catch-img

取引先企業のセキュリティ評価に関する実態調査(大手企業の情シス部門300人への調査結果公開)

真藤 直観

専門家レポート

この度、従業員数1,000名以上の大手企業の情シス部門300人を対象に「取引先企業のセキュリティ評価」に関する実態調査を実施しました。本調査の結果、大手企業の半数以上で取引先企業を起因とした深刻なセキュリティ被害が発生しており、取引先を含めたトータルのセキュリティ管理強化が喫緊の課題であることが浮き彫りになりました。

※本調査を引用する場合は「株式会社アシュアード調べ」とご記載ください。

【結果サマリー】

  • 73%が取引先企業に対しセキュリティ上の不安を感じている
  • 64%が取引先起因の情報漏えい、もしくはその可能性があった事例を経験し、55.3%が業務停止や遅延の影響を経験
  • 取引先企業のセキュリティ評価における最大の課題は、「評価項目の網羅性/最新性」と「外部環境の変化に応じた定期的更新の困難さ」で、いずれも約半数の47.1%が課題に挙げている

73%が取引先に対してセキュリティ上の不安。実際に64%で取引先企業起因のセキュリティ被害発生

取引先企業に対するセキュリティ上の不安を聞いた結果、「とても不安を感じる」「やや不安を感じる」と回答した企業は合わせて73%に達し、多くの企業が取引先企業のセキュリティに懸念を抱いていることが明らかになりました。


実際に、64%の企業で取引先企業を起因とした情報漏えい、もしくは漏えいの可能性があった事例が発生しています。最も多かったのは「取引先企業のシステムにおいてマルウェア感染(ランサムウェア含む)が発生した」(26.3%)、「取引先企業のシステム経由で自社のシステムにおけるサイバー攻撃やマルウェア感染が発生した」(25.3%)と続きます。


また、業務停止や遅延などの影響が発生した事例も55.3%の企業で発生しています。特に「取引先企業のシステムにおいてマルウェア感染(ランサムウェア含む)が発生し、システム停止に伴う自社の業務停止や遅延等の影響が発生した」が29.7%と最も多く挙げられました。


約9割が取引先企業のセキュリティ評価を実施、約7割で取引先企業の管理体制強化もしくは予定

こうしたなか、多くの企業が取引先セキュリティ評価の実施とリスク管理体制の強化に意欲を示しています。


取引先企業のセキュリティ評価について、「新規契約時・契約後も定期的に行っている」企業は73.3%に上り、「新規契約時のみ行っている」企業も含めると85.6%でセキュリティ評価を実施していることが分かりました。取引先企業に起因するセキュリティ被害が多発している状況を受け、リスク管理体制の強化または見直しの動きが活発化しており、「直近で管理体制を強化した」企業は27.3%、「管理体制を強化していく予定」の企業は44.7%と、合わせて72%の企業が強化に前向きです。しかし、「何をしたらいいのか分からない」と回答した企業も11.0%存在します。


セキュリティ評価を実施する理由として最も多かったのは「セキュリティリスクを低減/回避するため」(72.4%)でした。次いで「社内規定として定められているから」(60.7%)、「顧客からの信頼を保つため」(52.9%)が上位を占め、ビジネス継続性や企業評判の保護も重要な動機となっています。


7割以上がセキュリティ評価にセキュリティチェックシートを活用。約半数が評価項目の網羅性・最新性、外部環境変化への適応に課題

一方、取引先企業のセキュリティ評価においては、評価の品質や運用に多くの課題を抱えていることが判明しました。


取引先のセキュリティ評価における情報収集の方法として、71.2%が「自社でセキュリティチェックシートを作成して取引先企業に回答を貰う」対応をしており、最も主流な方法であることが分かります。


セキュリティ評価対応に関しては9割以上の企業が課題を抱えており、具体的には、「評価項目の網羅性/最新性(審査に必要な情報に抜け漏れがないか)」と「外部環境の変化(インシデント/業界基準・ガイドラインの制定等)に応じた定期的な評価項目の更新が困難」がともに47.1%で最も多く挙げられました。その他、「取得できる情報が限定的」(37.4%)、「適切に(正しく)評価出来ているか不安」(32.7%)、「評価する基準が曖昧、属人的になっている」(28.4%)といった課題も顕著です。


セキュリティ評価に課題を感じている企業のうち、「解決したいと思うし、対策を行う予定がある」(35.2%)「解決したいと思うし、対策を行うか検討している」(44.2%)と、合わせて79.4%の企業が課題解決に強い意欲を示しており、今後の改善が期待されます。



<調査概要>
株式会社アシュアード調べ
調査手法 :インターネットリサーチ
調査対象 :全国、従業員数が1,000名以上の会社に務める情報システム・セキュリティ担当者
調査時期 :2025年5月
有効回答数 :300名
(調査協力 :株式会社クロス・マーケティング)


Assured セキュリティエキスパート/セキュリティサービス部 部長 公認情報システム監査人(CISA) システム監査技術者 真藤 直観 コメント

本調査により、大手企業の半数以上が取引先へのサイバー攻撃により情報漏洩、業務停止・遅延といった深刻なセキュリティ被害に直面している実態が明らかになりました。これは、もはや自社だけの問題ではなく、事業の継続性、さらには競争力のためにはサプライチェーン全体を巻き込んだ包括的なセキュリティ対策が急務であることを強く示しています。


こうした背景のもと、企業が取引先を含むサプライチェーンのセキュリティを適切に評価し、そのリスクを把握することの重要性は、かつてなく高まっています。しかし、その「評価の質の確保」や「運用負荷の高さ」が大きな課題として浮上しています。この現状では、サプライチェーンにおけるインシデントの予防策の推進、また、万が一の際の回復力(レジリエンス)の向上も阻害され、企業のセキュリティリスクが増大してしまいます。


このような喫緊の課題に応え、より効率的で実効性のあるリスク評価をご支援するため、「Assured企業評価」は誕生しました。専門評価機関がプロの目で取引先企業のセキュリティ対策状況を徹底的に評価し、その最新情報をいつでも手軽に入手できる共有プラットフォームを提供します。これにより、本調査で明らかになった「評価の質」と「運用工数」の課題を根本から解決し、企業の安心・安全な取引をサポートします。


真藤 直観
真藤 直観
監査法人にてSOC1, SOC2レポート業務を経験後、インターネット企業にて内部統制構築業務を推進。その後、再び監査法人にて金融機関のシステムリスクにかかわる監査・アドバイザリー業務に従事したのち、セキュリティ評価プラットフォーム「Assured」を運営する株式会社アシュアードに入社。セキュリティ領域のセキュリティエキスパートとして評価業務、顧客支援、事業開発等に携わる。 主な資格:CISA、システム監査技術者、CIA

前の記事

prev-article-image

セキュリティインシデント事例に学ぶ vol.1

RELATED ARTICLE

関連記事

一覧をみる
セキュリティ課題を解決する 最新セミナー情報はこちら
セキュリティ課題を解決する 最新セミナー情報はこちら
クラウドサービスのセキュリティ評価にお困りではありませんか?Assuredサービス資料を確認する
セキュリティ課題を解決する 最新セミナー情報はこちら

PAGE TOP

ASSURED_logo
採用情報はこちら

Visional グループ 運営サービス

© Assured, Inc.

© Assured, Inc.