Pマークなどセキュリティ認証の“隠れたメリット”も判明 「委託先企業のセキュリティチェック」調査：セキュリティ認証の取得を必須とする企業も

SecureNaviは「セキュリティチェックシートとセキュリティ認証に関する調査レポート」を公開した。それによると従業員数が100人以上の企業は、委託先企業のセキュリティ認証の取得を「サービス導入の必須要件」としていることが分かった。

[＠IT]

　SecureNaviは2022年7月26日、「セキュリティチェックシートとセキュリティ認証に関する調査レポート」を公開した。これは企業がITサービスを導入する際のセキュリティチェックについて調査したもの。ITサービス導入において最終決裁かセキュリティチェックを担当した人を対象に実施し、2194人から有効回答を得た。

企業規模が大きくなるほどセキュリティチェックは必須に

　ITシステムの開発や運用の外注、ITサービスの導入において、事前に委託先企業のセキュリティチェックを実施しているかどうかについて聞いたところ、「実施する」または「場合によって実施する」と回答した企業の割合は、従業員数100人未満の企業で58.0％、従業員数100人以上1000人未満の企業では92.0％、従業員数1000人以上の企業では95.0％だった。

外注やITサービス導入時に委託先企業のセキュリティチェックを実施しているかどうか（提供：SecureNavi）

　セキュリティチェックを実施する企業に「重視する項目」を聞いたところ、最も優先順位が高かったのは「ISMS（情報セキュリティマネジメントシステム）やプライバシーマーク（Pマーク）などセキュリティ認証の取得の有無」だった。次いで、「脆弱（ぜいじゃく）性診断やマルウェア対策など、技術的なセキュリティ対策の実施状況」「データの管理方法（データの取得、利用、保管、廃棄などに対するセキュリティ対策の実施など）」だった。

セキュリティ認証を取得することの隠れたメリット

　ITシステムの開発や運用の発注、ITサービスの導入をする上で委託先企業がセキュリティ認証を取得していることを必須要件としている企業の割合は、従業員数100人以上1000人未満の企業では74.6％、従業員数1000人以上の企業では79.1％だったのに対して、従業員数100人未満の企業では41.3％だった。

　調査結果によると企業規模が大きくなるほどセキュリティチェックを実施しない割合が増えている。これは「委託先企業がセキュリティ認証を取得している場合はセキュリティチェックを省略している」という企業があるためだ。

委託先がセキュリティ認証を取得していると何が違うのか（提供：SecureNavi）

　委託先企業がセキュリティ認証を取得している場合、「セキュリティチェックを省略する」「セキュリティチェックの質問項目を削減する」と回答した企業の割合は、従業員数100人以上1000人未満の企業では73.5％、従業員数1000人以上の企業では77.0％だった。なお、従業員数100人未満の企業では35.3％まで減少する。

　SecureNaviの井崎友博氏（代表取締役CEO）は、「セキュリティ認証は、取得したことによる数値的な効果が示しづらかったが、今回の調査でチェックシートへの回答工数の削減や、商談および受注機会の獲得につながることが明らかになった」と述べている。