【サプライチェーンセキュリティ評価制度に関する実態調査】取引先からのセキュリティ証明要求、約8割以上が経験。IT資産の正確な把握は19.4%にとどまる一方、投資拡大意向は81.3%
株式会社SmartHRは、従業員100名以上の企業を対象に「サプライチェーンセキュリティ評価制度に関する実態調査」を実施しました。調査の結果、約85%の企業が取引先からセキュリティ証明を求められた経験がある一方、IT資産を正確に把握できている企業は19.4%にとどまることが判明しました。経済産業省が推進するSCS評価制度への対応を見据え、81.3%の企業がセキュリティ投資を拡大する意向を示しています。
📋 記事の処理履歴
- 📰 発表: 2026年5月28日 11:00
- 🔍 収集: 2026年6月1日 01:22(発表から86時間21分後)
- 🤖 AI分析完了: 2026年6月1日 23:15(収集から21時間53分後)
株式会社SmartHR(本社:東京都港区、代表取締役CEO:芹澤 雅人)は、従業員100名以上の企業で自社のIT資産やセキュリティ対策に関与している方222名を対象に、「サプライチェーンセキュリティ評価制度に関する実態調査」を実施しました。
■ 調査背景
近年、サイバー攻撃の高度化やサプライチェーン全体を狙った攻撃の増加を背景に、企業単体ではなく取引先を含めたセキュリティ対策の強化が求められています。こうした流れを受け、経済産業省は2026年度末を目途に「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の運用開始を予定しており、企業にはこれまで以上に客観的なセキュリティ水準の担保が求められる見通しです。
一方で、実務の現場ではすでに取引先からセキュリティ対策に関する証明や報告を求められるケースが増えており、対応が一部の企業にとっては負担となっている可能性があります。また、利便性の高いSaaSの普及によってIT資産やアカウントの利用シーンが広がる一方、それらを一元的に把握・統制するための仕組みづくりが急務となっている実態も浮き彫りになっています。
こうした背景を踏まえ、企業におけるサプライチェーンセキュリティ対応の実態と課題、ならびに今後の対応意向を明らかにすることを目的に本調査を実施しました。
■ 調査結果サマリー
IT資産・セキュリティ対策担当者の約8割以上が、取引先からセキュリティ証明・報告を求められた経験あり
SaaS・ITツールを「すべて正確に把握できている」のは19.4%
セキュリティ対策不足の理由、「予算不足」が49.2%で最多も、SCS評価制度を踏まえた投資を「増やす予定」は81.3%
■ 調査概要
調査名称:サプライチェーンセキュリティ評価制度に関する実態調査
調査方法:インターネット調査
調査期間:2026年4月15日〜4月16日
有効回答:従業員100名以上の企業で自社のIT資産やセキュリティ対策に関与している方222名
■ 調査結果(一部抜粋)
(1)担当者の約8割以上が、取引先からセキュリティ証明を求められた経験あり
取引先から自社のセキュリティ対策状況について証明や報告を求められたことがあるかを尋ねたところ、「頻繁に求められている」が15.3%、「数回求められたことがある」が33.3%という回答となりました。「1回だけ求められたことがある」36.5%を含めると、全体の85.1%が要請を受けた経験があることが明らかになりました。
(2)SaaS・ITツール把握、「すべて正確に把握」は19.4%にとどまる
自社で利用しているSaaS(クラウドサービス)やITツールの把握状況を調査したところ、「すべてのサービス・アカウント・利用者を一元的に正確に把握できている」と回答した人は19.4%にとどまりました。一方で、「利用しているサービスは把握しているが、アカウント数や利用者までは把握できていない」という回答が32.9%にのぼり、ツールの存在は認識しつつも、具体的な利用実態の管理(棚卸し)が追いついていない企業の実態が明らかになりました。
(3)退職者のアカウント削除、32.0%が「1か月超」と回答、ルール未策定の企業も
退職者のSaaSアカウントをいつまでに削除・無効化できているか尋ねたところ、「1か月超かかることがある」が32.0%となりました。また、「削除・無効化のルールが定まっていない」という回答も7.2%見られ、合計39.2%の担当者が、退職後のアカウント処理が即座に完了していない、あるいは運用ルールが未整備である実態を回答しました。
(4)セキュリティ対策不足の理由、「予算不足」が49.2%でトップ、次いで「専任人材の不足」が47.6%
自社のセキュリティ対策が不足していると回答した層に対し、その理由を尋ねたところ、「対策に必要な予算を確保できていないから」が49.2%で最多となりました。次いで、「セキュリティ対策の専任担当者や人材が不足しているから」が47.6%、「何から着手すべきかわからないから」が39.7%という結果になりました。
(5)SCS評価制度の認知者の81.3%が、制度開始を踏まえセキュリティ投資を「増やす予定」
SCS評価制度の開始に伴うセキュリティ投資の見直し予定について、制度の認知層を対象に尋ねたところ、「大幅に増やす予定である」が13.1%、「やや増やす予定である」が68.2%という回答となりました。
■ SmartHR プロダクトマーケティング本部 情シスプロダクトユニット 佐々木 寛也のコメント
今回の調査から、取引先からセキュリティ対策に関する証明や報告を求められるケースがすでに広く発生しており、サプライチェーン全体でのセキュリティ対応が“求められるもの”から“前提となるもの”へと変化しつつある状況が見えてきました。
一方で、自社で利用しているSaaSやITツール、アカウント情報を「すべて正確に把握できている」と回答した企業は2割未満にとどまり、退職者アカウントの対応にも時間を要している実態が明らかになりました。外部からの要求が高まる一方で、足元の管理体制が追いついていないというギャップが、多くの企業に共通する課題といえそうです。
また、セキュリティ対策への投資を増やす予定とする企業が8割を超えており、各社が強い課題認識を持つ一方で、何から着手すべきか悩んでいる様子もうかがえます。
まずは、自社のIT資産やアカウントの棚卸し・可視化といった基盤整備から着手し、日常業務の中で無理なく運用できる形でセキュリティ対策を整えていくことが、今後の対応において重要になるのではないでしょうか。
■ 調査背景
近年、サイバー攻撃の高度化やサプライチェーン全体を狙った攻撃の増加を背景に、企業単体ではなく取引先を含めたセキュリティ対策の強化が求められています。こうした流れを受け、経済産業省は2026年度末を目途に「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の運用開始を予定しており、企業にはこれまで以上に客観的なセキュリティ水準の担保が求められる見通しです。
一方で、実務の現場ではすでに取引先からセキュリティ対策に関する証明や報告を求められるケースが増えており、対応が一部の企業にとっては負担となっている可能性があります。また、利便性の高いSaaSの普及によってIT資産やアカウントの利用シーンが広がる一方、それらを一元的に把握・統制するための仕組みづくりが急務となっている実態も浮き彫りになっています。
こうした背景を踏まえ、企業におけるサプライチェーンセキュリティ対応の実態と課題、ならびに今後の対応意向を明らかにすることを目的に本調査を実施しました。
■ 調査結果サマリー
IT資産・セキュリティ対策担当者の約8割以上が、取引先からセキュリティ証明・報告を求められた経験あり
SaaS・ITツールを「すべて正確に把握できている」のは19.4%
セキュリティ対策不足の理由、「予算不足」が49.2%で最多も、SCS評価制度を踏まえた投資を「増やす予定」は81.3%
■ 調査概要
調査名称:サプライチェーンセキュリティ評価制度に関する実態調査
調査方法:インターネット調査
調査期間:2026年4月15日〜4月16日
有効回答:従業員100名以上の企業で自社のIT資産やセキュリティ対策に関与している方222名
■ 調査結果(一部抜粋)
(1)担当者の約8割以上が、取引先からセキュリティ証明を求められた経験あり
取引先から自社のセキュリティ対策状況について証明や報告を求められたことがあるかを尋ねたところ、「頻繁に求められている」が15.3%、「数回求められたことがある」が33.3%という回答となりました。「1回だけ求められたことがある」36.5%を含めると、全体の85.1%が要請を受けた経験があることが明らかになりました。
(2)SaaS・ITツール把握、「すべて正確に把握」は19.4%にとどまる
自社で利用しているSaaS(クラウドサービス)やITツールの把握状況を調査したところ、「すべてのサービス・アカウント・利用者を一元的に正確に把握できている」と回答した人は19.4%にとどまりました。一方で、「利用しているサービスは把握しているが、アカウント数や利用者までは把握できていない」という回答が32.9%にのぼり、ツールの存在は認識しつつも、具体的な利用実態の管理(棚卸し)が追いついていない企業の実態が明らかになりました。
(3)退職者のアカウント削除、32.0%が「1か月超」と回答、ルール未策定の企業も
退職者のSaaSアカウントをいつまでに削除・無効化できているか尋ねたところ、「1か月超かかることがある」が32.0%となりました。また、「削除・無効化のルールが定まっていない」という回答も7.2%見られ、合計39.2%の担当者が、退職後のアカウント処理が即座に完了していない、あるいは運用ルールが未整備である実態を回答しました。
(4)セキュリティ対策不足の理由、「予算不足」が49.2%でトップ、次いで「専任人材の不足」が47.6%
自社のセキュリティ対策が不足していると回答した層に対し、その理由を尋ねたところ、「対策に必要な予算を確保できていないから」が49.2%で最多となりました。次いで、「セキュリティ対策の専任担当者や人材が不足しているから」が47.6%、「何から着手すべきかわからないから」が39.7%という結果になりました。
(5)SCS評価制度の認知者の81.3%が、制度開始を踏まえセキュリティ投資を「増やす予定」
SCS評価制度の開始に伴うセキュリティ投資の見直し予定について、制度の認知層を対象に尋ねたところ、「大幅に増やす予定である」が13.1%、「やや増やす予定である」が68.2%という回答となりました。
■ SmartHR プロダクトマーケティング本部 情シスプロダクトユニット 佐々木 寛也のコメント
今回の調査から、取引先からセキュリティ対策に関する証明や報告を求められるケースがすでに広く発生しており、サプライチェーン全体でのセキュリティ対応が“求められるもの”から“前提となるもの”へと変化しつつある状況が見えてきました。
一方で、自社で利用しているSaaSやITツール、アカウント情報を「すべて正確に把握できている」と回答した企業は2割未満にとどまり、退職者アカウントの対応にも時間を要している実態が明らかになりました。外部からの要求が高まる一方で、足元の管理体制が追いついていないというギャップが、多くの企業に共通する課題といえそうです。
また、セキュリティ対策への投資を増やす予定とする企業が8割を超えており、各社が強い課題認識を持つ一方で、何から着手すべきか悩んでいる様子もうかがえます。
まずは、自社のIT資産やアカウントの棚卸し・可視化といった基盤整備から着手し、日常業務の中で無理なく運用できる形でセキュリティ対策を整えていくことが、今後の対応において重要になるのではないでしょうか。
よくある質問
SCS評価制度とは何ですか?
経済産業省が2026年度末を目途に運用開始を予定している、サプライチェーン全体でのセキュリティ対策を強化・評価するための制度です。
調査対象はどのような企業ですか?
従業員100名以上の企業で、自社のIT資産やセキュリティ対策に関与している担当者222名を対象としています。
IT資産の把握状況はどうなっていますか?
すべてのサービス・アカウント・利用者を一元的に正確に把握できている企業は19.4%にとどまり、管理体制に課題があることが浮き彫りになりました。
セキュリティ対策不足の主な理由は何ですか?
「予算不足」が49.2%で最多となり、次いで「専任人材の不足」が47.6%となっています。
企業は今後のセキュリティ投資をどう考えていますか?
SCS評価制度の認知層の81.3%が、制度開始を踏まえてセキュリティ投資を増やす予定であると回答しています。