「セキュリティ対策証明」経験ありは8割超、だがSCS評価制度迫るも“SaaS把握率”は2割未満:IT資産管理も追い付かない実態
サプライチェーン強化に向けた新制度の運用開始を控える中、取引先からセキュリティ対策の証明を求められた経験がある担当者が大多数だが、対策は追い付いていない。SmartHRの実態調査から明らかになった。
取引先や委託先などサプライチェーンを狙うサイバー攻撃が相次ぐ中、2026年度末までに「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の本格運用開始が予定されている。SCS評価制度は、企業のセキュリティ対策を客観的に評価し、取引先の対策状況を確認しやすくすると同時に、サプライチェーンのセキュリティ水準の底上げを目指すものだ。
これについてクラウド人事労務ソフトウェアを提供するSmartHRが2026年5月28日、「サプライチェーンセキュリティ評価制度に関する実態調査」の結果を公表。制度開始を前に、企業の“備え”はどのような状況にあるのか。
「セキュリティ対策証明」経験ありは8割超、だが対策が追い付かない
調査によれば、取引先からセキュリティ対策の証明や報告を求められた経験がある担当者は少数派ではない。むしろ大多数の企業が、程度の差こそあれ対応を迫られているのが実情だ。
取引先から自社のセキュリティ対策状況について証明や報告を求められたかを尋ねた設問では、「頻繁に求められている」との回答が15.3%、「数回求められたことがある」が33.3%となった。「1回だけ求められたことがある」の36.5%を含めると、全体の85.1%が何らかの証明や報告を求められた経験がある。
自社で利用しているSaaS(Software as a Service)やITツールの把握状況については、「すべてのサービス・アカウント・利用者を一元的に正確に把握できている」との回答は19.4%にとどまった。一方で、「一部のサービスについては正確に把握しているが、全体は把握できていない」が42.3%で最多を占めた。次いで「利用しているサービスは把握しているが、アカウント数や利用者までは把握できていない」が32.9%だった。
退職者のSaaSアカウントをいつまでに削除できているかを聞く設問では、「1カ月以内」が36.5%で最多となったが、「1カ月超かかることがある」も32.0%を占めた。「削除・無効化のルールが定まっていない」(7.2%)を合わせると、39.2%の担当者が退職後のアカウント処理が即座に完了していない、あるいは運用ルールを整備できていない。
セキュリティ対策不足の理由は「予算不足」が最多
「自社のセキュリティ対策が不足している」と回答した層に、その理由について尋ねたところ、「対策に必要な予算を確保できていないから」が49.2%で最多となった。「セキュリティ対策の専任担当者や人材が不足しているから」(47.6%)、「何から着手すべきかわからないから」(39.7%)が続いた。
一方、SCS評価制度について認知している層に対して、「SCS評価制度の開始を踏まえ、あなたの会社では今後セキュリティ対策への投資をどのように見直す予定ですか」と尋ねた設問では、「やや増やす予定である」(68.2%)との回答が最多を占めた。「大幅に増やす予定である」(13.1%)と合わせた81.3%が、セキュリティ投資拡大の意向を示していることになる。
SmartHRはこの調査の結果を受けて、サプライチェーン全体でのセキュリティ対応が「求められるもの」から「前提となるもの」へと変化しつつあると分析する。外部からの要求が高まる一方で、足元の管理体制が追い付いていないギャップが多くの企業に共通する課題であるとも指摘。「自社のIT資産やアカウントの棚卸し・可視化といった基盤整備から着手し、日常業務の中で無理なく運用できる形でセキュリティ対策を整えていくことが重要になる」と提言している。
同調査は2026年4月15〜16日に、従業員100人以上の企業で自社のIT資産やセキュリティ対策に関与している担当者222人から有効回答を得たものだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
取引先に「★4以上」求めたい、でも要求しにくい? 経産省「SCS評価制度」で直面する板挟みの現実
キヤノンITソリューションズは、経済産業省が運用を予定している「サプライチェーン強化に向けたセキュリティ対策評価制度」に関する実態調査を発表した。取引条件化の意向がある発注企業のうち、過半数が取引先にセキュリティ対策の評価水準として「★4以上」を求める予定と回答した。
「セキュリティのアレ」の3人が事例から導く、サプライチェーン攻撃対策の楔
2026年5月29日、「ITmedia Security Week 2026 春」で、パネルディスカッション「信頼の境界線に打つ楔」が行われた。
“セキュリティの丸投げ”なんて理想じゃない 運用担当の読者が「本当に望む体制」
セキュリティ業務は誰が担うべきか――。@ITのヒアリングでは、システム運用管理担当者からさまざまな考えが寄せられました。「誰かに任せればよい」という単純な話ではない、現場担当者が考える現実的な体制とは。
「★3」「★4」のセキュリティ評価制度 ついに“案”から進んだ構築方針とは?
企業のセキュリティ対策を「★3」「★4」などで評価する「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の構築方針が固まった。制度運営や評価の仕組みなど、具体化した内容とは。



