SecureNavi株式會社(總公司:東京都港區,代表取締役CEO:井崎友博)專精於資訊安全認證、法規/準則遵循、公司內部資訊安全規章的建置與營運,以及審計與審查等「文科領域的資安」的數位轉型。為掌握委外廠商、雲端、公司內部系統等的風險檢查(資安審查)實態,針對負責資訊安全、資訊系統部門的外部風險審查或內部系統資安審查的400名人員進行了調查。
報告「日本企業的風險檢查實態調查 2026」請點此:https://eu1.hubs.ly/H0wDtWs0
調查背景與目的
針對供應鏈及委外廠商的攻擊,已連續八年在IPA「資訊安全十大威脅」[組織篇]中名列前茅,預計2026年度也將啟動旨在透過共同標準評估合作夥伴安全性的供應鏈強化安全對策評估制度(SCS評估制度)。「如何確認合作夥伴及雲端的安全性」是目前許多企業面臨的課題。然而,第一線承擔風險檢查現場的實際情況,過去並未有量化數據。本次調查揭示了「即使體制建置完成,仍被龐大的工作量與例外處理壓垮」的結構性實態,這並非僅能以企業規模來區分的。
本次調查基於此問題意識,旨在量化釐清委外廠商、雲端、公司內部系統等的風險檢查/資安審查業務的執行狀況、體制與課題。同時也關注員工規模與產業別的差異,以期成為各公司能相對掌握自身定位的基準點。
調查概要
報告名稱
日本企業的風險檢查實態調查 2026
調查目的
量化掌握委外廠商、雲端、公司內部系統等的風險檢查/資安審查的執行狀況、體制與課題
調查方法
網路調查
調查對象人數
合計:400名(資訊安全、資訊系統部門中,負責外部風險審查或內部系統資安審查的人員)
調查期間
2026年6月9日~2026年6月10日
調查摘要
「無法全部審查完畢」約佔四成 ― 定期風險檢查能對所有對象實施的企業不到半數
回答「已對所有對象實施」定期風險檢查/資安審查的企業僅佔47.8%,其中「僅對部分對象實施」佔39.8%。實施率從中小企業(~299名)的29.8%到超大型企業(10,000名以上)的74.1%存在顯著差異,顯示審查體制難以跟上不斷增加的委外廠商、雲端、集團公司、內部系統的數量。
審查的「正確答案」僅存在於負責人腦中 ― 約七成企業的判斷標準出現個人化現象
風險檢查的判斷標準處於「明確且任何人都能判斷」狀態的企業僅佔22.5%。回答「大致明確但存在解釋上的差異」的比例最高,佔44.8%;若再加上「依賴負責人的經驗與知識」、「幾乎未明確化,需臨時判斷」的選項,則約有七成的企業,其判斷會受到個人或情況的影響。負責人更換時,判斷標準可能產生偏移,且難以解釋「為何得出該結論」。這種個人化現象將直接導致治理上的風險。
「規模越大越安心」並非如此 ― 危機感在「準大型~大型企業」達到高峰,超大型企業反而下降
值得關注的是「危機感」的分佈。認為「再這樣下去,風險檢查/資安審查業務將無法運作」的危機感(強烈+稍微感到)並非隨著企業規模增大而單純提高,而是在員工1,000~9,999名區間達到68.3%的高峰,在超大型企業(10,000名以上)則反轉下降至53.4%(整體為60.5%)。最感到「無法負荷」的緊迫感的是那些對象與件數急遽增加,但尚未建立專責體制的「成長過渡期」企業群,這暗示著危機的高峰未必出現在超大型企業。
同樣的「困難」但內容不同 ― 課題因企業規模而異
主要課題因員工規模而有顯著差異。中小企業最大的課題是「判斷標準個人化」(37.5%)與「人力不足」(36.5%);準大型~大型企業是「風險容許(例外)處理過多,難以管理」(37.3%);超大型企業則是「審查件數過多,處理不及」(39.7%)。也就是說,了解自身規模,如同了解「煩惱的類型」,不同規模的企業需要不同的對策。
此外,報告中還彙整了針對對象別(委外廠商、雲端、集團公司、內部系統)的管理件數/新規發生頻率、風險容許(例外)處理實態、改善意願的規模別比較等共10個問題的回答,以及規模別、產業別的交叉分析結果。
報告『日本企業的風險檢查實態調查 2026』下載請點此:
https://eu1.hubs.ly/H0wDtWs0
報告解說研討會舉辦通知
我們將舉辦線上研討會,詳細解說本報告的內容。除了調查結果的重點外,2線匠雲事業負責人佐藤 晃一將以淺顯易懂的方式,解說供應鏈及委外廠商攻擊動向、SCS評估制度等最新議題,以及風險檢查現場實際發生的情況。參加費用免費。歡迎踴躍報名參加。
研討會詳情與報名請點此: https://eu1.hubs.ly/H0wDtWq0
負責人評論
SecureNavi株式會社 2線匠雲 事業負責人 佐藤 晃一
調查結果在某種程度上符合預期。危機感最高的並非最大企業,而是其前一階段的「準大型~大型企業」。在尚未能建立專責體制的規模下,不斷增加的對象與例外處理一次湧現,壓垮了肩膀。對許多企業而言,這個規模並非僅是個過渡期,而是常態。因此,目前的困境並不會自然消失,除非改變業務的「設計」,否則將持續下去。
究其根本,這並非個人努力的問題,而是業務「設計」的問題。因為忙於作業,所以標準無法完善;因為標準無法完善,所以作業也無法減少。若不打破這個惡性循環,即使增加人力也追不上。應有的目標是「無需增加人力即可運作的機制」、「個人化現象的消除」、「例外狀況的管理」這三個面向。達成這些目標的對策會因規模而異,但追求的方向是相同的。
我認為2線部門的真正職責,並非「處理檢查作業的人員」,而是「設計並執行管控的人」。建立能讓整個組織判斷一致的機制,並利用此機制持續評估風險,判斷哪些應予接受、哪些需採取對策。這才是2線部門的本質職責。越是忙於眼前的作業,就越失去面對這個職責的時間。希望本報告能成為重新審視公司風險檢查,從「完成作業」轉變為「管理風險的實踐」的契機。
關於「2線匠雲」
本次調查凸顯的「個人化」、「龐大工作量」、「例外處理」等問題,並非僅是負責人個人的問題,而是源於2線業務本身就是以人力為前提進行設計的業務結構性課題,SecureNavi是這樣認知的。「2線匠雲」是將委外廠商、系統、雲端、集團公司等的資安風險評估業務,重新設計為「無論由誰負責都能以相同水準執行的業務模式」的雲端服務。透過評估流程標準化、回覆/佐證資料/歷史記錄的一元化管理、AI輔助審查等,支援從「依賴個人」的營運轉變為可重複執行的「業務結構」。
2線部門的資安風險評估雲端服務「2線匠雲」:
https://fitgap.jp/audit
關於SecureNavi株式會社
公司概要
公司名稱:SecureNavi株式會社
代表人:代表取締役CEO 井崎 友博
所在地:〒105-0003 東京都港區西新橋3-23-6 白川showroom大樓4F
企業網站:https://secure-navi-inc.jp/
提供服務
ISMS・P標誌自動化工具「SecureNavi」:https://secure-navi.jp/
所有資安法規對應自動化/效率化平台「Fit&Gap」:https://fitgap.jp/fg
2線部門的資安風險評估雲端服務「2線匠雲」:https://fitgap.jp/audit
資安檢查表自動對應工具「SecureLight」:https://secure-navi.jp/securelight
FACT BOX · 重點整理
- 來源:PR TIMES
- 分類:調查レポート
- 相關組織:SecureNavi株式会社 / IPA