SmartHRは5月28日、「サプライチェーンセキュリティ評価制度に関する実態調査」の結果を発表した。
今回の調査は、「従業員100名以上の企業で自社のIT資産やセキュリティ対策に関与している担当者222名」を対象に、「企業におけるサプライチェーンセキュリティ対応の実態と課題、ならびに今後の対応意向を明らかにする」のが目的。調査期間は2026年4月15日~4月16日で、にインターネット経由で実施した。
SmartHRでは、「経済産業省は2026年度末を目途に『サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)』の運用開始を予定しており、企業にはこれまで以上に客観的なセキュリティ水準の担保が求められる見通し。
一方、実務の現場ではすでに取引先からセキュリティ対策に関する証明や報告を求められるケースが増えており、対応が一部の企業にとっては負担となっている可能性がある。また、利便性の高いSaaSの普及によってIT資産やアカウントの利用シーンが広がる一方、それらを一元的に把握・統制するための仕組みづくりが急務となっている実態も浮き彫りになっている」と、調査の背景を述べている。
調査結果から、経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」を「詳しく知っている」のは、約半数であることがわかった。
このうち、SCS評価制度に「既に対応に着手している」のは約20%。
「取引先から自社のセキュリティ対策状況について証明や報告を求められたことがある」のは、全体の85.1%。
自社で利用しているSaaSやITツールについて、「利用しているサービスの一覧」「アカウント数」「利用者(従業員)」を定期的に把握できているのは、19.4%。
「自社のセキュリティ対策が不足していると感じる理由」については、「対策に必要な予算を確保できていないから」(49.2%)、「セキュリティ対策の専任担当者や人材が不足しているから」(47.6%)、「何から着手すべきかわからないから」(39.7%)がトップ3であった。
「自社のセキュリティ対策を強化するとした場合、優先的に取り組むべき項目」としては、「セキュリティポリシーの策定・見直し」(45.5%)、「アクセス権限(ID・権限)の管理体制の見直し」(44.1%)、「従業員のセキュリティ教育・研修の強化」(44.1%)がトップ3となった。
SmartHRでは調査のまとめとして、次のようにコメントしている。
「今回の調査から、取引先からセキュリティ対策に関する証明や報告を求められるケースがすでに広く発生しており、サプライチェーン全体でのセキュリティ対応が“求められるもの”から“前提となるもの”へと変化しつつある状況が見えてきました。
一方で、自社で利用しているSaaSやITツール、アカウント情報を「すべて正確に把握できている」と回答した企業は2割未満にとどまり、退職者アカウントの対応にも時間を要している実態が明らかになりました。外部からの要求が高まる一方で、足元の管理体制が追いついていないというギャップが、多くの企業に共通する課題といえそうです。
また、セキュリティ対策への投資を増やす予定とする企業が8割を超えており、各社が強い課題認識を持つ一方で、何から着手すべきか悩んでいる様子もうかがえます。
まずは、自社のIT資産やアカウントの棚卸し・可視化といった基盤整備から着手し、日常業務の中で無理なく運用できる形でセキュリティ対策を整えていくことが、今後の対応において重要になるのではないでしょうか」
[i Magazine・IS magazine]
