【サプライチェーンセキュリティ評価制度に関する実態調査】取引先からのセキュリティ証明要求、約8割以上が経験。IT資産の正確な把握は19.4%にとどまる一方、投資拡大意向は81.3％

〜求められるセキュリティ水準と現状のギャップが浮き彫りに〜

SmartHR

2026年5月28日 11時00分

　株式会社SmartHR（本社：東京都港区、代表取締役CEO：芹澤雅人）は、従業員100名以上の企業で自社のIT資産やセキュリティ対策に関与している方222名を対象に、「サプライチェーンセキュリティ評価制度に関する実態調査」を実施しました。

■ 調査背景

　近年、サイバー攻撃の高度化やサプライチェーン全体を狙った攻撃の増加を背景に、企業単体ではなく取引先を含めたセキュリティ対策の強化が求められています。こうした流れを受け、経済産業省は2026年度末を目途に「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」の運用開始を予定しており、企業にはこれまで以上に客観的なセキュリティ水準の担保が求められる見通しです。

　一方で、実務の現場ではすでに取引先からセキュリティ対策に関する証明や報告を求められるケースが増えており、対応が一部の企業にとっては負担となっている可能性があります。また、利便性の高いSaaSの普及によってIT資産やアカウントの利用シーンが広がる一方、それらを一元的に把握・統制するための仕組みづくりが急務となっている実態も浮き彫りになっています。

　こうした背景を踏まえ、企業におけるサプライチェーンセキュリティ対応の実態と課題、ならびに今後の対応意向を明らかにすることを目的に本調査を実施しました。

■ 調査結果サマリー

IT資産・セキュリティ対策担当者の約8割以上が、取引先からセキュリティ証明・報告を求められた経験あり
SaaS・ITツールを「すべて正確に把握できている」のは19.4%
セキュリティ対策不足の理由、「予算不足」が49.2%で最多も、SCS評価制度を踏まえた投資を「増やす予定」は81.3%

■ 調査概要

調査名称：サプライチェーンセキュリティ評価制度に関する実態調査

調査方法：インターネット調査

調査期間：2026年4月15日〜4月16日

有効回答：従業員100名以上の企業で自社のIT資産やセキュリティ対策に関与している方222名

※1｜経済産業省｜「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」｜https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html

※2｜構成比は小数点以下第2位を四捨五入（合計して100％にならない場合があります）

■ 調査結果（一部抜粋）

(1)担当者の約8割以上が、取引先からセキュリティ証明を求められた経験あり

　取引先から自社のセキュリティ対策状況について証明や報告を求められたことがあるかを尋ねたところ、「頻繁に求められている」が15.3%、「数回求められたことがある」が33.3%という回答となりました。「1回だけ求められたことがある」36.5%を含めると、全体の85.1%が要請を受けた経験があることが明らかになりました。

(2)SaaS・ITツール把握、「すべて正確に把握」は19.4%にとどまる

　自社で利用しているSaaS（クラウドサービス）やITツールの把握状況を調査したところ、「すべてのサービス・アカウント・利用者を一元的に正確に把握できている」と回答した人は19.4%にとどまりました。一方で、「利用しているサービスは把握しているが、アカウント数や利用者までは把握できていない」という回答が32.9%にのぼり、ツールの存在は認識しつつも、具体的な利用実態の管理（棚卸し）が追いついていない企業の実態が明らかになりました。

(3)退職者のアカウント削除、32.0%が「1か月超」と回答、ルール未策定の企業も

　退職者のSaaSアカウントをいつまでに削除・無効化できているか尋ねたところ、「1か月超かかることがある」が32.0%となりました。また、「削除・無効化のルールが定まっていない」という回答も7.2%見られ、合計39.2%の担当者が、退職後のアカウント処理が即座に完了していない、あるいは運用ルールが未整備である実態を回答しました。

(4)セキュリティ対策不足の理由、「予算不足」が49.2%でトップ、次いで「専任人材の不足」が47.6%

　自社のセキュリティ対策が不足していると回答した層に対し、その理由を尋ねたところ、「対策に必要な予算を確保できていないから」が49.2%で最多となりました。次いで、「セキュリティ対策の専任担当者や人材が不足しているから」が47.6%、「何から着手すべきかわからないから」が39.7%という結果になりました。

(5)SCS評価制度の認知者の81.3%が、制度開始を踏まえセキュリティ投資を「増やす予定」

　SCS評価制度の開始に伴うセキュリティ投資の見直し予定について、制度の認知層を対象に尋ねたところ、「大幅に増やす予定である」が13.1%、「やや増やす予定である」が68.2%という回答となりました。

■ SmartHR プロダクトマーケティング本部情シスプロダクトユニット佐々木寛也のコメント　

　今回の調査から、取引先からセキュリティ対策に関する証明や報告を求められるケースがすでに広く発生しており、サプライチェーン全体でのセキュリティ対応が“求められるもの”から“前提となるもの”へと変化しつつある状況が見えてきました。

　一方で、自社で利用しているSaaSやITツール、アカウント情報を「すべて正確に把握できている」と回答した企業は2割未満にとどまり、退職者アカウントの対応にも時間を要している実態が明らかになりました。外部からの要求が高まる一方で、足元の管理体制が追いついていないというギャップが、多くの企業に共通する課題といえそうです。

　また、セキュリティ対策への投資を増やす予定とする企業が8割を超えており、各社が強い課題認識を持つ一方で、何から着手すべきか悩んでいる様子もうかがえます。

　まずは、自社のIT資産やアカウントの棚卸し・可視化といった基盤整備から着手し、日常業務の中で無理なく運用できる形でセキュリティ対策を整えていくことが、今後の対応において重要になるのではないでしょうか。

■ 本調査結果に関する全編資料ダウンロードのご案内

　以下の特設サイトよりダウンロードいただけます。

資料名：約9割がセキュリティ証明を求められる時代に_SCS評価制度実態調査レポート

ダウンロードサイト：https://smarthr.jp/know-how/ebook/ebook_430-30/

※上記サイトよりフォームにご入力後、ダウンロードのご案内メールを送付いたします

■ 本リリースの転載・利用に関するお願い

　本調査結果を掲載・利用される場合は、情報の出典元として「SmartHR調べ（サプライチェーンセキュリティ評価制度に関する実態調査）」と明記をお願いいたします。

■ SmartHRの情報システム領域での取り組みについて

　SmartHRは、人事労務管理を通じて蓄積される最新かつ正確な従業員データを起点に、情報システム領域のDXを推進しています。2025年よりアカウント管理を効率化する「ID管理」機能を提供し、従業員の利便性向上と情報システム部門の業務負荷軽減、およびセキュリティ強化を同時に実現しています。

　さらに、ITコンサルティングや情シスBPOを強みとするSmartHRグループ各社（KICK ZA ISSUE株式会社、株式会社SUNITED）と連携し、システム提供に留まらず、DX戦略の策定から現場での実運用までを一気通貫で支援する体制を構築しています。

　今後も多角的なソリューションを展開し、バックオフィス全体の生産性向上と、企業の競争力強化に貢献してまいります。

参考：SmartHRの情報システム部門向けソリューションについて（https://smarthr.jp/it-solutions/）

■ 株式会社SmartHRについて

　2013年1月23日設立。2015年11月にクラウド人事労務ソフト「SmartHR」を提供開始。勤怠管理・給与計算を含む労務管理をペーパーレス化し業務効率化を叶える機能にくわえ、蓄積された情報を活用し組織戦略を支援する「人事評価」、「配置シミュレーション」などのタレントマネジメント機能や採用活動から従業員登録までを一元化する「採用管理」機能を提供。さらに、外部システムとの豊富な連携や、アプリストア「SmartHR Plus」を通じて、幅広い顧客ニーズに対応したサービスを提供しています。

　SmartHRは、労働にまつわる社会課題をなくし、誰もがその人らしく働ける社会の実現を目指し、働くすべての人の生産性向上を後押ししています。