USEN＆U-NEXT GROUPのUSEN ICT Solutionsは2月3日、全国1,932名の情報システム担当者を対象に行なったセキュリティに関するヒアリング調査の結果を発表した。

調査は、経済産業省が進める「サプライチェーン強化に向けたセキュリティ対策評価制度(以下、SCS評価制度)が2026年度末頃から始まることを受けて、企業が実際に直面している課題や運用状況やを明らかにすることを目的に実施されたもの。

USEN ICT Solutionsによると、SCS評価制度開始を見据え、多くの企業が自社のセキュリティ体制の棚卸しや課題整理に着手し始めているが、現場では「どこまで対策すべきか分からない」「他社と比べて自社の水準が適切なのか判断できない」といった声が少なくないという。また、制度やガイドラインの存在は認識していても、実際の運用や対応の優先順位付けに悩むケースも多い。

そこで今回の調査では、Webアンケートでは把握しにくい、運用負荷や人材不足、対応の優先順位付けといった現場視点の実情を可視化することで、企業が自社のセキュリティ対策を客観的に見直し、次の一手を検討するための材料を提供することを目指した。

まず、SCS評価制度という国の取り組みに対して、現場の担当者の関心自体は高いことが確認された。その反面、具体的に何から着手すべきか分からない、優先順位を付けられないといった声が多く、制度対応に向けた実務面でのハードルが存在していると推察している。

調査から見えてきたこととしては、官公庁や自治体システムなどを中心に政策として導入が進められているEDR(Endpoint Detection and Response)製品について、求められる水準と現場の実態にギャップが存在することを挙げる。

EDRは侵入後の脅威を検知し対処するための製品で、調査によると、サプライチェーン攻撃の脅威が高まっているが、約7割の企業がEDR製品を導入していなかった。また、導入を検討している企業もわずか1％にとどまった。

また、既存のセキュリティ機器の運用状況についても、約半数の企業がファームウェアの更新状況を「把握していない」または「更新していない」と回答した。対策を導入していても、その後の運用・管理が十分に行われていないケースが少なくないという。

USEN ICT Solutionsでは、こうした状況に対し、「自社が被害を受けるリスクにとどまらず、攻撃の踏み台となり、結果的に取引先を含むサプライチェーン全体に影響を及ぼす可能性が否定できない」「セキュリティ対策は導入して終わりではなく、継続的な運用が不可欠である」と指摘している。

また、SCS評価制度の本格運用まで一定の準備期間が残されている今、「まずは自社の対策状況を正しく把握し、どこに課題があるのかを可視化することが、次の一手を検討する上で重要」と訴えている。

【参考】：「サプライチェーン強化に向けたセキュリティ対策評価制度」スタートに向け全国1,932名の情シス担当者に聞いた、セキュリティ対策の実態調査レポートを公開｜ニュースリリース｜U-NEXT HOLDINGS