【中小企業のセキュリティ実態調査】サプライチェーンの制度開始前に判明した、“スムーズなセキュリティ運用”ができている条件とは？

大手取引ではない企業ほど基本対策ができていない実態が明らかに…セキュリティ対策を後回しにする理由1位は「本業の忙しさ」だった

株式会社テクノル

2026年4月22日 10時00分

株式会社テクノル（所在地：青森県八戸市、代表取締役社長：千葉哲也）は、従業員数200名以下の企業において、情報システムまたはセキュリティ業務を他業務と兼務している担当者を対象に、「中小企業の情報システム部のセキュリティ運用」に関する調査を実施しました。

経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度」の令和8年度末頃の開始を目指すなど、中小企業においても自社のセキュリティ状況を正確に把握し、自発的に改善していく姿勢が強く求められるようになっています。

しかし、予算や専門知識が限られる現場では、高度なセキュリティツールを導入しても「正しく運用できているか不安」「通知が来ても判断できない」といった課題が深刻化しています。

サプライチェーンを狙った攻撃の脅威が増す中で、新制度の要件に実際の運用体制が追いついていないのが実状です。

そこで今回、セキュリティ機器、サービスを提供している株式会社テクノル（https://www.mrb-security.jp/）は、従業員数200名以下の企業において、情報システムまたはセキュリティ業務を他業務と兼務している担当者を対象に、「中小企業の情報システム部のセキュリティ運用」に関する調査を実施しました。

調査概要：「中小企業の情報システム部のセキュリティ運用」に関する調査

【調査期間】2026年3月24日（火）～2026年3月25日（水）

【調査方法】PRIZMA（https://www.prizma-link.com/press）によるインターネット調査

【調査人数】1,004人

【調査対象】調査回答時に従業員数200名以下の企業において、情報システムまたはセキュリティ業務を他業務と兼務している担当者と回答したモニター

【調査元】株式会社テクノル（https://www.mrb-security.jp/）

【モニター提供元】サクリサ

■回答者属性について

今回の調査にご協力いただいた方が勤める企業の主な取引先は、以下の通りです。

・大手企業またはその関連会社と継続的な取引がある（サプライチェーンに該当）：27.5％

・中堅・中小企業との取引が中心である：51.6％

・一般消費者（BtoC）との取引が中心である：16.8％

・公的機関・官公庁との取引がある：4.1％

大手企業と取引がある企業ほど『セキュリティ運用がスムーズ』な傾向に

はじめに、「貴社ではセキュリティ運用は計画的かつスムーズにできていると感じるか」と尋ねたところ、取引先の属性別で以下のような回答結果になりました。

「大手企業またはその関連会社と継続的な取引がある（サプライチェーンに該当）」方や「中堅・中小企業との取引が中心である」と回答した方では、7割以上がスムーズなセキュリティ運用と感じていることがわかりました。

一方で、「一般消費者（BtoC）との取引が中心である」と回答した方や、「公的機関・官公庁との取引がある」と回答した方では、スムーズなセキュリティ運用を感じていない方が多く、取引先によってセキュリティ対策の取り組みに差が生じているようです。

では、どのような理由でセキュリティ運用がスムーズにできていると感じるのでしょうか。

スムーズなセキュリティ運用を『とても感じる』『やや感じる』と回答した方に、「どのような要因から貴社のセキュリティ運用は計画的かつスムーズにできていると思うか」と尋ねたところ、『わからないことを、電話やチャットですぐに相談できるため（45.7％）』と回答した方が最も多く、『高機能な自動化ツールを導入し、手動での対応を減らしているため（38.0％）』『経営層が重要性を理解し、必要な予算を承認してくれているため（33.9％）』となりました。

運用がスムーズにできていると思う理由として、上位に「すぐ相談できる体制」や「ツールの自動化」などが挙がったことから、専門知識や時間がなくても運用できる状態である様子がうかがえます。

「セキュリティ運用に自信がある企業」ほど“基礎対策は徹底している”ことが判明

スムーズなセキュリティ運用の体制が判明したところで、具体的にどのような対策を行っているのでしょうか。

「以下のセキュリティ対策について、貴社での実施状況を回答」と尋ねたところ、セキュリティ運用の実感別で以下のような回答結果になりました。

どの項目もスムーズなセキュリティ運用を実感している程、基本的なセキュリティ対策を実践していることがわかりました。

「ウイルス対策ソフトの導入」や「OSやソフトウェアのアップデート」といった基礎的な対策が徹底できているかどうかが、運用全体に対する自信になっていると考えられます。

そのような中、国が推進する新制度への対応状況はどうなっているのでしょうか。

「経済産業省が令和8年度（2026年度）末頃の開始を目指す、『サプライチェーン強化に向けたセキュリティ対策評価制度』について知っているか」と尋ねたところ、取引先の属性別で以下のような回答結果になりました。

「中堅・中小企業との取引が中心である」と回答した方の約4割が、具体的な対策に踏み切っていることから、すでにサプライチェーンの一角として危機感を持って動いている企業が多い可能性があります。

一方で、「大手企業またはその関連会社と継続的な取引がある（サプライチェーンに該当）」方では、情報収集段階にとどまっている割合が高く、制度の詳細が固まるのを待ってから動こうとしているようです。

セキュリティ対策の実行には知識が不可欠ですが、兼務担当者の専門知識のレベルはどの程度なのでしょうか。

「インシデントやエンドポイント、振る舞い検知などの『セキュリティの専門用語』を聞いて、どのくらい理解できるか」と尋ねたところ、セキュリティ運用の実感別で以下のような回答結果になりました。

運用がスムーズだと『とても感じる』と回答した方の9割以上が「理解できる」と回答した一方で、『まったく感じない』と回答した方では「理解できる」と回答した方の割合が約3割にとどまりました。

この結果から、セキュリティ運用のスムーズさを実感できていない層になるほど、専門用語の理解度も低下しているようです。

トラブル発生時は「外部サポートを頼る」ことが重要！

セキュリティ専門知識の差が判明しましたが、トラブル発生時は実際にどのように対処しているのでしょうか。

「業務中にPCのセキュリティツールから『不審な挙動の通知』が届いた場合、主にどのような行動をとるか」と尋ねたところ、『セキュリティツールのメーカーのサポート窓口へ連絡する（28.5％）』と回答した方が最も多く、『詳しい人に相談する（25.9％）』『すぐにマニュアル等を確認・調査し原因を特定する（25.2％）』となりました。

不審な通知を受けた際、「自力でマニュアル等を確認する」と回答した方は約4分の1にとどまり、「メーカーのサポート窓口」や「詳しい人に相談」など、自分以外の知見を頼る傾向が見られました。

この結果から、緊急時に専門家や窓口へ相談できるサポート体制をあらかじめ整えておくことが重要だといえそうです。

では、新制度が開始された際、取引先にどのくらい自社のセキュリティ体制を説明できるのでしょうか。

「『サプライチェーン強化に向けたセキュリティ対策評価制度』が始まった際、取引先から“対策状況”を問われて即答できる自信はあるか」と尋ねたところ、取引先の属性別で以下のような回答結果になりました。

「大手企業またはその関連会社と継続的な取引がある（サプライチェーンに該当）」と回答した方では、約7割が「対策状況を即答できる自信がある」と回答しました。

しかし、「自信がある」と回答した方の割合は、取引先が「中堅・中小企業」「一般消費者」「公的機関」となるにつれて減少しています。

この結果から、取引先の属性によって、自社のセキュリティ状況を把握・説明できる体制に差が生じているようです。

また、前の設問からスムーズなセキュリティ運用を感じている方ほど自信がある傾向もうかがえます。

『専門外の対応』のハードルによって“セキュリティ運用が進んでいない”実態が明らかに

では、取引先からの要求に即答できない要因はどこにあるのでしょうか。

ここからは、セキュリティ運用が計画的かつスムーズにできていると『あまり感じない』『まったく感じない』と回答した方にうかがいました。

「どのような理由からセキュリティ対策を後回しにしているか」と尋ねたところ、『本業が忙しく、セキュリティ対策まで手が回らないため（28.3％）』と回答した方が最も多く、『何から手をつければよいか、専門的な判断が難しいため（27.7％）』『対策に必要な予算の確保や、経営層の承認が得にくいため（23.7％）』となりました。

この結果から、兼務担当者が日々の業務に追われる中、専門外の領域を判断し、さらに経営層を説得して予算を確保することが難しいと感じているようです。

これらの壁は、セキュリティツールを導入した後の実践においても、同様にハードルを感じているのではないでしょうか。

「貴社で導入しているセキュリティツールについて、どのような点で『使いこなせていない』と感じるか」と尋ねたところ、『セキュリティツールのログやレポートを読み解き、対策に活かす時間がない（28.6％）』と回答した方が最も多く、『セキュリティツールから通知がきたときに、「本当に危険かどうか」を判断するスキルがない（26.8％）』『機能が多すぎて、どこを触ればいいのかわからない（20.9％）』となりました。

セキュリティツール導入後も、現場では「ログを分析する時間がない」「危険性を判断するスキルがない」「多機能すぎて使いこなせない」という壁に直面している方が多く、専門外の対応が担当者の負担になっていることがわかります。

セキュリティツール選びにおいては、「専門知識がなくても扱えるシンプルさ」や、現場の運用を助けてくれるサポート体制が重要だといえそうです。

新しいツールに対する最大の懸念は「知識やスキルが無くても“正しく使いこなせるか”」

最後に、今後新しいセキュリティツールを導入する際の懸念点について確認しました。

「貴社で新しいセキュリティツールの導入を検討するとしたら、どのような懸念があるか」と尋ねたところ、『セキュリティの専門知識がない担当者でも、正しく使いこなせるか（47.9％）』と回答した方が最も多く、『導入コストや月々のランニングコストが効果に見合うか（39.2％）』『新しいセキュリティツールを導入することで、PCの動作が重くなるなどの支障が出ないか（37.7％）』となりました。

約半数が、「専門知識がなくても正しく使いこなせるか」という不安を抱えており、導入に関しても「スキルの不足」がハードルとなっているようです。

また、「コスト面」や「PC動作への影響」といった金銭的、実務的な懸念も上位に挙がっており、「操作の難しさ」「費用への不満」「業務への支障」という懸念を感じさせない実用性の高いツールが求められているようです。

兼務担当者を救うのは「専門外の対応サポート体制」と「運用負荷の軽減」

今回の調査で、従業員数200名以下の企業におけるセキュリティ運用は、取引先の属性によって差が生じている実態が浮かび上がりました。

「大手企業またはその関連会社と継続的な取引がある（サプライチェーンに該当）」と回答した方に比べ、「中堅・中小企業との取引が中心である」「一般消費者（BtoC）との取引が中心である」「公的機関・官公庁との取引がある」と回答した方では、「セキュリティ運用がスムーズにできている」と感じていないことがわかりました。

セキュリティ運用をスムーズにできていると思う理由としては、「何かあった際にすぐ相談できる体制」や「自動化ツールの導入」が上位に挙がっており、サポートや効率のよい運用体制が差を生んでいることがわかりました。

一方で、セキュリティ運用に課題を感じている企業では、ツールを導入していても「ログを読み解く時間がない」「危険性を判断できない」といった悩みが上位を占めており、専門的な知識がないことによりつまづきを感じているようです。

実際、不審なアラートを受けた際に、担当者が自力で判断できず、メーカーのサポートや詳しい方を頼る割合が、合わせて半数を超えていたことからも、現場の苦悩がうかがえます。

今後、「サプライチェーン強化に向けたセキュリティ対策評価制度」などの新たな基準が導入されれば、取引先から求められる要件はさらに厳格化していくと予想されます。

企業がこれからセキュリティ対策を強化するためには、単に高機能なツールを導入するだけでなく、「専門知識がなくても操作できるか」「異常検知時に相談できる専門家のサポートがあるか」という運用面での支援が重要になりそうです。

担当者の負担を軽減し、専門外をカバーしてくれる体制を構築することが、中小企業の持続的な成長と信頼確保に向けたカギになると考えられます。