サプライチェーン評価制度、8割が投資増を考えるも阻む“予算と人手”の問題

調査によると、取引先から自社のセキュリティ対策状況について証明や報告を求められた経験がある担当者が85.1％に上る。一方で、SaaSやITツールの管理、アカウント運用には課題が残っており、2026年度末に運用開始予定のSCS評価制度への対応に向けた基盤整備の遅れが課題となっている。

[キーマンズネット]

　委託先や取引先を経由したサイバー攻撃が増加する中、企業には自社だけでなくサプライチェーン全体を視野に入れたセキュリティ対策の強化が求められている。こうした状況を受け、経済産業省と独立行政法人情報処理推進機構（IPA）は、企業のセキュリティ対策状況を客観的に評価する「サプライチェーン強化に向けたセキュリティ対策評価制度」（SCS評価制度）の実施を進めており、2026年度末の運用開始を予定している。

　このような動きを背景に、人事・労務管理クラウドを提供するSmartHRは、SCS評価制度に関する企業の認知度やセキュリティ対策の実態を把握するための調査を実施し、その結果を公表した。

2026年末「SCS評価制度」始動、8割超が投資増額へ

　調査によると、取引先から自社のセキュリティ対策状況について証明や報告を求められた経験がある担当者は85.1％に達した。内訳は「頻繁に求められている」が15.3％、「数回求められたことがある」が33.3％、「1回だけ求められたことがある」が36.5％。

セキュリティ対策状況について報告を求められたことがあるか（出典：SmartHRの資料）

　一方で、こうした要請に対応するための基盤整備は十分とは言えない。

　自社で利用するSaaSやITツールについて、「全てのサービス・アカウント・利用者を一元的に正確に把握できている」と回答した担当者は19.4％にとどまった。「利用しているサービスは把握しているが、アカウント数や利用者までは把握できていない」は32.9％に上り、多くの企業でIT資産の可視化が課題となっている実態が見て取れる。

SaaSやITツールの棚卸を定期的にできているか（出典：SmartHRの資料）

　アカウント管理にも課題が残る。退職者のSaaSアカウントを削除、無効化するまでに「1カ月超かかることがある」とした回答は32.0％で、「削除・無効化のルールが定まっていない」も7.2％あった。退職後のアカウント管理が迅速に行われていない、あるいは運用ルールが未整備の企業は計39.2％に上り、情報漏えいや不正アクセスにつながるリスクを抱えている状況が見えた。

退職者のアカウントをどのくらいの期間で削除、無効かできているか（出典：SmartHRの資料）

　セキュリティ対策が十分に進まない理由としては、「対策に必要な予算を確保できていない」が49.2％で最も多く、「セキュリティ対策の専任担当者や人材が不足している」が47.6％、「何から着手すべきかわからない」が39.7％で続いた。企業の多くが対策の必要性を認識しながらも、予算や人材、ノウハウ不足が導入・運用の障壁となっているようだ。

セキュリティ対策が不足していると感じる理由（出典：SmartHRの資料）

　その一方で、SCS評価制度の開始を見据えた投資意欲は高い。制度を認知している層のうち81.3％が、制度開始に合わせてセキュリティ投資を増やす予定だと回答した。取引先からの要求強化や制度対応への備えとして、今後はセキュリティ対策への投資が一段と加速する可能性がある。

セキュリティ対策への投資をどう見直す予定ですか（出典：SmartHRの資料）

　今回の調査からは、取引先によるセキュリティ評価の重要性が高まる一方で、企業側のIT資産管理やアカウント管理体制の整備が追い付いていない実態が浮かび上がった。SCS評価制度の本格運用に向けては、セキュリティ製品の導入だけでなく、IT資産の可視化やID管理など、基礎的な運用体制の強化が求められそうだ。

　調査は2026年4月15〜16日にかけて、従業員100人以上の企業でIT資産管理やセキュリティ対策に関与する担当者222人を対象にインターネットで実施された。