サプライチェーンセキュリティ評価制度の実態調査：企業の課題と対応意向

サプライチェーンセキュリティ評価制度に関する実態調査

株式会社SmartHRが2023年に実施した「サプライチェーンセキュリティ評価制度に関する実態調査」が注目を集めています。この調査では、100名以上の従業員を抱える企業におけるIT資産やセキュリティ対策に関与する222名の担当者を対象に、現在のセキュリティ状況や今後の対応意向について浮き彫りにされました。

調査の背景

近年、サイバー攻撃が高度化し、サプライチェーン全体に対する攻撃が増加する中、企業は自身のセキュリティ対策を強化するだけでなく、取引先の対応にも注力する必要があるとされています。経済産業省が2026年度末に「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」を導入する旨を発表し、企業には客観的なセキュリティ水準の確保が求められることが予想されています。このような背景から、企業の実状についての調査が行われました。

調査結果サマリー

調査結果は多くの企業がセキュリティ対策に頭を悩ませていることを示唆しています。以下のような結果が報告されました。

- IT資産やセキュリティ対策の担当者のうち、約8割が取引先にセキュリティ証明や報告を求められた経験があると回答。
- 自社で利用しているSaaSやITツールを「すべて正確に把握している」との回答はわずか19.4%。
- セキュリティ対策不足の理由として「予算不足」が49.2%を占める。
- SCS評価制度の認知者の81.3%が、今後セキュリティ投資を増やす意思を示している。

詳細な調査結果

1. セキュリティ証明の要請
大半の企業が取引先からのセキュリティ証明要求を経験しており、具体的には「頻繁に求められている」という回答が15.3%、「数回求められたことがある」が33.3%に達しています。合わせて85.1%が何らかの形で要請を受けた経験があると報告しています。

2. IT資産の把握状況
自社が使用するSaaSやITツールの把握状況について、全てを正確に把握できているのは19.4%に過ぎず、「一元的に把握できていない」との回答もありました。32.9%はサービスを把握しているが、アカウントや利用者の把握まではできていないとしています。

3. 退職者アカウントの管理
退職者のアカウントをどのように管理しているかについては、32.0%が「1か月超かかることもある」と回答。また、「削除・無効化のルールが未整備」であるとの回答も見受けられ、企業の管理体制には厳しい課題が残されていることが明らかになりました。

4. セキュリティ対策の課題
自社のセキュリティ対策が不足しているとの回答があった企業に対し、その理由を尋ねたところ、最も多かった回答が「予算不足」で49.2%。次いで「専任人材の不足」が47.6%となっています。

5. 投資意欲の高まり
SCS評価制度への対応について、81.3%が投資を増やす予定であることを報告。これは、企業がセキュリティに対する深刻な意識を持っていることを示しています。

まとめと今後の展望

この調査からは、取引先からのセキュリティ要求が一般化している一方、自社のIT資産やアカウントの管理が不十分であることが浮き彫りになりました。また、8割以上の企業が投資を増やす意向を示しながらも、何から始めれば良いのかわからないという悩みも伺えます。今後は、まず自社のIT資産を洗い出し、整理することが非常に重要となるでしょう。セキュリティ対策の基盤を固めることが、企業の信頼性向上につながると考えられます。