[調査・レポート]

2026年5月29日(金)日川 佳三（IT Leaders編集部）

シェアする

リスト

　経済産業省は、2026年度末を目途に「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の運用を始める。背景にはサプライチェーン全体を狙った攻撃が増えている事情がある。企業単体ではなく、取引先を含めたセキュリティ対策の強化が求められている。

　実務の現場では、すでに取引先からセキュリティ対策に関する証明や報告を求められるケースが増えている。対応が一部の企業にとって負担となっている可能性がある。SmartHRは、こうした背景を踏まえ、SCS評価制度の実態を調べた。従業員100人以上の企業で、自社のIT資産やセキュリティ対策に関与している担当者222人を対象に、2026年4月15日から4月16日にかけてインターネットで調査した。

　取引先から自社のセキュリティ対策状況について証明や報告を求められたことがあるかを聞いた（図1）。「頻繁に求められている」が15.3%、「数回求められたことがある」が33.3%という回答になった。「1回だけ求められたことがある」の36.5%を含めると、全体の85.1%が要請を受けた経験がある。

図1：取引先から自社のセキュリティ対策状況について報告を求められた経験（出典：SmartHR）
拡大画像表示

　自社で利用しているSaaSやITツールの把握状況を調査した（図2）。「すべてのサービス・アカウント・利用者を一元的に正確に把握できている」と回答した人は19.4%にとどまった。一方、「利用しているサービスは把握しているが、アカウント数や利用者までは把握できていない」という回答が32.9%にのぼった。ツールの存在は認識しつつも、具体的な利用実態の棚卸しが追いついていない。

図2：自社で利用しているSaaSやITツールの把握状況（出典：SmartHR）
拡大画像表示

　退職者のSaaSアカウントをいつまでに削除・無効化できているか聞いた（図3）。「1カ月超かかることがある」が32.0%となった。また、「削除・無効化のルールが定まっていない」という回答も7.2%あり、合計で39.2%の担当者が、退職後のアカウント処理が即座に完了していない、あるいは運用ルールが未整備だと回答した。

図3：退職者のSaaSアカウントを削除・無効化するのに要する時間（出典：SmartHR）
拡大画像表示

●Next：セキュリティ対策が不足している理由