「サプライチェーン評価制度」開始へ、発注側の過半数が高いセキュリティ基準を要求

キヤノンITソリューションズはサプライチェーンセキュリティ評価制度に関する調査結果を公表した。発注企業の過半数が取引先に対し、「★4以上」のセキュリティ水準を求める意向を示した。専門人材不足や予算制約が課題で、外部支援活用への関心も高まっている。

[後藤大地，キーマンズネット]

　キヤノンITソリューションズは2026年5月18日、「サプライチェーン強化に向けたセキュリティ対策評価制度」（SCS評価制度）に関する調査結果を公表した。制度運用開始を前に、企業間取引で高度なセキュリティ基準を採用する動きが広がりつつある実態が明らかとなった。

発注企業の過半数が「★4以上」の高水準対策を要求

　調査は、経済産業省と内閣官房国家サイバー統括室が運用を予定するSCS評価制度への対応状況を把握する目的で実施した。発注企業側は従業員1000人以上の企業担当者109人、サプライヤー企業側は製造業と物流業に属する従業員300〜1000人規模の企業担当者111人を対象としている。

　発注企業側の調査では、84.4％の企業が取引先のセキュリティ対策状況を確認していると回答した。サイバー攻撃の被害が取引先経由で拡大する中、サプライチェーン全体の安全性確認が重要課題であることを示す結果となった。ただし、取引先のセキュリティ状況を「十分に把握できている」と回答した割合は16.5％にとどまった。取引先ごとに対策状況や運用体制が異なり、評価基準も統一されていないため、確認業務に大きな負荷が生じている現状が浮き彫りとなった。

　こうした状況を背景に、共通基準としてSCS評価制度を活用しようとする動きが進んでいる。調査ではセキュリティ評価を取引条件に組み込む意向を示した企業が71.6％に達した。その内、52.6％が「★4以上」を取引先へ求める予定と回答した。制度運用開始後は、一定水準以上のセキュリティ対策を備えた企業が、優先的に選定される傾向が一層強まると見込まれる。

　発注企業側にも課題は残る。評価取得を取引先へ求めることに対し、94.8％が難しさを感じていると回答した。発注企業には、調達先との関係維持や説明責任、要求水準の妥当性整理など、多面的な対応が求められる。サプライヤー企業側においては、制度認知率が77.5％となった。制度を認知している企業のうち90.7％が「★3（標準的なセキュリティ対策水準）」または「★4（より高度な管理体制を含む水準）」の取得準備に着手しており、制度対応への関心は高い水準にある。

　ただし、実際の対応では人材と費用の不足が懸念されている。課題として最も多かった回答は「専門人材不足」で54.1％、次いで「予算の制約」が44.1％だった。セキュリティ対策には高度な知識を持つ担当者や継続的な投資が必要なため、中堅規模企業では負担になりやすい

　外部支援への需要も高まっている。調査では82.9％が外部専門家や支援サービスの活用に前向きな姿勢を示した。制度対応には現状分析や対策整備、文書化、監査対応など複数の工程が必要となるため、専門サービスの利用拡大が見込まれる。

　キヤノンITソリューションズによると、制度運用の開始後はセキュリティ評価が企業間取引の実務判断へ大きな影響を与える可能性があるという。また、分析発注企業には要請範囲や基準整理、取引先との調整体制構築が求められ、サプライヤー企業には優先順位を踏まえた計画的な対策実施が必要になるとしている。