セキュリティ対策を取引条件化する意向がある発注企業の過半数が、取引先に評価制度★4以上を求める～キヤノンITS調査

　キヤノンITソリューションズ株式会社（以下、キヤノンITS）は18日、経済産業省および内閣官房国家サイバー統括室が運用開始を予定している「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」について、企業の対応に関する調査結果を公表した。

　サプライチェーン強化のためのセキュリティ対策評価制度は、企業のセキュリティ対策の成熟度を★3～★5の等級で評価し、共通基準で可視化する制度。同制度に対応することで、発注企業は取引先のセキュリティ対策状況の把握によるリスク管理の効率化を図ることができ、受注企業はサイバーセキュリティ対策済み企業として、取引企業とより強固な信頼関係を築くことが可能になる。

　キヤノンITSでは、サプライチェーン強化に向けたセキュリティ対策評価制度への対応の実態把握を目的に、発注企業側（従業員1000人以上の企業に所属する担当者109人）およびサプライヤー企業側（製造業・物流業に属する、従業員300～1000人規模の企業に所属する担当者111人）を対象とした2つの調査を実施した。

　調査では、発注企業の84.4％が取引先のセキュリティ確認を行っている一方で、「十分に把握できている」と回答した割合は16.5％にとどまった。こうした背景から、共通の評価基準としてセキュリティ対策段階の評価（★）を取引条件に反映しようとする動きが進んでいると考えられるとしている。

　特に、取引条件化の意向がある発注企業のうち、取引先に「★4以上」を求める予定とした回答が52.6％と過半数を占めており、サプライチェーン対応水準を前提とする取引が現実味を帯びてきたことを示唆すると分析している。

　一方、サプライヤー企業側では、制度認知（77.5％）や準備着手（制度認知者の90.7％）が進むものの、課題としては「専門人材不足」（54.1％）や「予算の制約」（44.1％）が挙げられており、発注企業が想定する水準と、サプライヤー企業のリソース制約の間に隔たりがあり、段階的な運用や支援の設計が重要になると考えられるとしている。

　セキュリティ対策評価制度は、取引における実務判断へ影響し得る指標としての位置付けが強まりつつあり、今後は、発注企業側では要請根拠・対象範囲・コミュニケーション設計を整備し、サプライヤー企業側では現状把握と優先順位付けにより、限られたリソースで実効性ある対応を進めることが求められると指摘する。

　キヤノンITSは、★3／★4を基準とした現状可視化と課題整理を支援する「セキュリティ対策診断サービス」などを通じて、サプライチェーン全体のセキュリティ水準向上に貢献していくとしている。