企業の情報システム部門では、委託先やクラウド、社内システムを対象に、外部リスク審査やセキュリティレビューを実施している。だが対象が増えるほど、セキュリティ審査の対象と判断は複雑になる。国内企業の担当者400人を対象とした調査からは、件数の多さだけでなく、判断基準の属人化や例外管理が業務を滞らせる実態が見えてきた。
委託先やクラウド、社内システムの安全性を確認するリスクチェックでは、審査対象を漏れなく捉え、一定の基準で継続的に判断する必要がある。しかし、実際には審査体制が追い付いていない可能性がある。SecureNaviが実施した調査では、定期的なリスクチェックを「全ての対象に実施できている」とした回答は47.8%にとどまり、39.8%は「一部の対象にのみ実施」と答えた。
では、セキュリティ審査の業務が行き詰まる要因は、単純な人手不足や処理件数の多さだけなのか。調査結果を企業規模別に見ると、組織ごとに異なる“詰まりどころ”が浮かび上がる。
セキュリティ審査の実施状況には企業規模による差がある。全対象を確認できている割合は、従業員299人以下の企業では29.8%だったのに対し、1万人以上では74.1%だった。ただし、規模が大きければ一律に余裕が生まれるわけではない。「このままでは審査業務が回らなくなる」と危機感を持つ割合は、従業員1000〜9999人の層で68.3%と最も高く、1万人以上では53.4%に下がっている。
背景にあるのは、処理件数だけではない。判断基準が「明確で誰でも判断できる」とした回答は22.5%にとどまった。「ある程度明確だが解釈の揺れがある」は44.8%であり、担当者の経験や知識への依存、都度判断との回答を含めると約8割で判断が人や状況に左右されていた。担当者が変わった際に結論が揺れたり、判断理由を説明しにくくなったりする余地が残っている。
課題の内容も企業規模によって異なる。従業員299人以下では「判断基準の属人化」が37.5%、「人員不足」が36.5%だった。準大手から大手では「リスク受容を含む例外対応が多く管理しきれない」が37.3%、1万人以上では「審査件数が多く処理が追い付かない」が39.7%で、それぞれ最大の課題となった。
この結果から見えるのは、セキュリティ審査の見直しを、単なる人員増強や処理速度の向上だけで捉えるのは難しいということだ。小規模な組織では判断基準の明文化が、中規模以上では例外案件の管理が、大規模組織では大量の審査を処理する運用設計が論点となる。まず自社で滞っているのが、判断、例外管理、処理量のどこなのかを切り分ける必要がある。
この調査は、外部リスク審査または社内システムのセキュリティレビューを担当する情報セキュリティ・情報システム部門の400人を対象に、2026年6月9〜10日にインターネットで実施された。なお、本稿は2026年7月3日にSecureNaviが発表したリリースを基に再構成したものだ。
2026最新サイバー攻撃トレンド 業務委託リスク対策のための6つの点検ポイント
ITイベントで記者が見た注目のセキュリティ製品5選 ランサム・詐欺メールの最新対策
なぜ情シスはキャパオーバーなのに外注しないのか? 「ITアウトソーシング」活用ガイドCopyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。