【サプライチェーンセキュリティ評価制度に関する実態調査】取引先からのセキュリティ証明要求、約8割以上が経験。IT資産の正確な把握は19.4%にとどまる一方、投資拡大意向は81.3％

〜求められるセキュリティ水準と現状のギャップが浮き彫りに〜

株式会社SmartHRは、従業員100名以上の企業で自社のIT資産やセキュリティ対策に関与している方222名を対象に、「サプライチェーンセキュリティ評価制度に関する実態調査」を実施した。

調査背景
調査結果サマリー
調査概要
調査結果（一部抜粋）
1. 担当者の約8割以上が、取引先からセキュリティ証明を求められた経験あり
2. SaaS・ITツール把握、「すべて正確に把握」は19.4%にとどまる
退職者のアカウント削除、32.0%が「1か月超」と回答、ルール未策定の企業も
セキュリティ対策不足の理由、「予算不足」が49.2%でトップ、次いで「専任人材の不足」が47.6%
SCS評価制度の認知者の81.3%が、制度開始を踏まえセキュリティ投資を「増やす予定」
SmartHR プロダクトマーケティング本部情シスプロダクトユニット佐々木寛也のコメント
本調査結果に関する全編資料ダウンロードのご案内

調査背景

近年、サイバー攻撃の高度化やサプライチェーン全体を狙った攻撃の増加を背景に、企業単体ではなく取引先を含めたセキュリティ対策の強化が求められている。こうした流れを受け、経済産業省は2026年度末を目途に「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の運用開始を予定しており、企業にはこれまで以上に客観的なセキュリティ水準の担保が求められる見通しである。
一方で、実務の現場ではすでに取引先からセキュリティ対策に関する証明や報告を求められるケースが増えており、対応が一部の企業にとっては負担となっている可能性がある。また、利便性の高いSaaSの普及によってIT資産やアカウントの利用シーンが広がる一方、それらを一元的に把握・統制するための仕組みづくりが急務となっている実態も浮き彫りになっている。
こうした背景を踏まえ、企業におけるサプライチェーンセキュリティ対応の実態と課題、ならびに今後の対応意向を明らかにすることを目的に本調査を実施した。

調査結果サマリー

IT資産・セキュリティ対策担当者の約8割以上が、取引先からセキュリティ証明・報告を求められた経験あり
SaaS・ITツールを「すべて正確に把握できている」のは19.4%
セキュリティ対策不足の理由、「予算不足」が49.2%で最多も、SCS評価制度を踏まえた投資を「増やす予定」は81.3%

調査概要

調査名称：サプライチェーンセキュリティ評価制度に関する実態調査
調査方法：インターネット調査
調査期間：2026年4月15日〜4月16日
有効回答：従業員100名以上の企業で自社のIT資産やセキュリティ対策に関与している方222名
※1｜経済産業省｜「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html
※2｜構成比は小数点以下第2位を四捨五入（合計して100％にならない場合がある）

調査結果（一部抜粋）

担当者の約8割以上が、取引先からセキュリティ証明を求められた経験あり

取引先から自社のセキュリティ対策状況について証明や報告を求められたことがあるかを尋ねたところ、「頻繁に求められている」が15.3%、「数回求められたことがある」が33.3%という回答となった。「1回だけ求められたことがある」36.5%を含めると、全体の85.1%が要親を受けた経験があることが明らかになった。

SaaS・ITツール把握、「すべて正確に把握」は19.4%にとどまる

自社で利用しているSaaS（クラウドサービス）やITツールの把握状況を調査したところ、「すべてのサービス・アカウント・利用者を一元的に正確に把握できている」と回答した人は19.4%にとどまった。一方で、「利用しているサービスは把握しているが、アカウント数や利用者までは把握できていない」という回答が32.9%にのぼり、ツールの存在は認識しつつも、具体的な利用実態の管理（棚卸し）が追いついていない企業の実態が明らかになった。

退職者のアカウント削除、32.0%が「1か月超」と回答、ルール未策定の企業も

退職者のSaaSアカウントをいつまでに削除・無効化できているか尋ねたところ、「1か月超かかることがある」が32.0%となった。また、「削除・無効化のルールが定まっていない」という回答も7.2%見られ、合計39.2%の担当者が、退職後のアカウント処理が即座に完了していない、あるいは運用ルールが未整備である実態を回答した。

セキュリティ対策不足の理由、「予算不足」が49.2%でトップ、次いで「専任人材の不足」が47.6%

自社のセキュリティ対策が不足していると回答した層に対し、その理由を尋ねたところ、「対策に必要な予算を確保できていないから」が49.2%で最多となった。次いで、「セキュリティ対策の専任担当者や人材が不足しているから」が47.6%、「何から着手すべきかわからないから」が39.7%という結果になった。

SCS評価制度の認知者の81.3%が、制度開始を踏まえセキュリティ投資を「増やす予定」

SCS評価制度の開始に伴うセキュリティ投資の見直し予定について、制度の認知層を対象に尋ねたところ、「大幅に増やす予定である」が13.1%、「やや増やす予定である」が68.2%という回答となった。

SmartHR プロダクトマーケティング本部情シスプロダクトユニット佐々木寛也のコメント

今回の調査から、取引先からセキュリティ対策に関する証明や報告を求められるケースがすでに広く発生しており、サプライチェーン全体でのセキュリティ対応が“求められるもの”から“前提となるもの”へと変化しつつある状況が見えてきました。

一方で、自社で利用しているSaaSやITツール、アカウント情報を「すべて正確に把握できている」と回答した企業は2割未満にとどまり、退職者アカウントの対応にも時間を要している実態が明らかになりました。外部からの要求が高まる一方で、足元の管理体制が追いついていないというギャップが、多くの企業に共通する課題といえそうです。

また、セキュリティ対策への投資を増やす予定とする企業が8割を超えており、各社が強い課題認識を持つ一方で、何から着手すべきか悩んでいる様子もうかがえます。

まずは、自社のIT資産やアカウントの棚卸し・可視化といった基盤整備から着手し、日常業務の中で無理なく運用できる形でセキュリティ対策を整えていくことが、今後の対応において重要になるのではないでしょうか。

本調査結果に関する全編資料ダウンロードのご案内

以下の特設サイトよりダウンロードできる。
資料名：約9割がセキュリティ証明を求められる時代に_SCS評価制度実態調査レポート
ダウンロードサイト：https://smarthr.jp/know-how/ebook/ebook_430-30/
※上記サイトよりフォームにご入力後、ダウンロードの案内メールが送付される

出典元：SmartHR調べ（サプライチェーンセキュリティ評価制度に関する実態調査）
https://prtimes.jp/main/html/rd/p/000000438.000015987.html