが爆増する“低品質キッティング”の特徴　あるべき姿を考える（＠IT）
• 「EDR無効化」「暗号化はしない」　2026年のランサムウェアに起きた変化（＠IT）

なぜ95％がベンダーを「信頼できない」のか？　消えない不安の正体

　この結果は、単なるセキュリティベンダーへの不信感から来るものではなく、もう少し複雑だ。調査によると、回答者の79％が「新規のセキュリティベンダーやパートナーの信頼性を評価することは難しい」と感じており、多くの組織が製品の比較や主張内容の検証、さらには候補となるプロバイダーが実際に自社を保護できるかどうかを見極めることに苦労している実態が明らかになった。加えて回答者の62％が「既に取引のあるベンダーの信頼性を評価するのにも苦労している」と回答しており、契約後も信頼の問題が解消されないことを示している。

79％が「新規のセキュリティベンダーやパートナーの信頼性を評価することは難しい」と感じている（出典：Sophosのプレスリリース）

　ただ直接的な不信感を持っているケースもある。調査によると、回答者の47％が「ベンダーが提供する情報が事実に基づかない、あるいは詳細ではない」と回答し、45％が「情報を解釈または理解することが困難だ」と感じているという。さらに、43％が「ベンダーを効果的に評価するためのスキルや知識が不足している」とし、41％が「矛盾する情報に遭遇」し、38％が「必要な情報を見つけるのに苦労している」ことが分かった。

約半数（47％）の回答者が「ベンダーが提供する情報が事実に基づかない、あるいは詳細ではない」と考えている（出典：Sophosのプレスリリース）

• イラン vs. 米国・イスラエル　現実味を増す“サイバー報復”の連鎖【動画あり】（＠IT）

　では、こうした信頼の欠如はどのようなリスクをもたらすのか。Sophosによると、回答者の51％は「信頼の欠如が直接的な要因となり、重大なサイバーインシデント発生リスクへの懸念が高まっている」と報告した他、45％が「結果としてベンダーの切り替えを検討する可能性が高まる」と答えた。この他、「監視要件の増大」（42％）、「セキュリティポスチャに関する安心感の低下」（41％）、「自分または組織が誤ったベンダーを選択したのではないかという懸念」（38％）といった課題を抱えていることが分かったという。

　Sophosはこれらの調査結果から「セキュリティの有効性は単なる技術的性能だけでは測れず、自社を守るパートナーに対する信頼の度合いにも大きく左右される。CISO（最高情報セキュリティ責任者）による信頼が脆弱（ぜいじゃく）であれば、業務上の摩擦を生み、意思決定の遅れやベンダーの切り替えの増加につながる。一方でセキュリティパートナーを信頼できれば、リスクが低減され、組織のレジリエンス強化につながる」と分析した。

　では逆にセキュリティ企業が信頼を構築するにはどうすればいいか。Sophosは調査レポートの中で、透明性が高く、根拠に基づいたセキュリティの取り組みこそが、信頼構築のために重要だとしている。

　具体的には「セキュリティ成熟度を示す検証可能な証跡」が、セキュリティベンダーへの信頼を左右する最も重要な要因として挙がった。これらの検証可能な証跡としては、バグ報奨金プログラムや公開しているトラストセンター、自社製品の脆弱性とその対応内容を詳述したアドバイザリ、第三者評価、各種認証などが含まれるという。

• GitHubを“VS Codeの人気拡張機能”が侵害　約3800件の内部リポジトリ流出（＠IT）
• 5週間で340超の企業が被害に　Microsoft 365のアクセスを奪う新型フィッシングに注意（＠IT）