SCS評価制度に関する調査、発注企業の過半数が「★4」以上を要求する想定～キヤノンITS発表

　キヤノンITソリューションズ株式会社（キヤノンITS）は5月18日、同社が実施した「サプライチェーン強化に向けたセキュリティ対策評価制度」（SCS評価制度）に関する調査の結果を発表した。

　SCS評価制度は、サプライチェーン全体のセキュリティ対策強化を目的として国が準備を進めているセキュリティ対策状況の評価・可視化制度で、2026年末頃の制度開始を目標に準備が進められている。★1～★5の5段階のセキュリティ評価水準があり、企業間の取引契約時に発注側が適切な段階を示し、受注側がそれを満たすことを示すことで、セキュリティ対策の水準を分かりやすくし、合意形成をスムーズにすることが狙い。

　キヤノンITSの調査は、2026年3月23日・24日に、発注側にあたる従業員1000人以上の企業のサプライチェーン管理・調達・セキュリティ推進担当者109人と、受注（サプライヤー）側にあたる従業員300～1000人の企業のセキュリティ対策・推進業務担当者111人を対象として、IDEATECHの「リサピー」を利用したインターネット調査として行われた。

　調査の結果、発注側企業の担当者では84.4％が取引先のセキュリティ確認を行っている一方で、「十分に把握できている」と回答した割合は16.5％にとどまった。そして、SCS評価制度の★評価を取引条件に組み込む意向があるのは71.6％で、そのうち52.6％が「★4以上」を想定すると回答した。

　★4は、2026年3月に経済産業省と国家サイバー統括室（NCO）が公開した同制度の構築方針では「サプライチェーン企業などが標準的に目指すべきセキュリティ対策」と説明されている。供給停止などによりサプライチェーンに大きな影響をもたらす企業への攻撃や、機密情報など漏えいにより大きな影響をもたらす資産への攻撃に備える内容で、第三者評価により取得するものとなる。

　キヤノンITSでは、実務におけるセキュリティ確認の負荷や評価の難しさがあり、それを背景として「★4」以上の取得を取引条件に反映しようとする動きが進んでいると分析している。一方、★評価の取得要請には94.8％が難しさを感じており、取引先との関係への配慮が課題であるとしている。

　受注側に対する調査では、制度の認知は77.5％あり、そのうち90.7％が★3ないしは★4の取得準備を始めているが、課題としては54.1％が専門人材不足を、44.1％が予算の制約を挙げている。また、82.9％が外部専門家・サービスの活用に前向きであるという。

　キヤノンITSでは、5月22日に無料ウェビナー「セキュリティ対策評価制度、後手に回らないための準備とは～診断サービスで現状を可視化し、優先して進めるべき対策を整理～」を実施予定で、ウェビナーサービス「マジセミ」のページ上で申し込みを受け付けている。