全国の情報システム担当者1,932名を対象に実施した調査により、日本企業のセキュリティ対策の実態と、政策で求められる水準との間に大きなギャップがあることが明らかになった。調査は、2026年度末に本格運用が予定されている「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」を背景に、USEN ICT Solutionsが実施・2026年2月3日に公開したものである。
調査結果によると、約7割の企業がEDR(Endpoint Detection and Response)を導入しておらず、導入を検討している企業もごくわずかにとどまっている。また、既に導入済みのセキュリティ機器についても、約半数の企業がファームウェアの更新状況を把握・管理できていない実態が示された。セキュリティ対策は「導入しただけ」では十分でなく、運用・管理の段階で課題を抱えている企業が多いことが浮き彫りになっている。
一方で、SCS評価制度そのものへの関心は高いものの、「何から手を付けるべきか分からない」と感じている情シス担当者が多い点も特徴的だ。制度の認知と、現場での具体的な実務対応との間には明確な隔たりがあり、企業が今後どのようにセキュリティ対策を進めていくべきかが問われている。
From: 
「サプライチェーン強化に向けたセキュリティ対策評価制度」スタートに向け全国1,932名の情シス担当者に聞いた、セキュリティ対策の実態調査レポートを公開
【編集部解説】
政策が求めるセキュリティ水準と、企業現場の実装レベルの乖離
今回の調査結果から最も明確に読み取れる点は、国が想定するサイバーセキュリティ対策の水準と、実際に企業現場で実装されている対策レベルとの間に、依然として大きな乖離が存在していることです。その象徴的な例が、EDRの導入状況です。
近年、SCS評価制度をはじめとする政策議論では、サプライチェーン攻撃の増加を背景に、「侵入を完全に防ぐことは困難である」という前提に立った対策が求められています。そのため、従来の境界防御やウイルス対策ソフトに加え、侵入後の不審な挙動を検知し、迅速に対応するEDRのような仕組みが、一定水準以上のセキュリティ対策として想定されています。
しかし、本調査では約7割の企業がEDRを未導入であり、導入を検討している企業もごくわずかにとどまっていることが明らかになりました。この結果は、政策側が前提として置き始めている対策と、企業現場で「必要性が十分に認識されている対策」との間に、認識の差があることを示しています。
この乖離は、単に新しい技術が普及していないという問題にとどまりません。政策側では、EDRを含む高度な対策を「標準的な備え」として位置づけつつある一方で、現場ではそれらが「一部の先進企業が導入するもの」や「将来的に検討すべきもの」として捉えられている可能性があります。制度設計と現場感覚のズレが、数値として可視化された形と言えるでしょう。
また、こうした傾向は特定の業種や企業規模に限定されたものではなく、幅広い企業層に共通して見られます。サプライチェーン全体の安全性を確保するという政策目的を考えると、一部の企業だけが高度な対策を講じていても十分とは言えません。それにもかかわらず、企業側では「自社は対象外ではないか」「そこまでの対策が求められているとは認識していなかった」といった意識が残っている可能性があります。
今回の調査は、このような政策が求める水準と企業現場の実装レベルとの乖離を、感覚論ではなく具体的なデータとして示しました。SCS評価制度の本格運用を前に、このギャップをどのように埋めていくかが、今後の大きな課題になると考えられます。
セキュリティ対策が「導入」で止まる構造的要因
今回の調査では、EDRの未導入やファームウェア更新の未把握といった結果が示されましたが、これらは単に企業のセキュリティ意識が低いことを意味するものではありません。むしろ、多くの企業において、セキュリティ対策が「導入」で完結してしまう構造的な課題が存在していることを示しています。
日本企業では、セキュリティ機器やサービスの導入そのものは稟議や予算化を通じて比較的進めやすい一方で、導入後の運用・管理フェーズが十分に評価されにくい傾向があります。ファームウェアの定期更新や設定の見直し、アラートへの対応といった継続的な作業は、日常業務の中で後回しにされがちであり、その結果、「導入済みだが最新の状態ではない」環境が生まれやすくなっています。
また、多くの企業では情報システム部門が限られた人数で幅広い業務を担っており、セキュリティ運用に十分な時間や専門性を割くことが難しいという現実があります。EDRのように、導入後も継続的な監視や対応を求められる対策は、「運用まで含めて回しきれるか」という不安から、検討段階で止まってしまうケースも少なくありません。
こうした状況の背景には、「侵入を防ぐこと」に重点を置いた従来の発想が根強く残っている点もあります。政策側が想定する「侵入を前提とした検知・対応」という考え方が、現場レベルではまだ十分に浸透しておらず、結果として高度な事後対策が後回しにされている可能性があります。
このように、調査結果が示す実装の遅れは、技術的な難しさだけでなく、組織体制や運用設計、認識の問題が複合的に影響した結果と言えるでしょう。
制度への関心は高いのに動けない情シス担当者の現実
本調査では、SCS評価制度そのものに対する関心は高い一方で、「何から手を付けるべきか分からない」と感じている情報システム担当者が多いことも明らかになりました。制度の存在は認知されているものの、具体的な実務対応へと落とし込めていない現状が浮かび上がっています。
その背景には、制度が求める対策水準と、自社の現状との差をどのように評価し、優先順位を付ければよいのかが見えにくい点があります。特に、人員や予算に制約のある企業では、すべての対策を一度に進めることは難しく、結果として判断が先送りされがちです。
また、評価制度への対応が将来的にどの程度の義務や影響を持つのかが不透明であることも、現場の動きを鈍らせる要因となっています。制度開始を見据えつつも、明確な指針がない中で様子見の姿勢を取らざるを得ない情シス担当者の実情が、今回の調査から読み取れます。
【用語解説】
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)
企業が実施しているサイバーセキュリティ対策の水準を、共通の基準で評価・可視化することを目的とした制度です。サプライチェーン全体の安全性向上を狙いとしており、取引先選定や企業評価への活用が想定されています。2026年度末の本格運用が予定されています。
サプライチェーン攻撃
直接の標的となる企業ではなく、その取引先や委託先、関連会社などを経由して侵入を試みるサイバー攻撃の手法です。比較的セキュリティ対策が手薄な企業が狙われやすく、被害が連鎖的に広がる点が特徴です。ソフトウェア工学などにおいては、利用している第三者が制作したソフトウェアの脆弱性や悪意のあるコードを利用した攻撃を指すこともあります。
EDR(Endpoint Detection and Response)
パソコンやサーバーなどの端末(エンドポイント)上で発生する不審な挙動を検知し、侵入後の調査・対応を行うセキュリティ対策技術です。従来のウイルス対策ソフトとは異なり、「侵入を前提」とした検知・対応を重視します。
境界防御
社内ネットワークと外部ネットワークの境界にファイアウォールなどを設置し、不正な通信を遮断するセキュリティ対策の考え方です。クラウド利用やテレワークの普及により、境界防御だけでは十分でないとされています。
ファームウェア
ネットワーク機器やセキュリティ機器などに組み込まれている制御用ソフトウェアです。脆弱性修正や機能改善のため、定期的なアップデートが必要ですが、更新が放置されるケースも少なくありません。
情シス(情報システム部門)
企業内でITインフラや業務システム、セキュリティ対策などを担当する部門、またはその担当者を指します。中小企業では少人数で多くの業務を兼務していることが一般的です。
運用・管理フェーズ
セキュリティ機器やサービスを導入した後に行う、設定管理、更新作業、監視、インシデント対応などの継続的な業務を指します。導入フェーズに比べて軽視されやすい一方、実効性を左右する重要な工程です。
【参考リンク】
日本政府関連
IPA(情報処理推進機構)セキュリティセンター
- https://www.ipa.go.jp/security/
- 日本におけるサイバーセキュリティの基本的な考え方、対策指針、用語解説を網羅的に提供しています。
IPA 情報セキュリティ10大脅威
- https://www.ipa.go.jp/security/10threats/
- 境界防御だけでは防げない攻撃の増加を理解するための定番資料です。
海外文献
NIST Special Publication 800-207 Zero Trust Architecture
https://csrc.nist.gov/publications/detail/sp/800-207/final
米国国立標準技術研究所(NIST)によるゼロトラストの公式定義文書です。
「信頼できる内部ネットワーク」という前提を否定し、常時検証を行う考え方を体系的に整理しており、政策・実装の両面で世界的な基準となっています。
Google — BeyondCorp: A New Approach to Enterprise Security
https://cloud.google.com/beyondcorp
ゼロトラストの原型とも言えるGoogleの実践事例です。VPNや境界防御に依存しないセキュリティモデルを、実運用の観点から解説しており、「考え方の転換」が重要であることを示しています。
CISA (Cybersecurity and Infrastructure Security Agency) — Zero Trust Maturity Model
https://www.cisa.gov/topics/cybersecurity-best-practices/zero-trust
米国政府機関向けに策定されたゼロトラスト成熟度モデルです。技術導入だけでなく、人・プロセス・ガバナンスを含めて段階的に改善していく考え方が整理されており、組織全体での取り組みの重要性を示しています。
【編集部後記】
セキュリティの向上には、ファイアウォールやVPNアプライアンスを更新するだけでは足りないのが現実として示されています。
「ゼロトラスト」という言葉があります。これは境界防御に対する言葉で、安全な内部と危険な外部を仮定するのではなく(これはVPNに対する攻撃などに弱い)、すべてを検証するという考え方です。ここで重要になってくるのが、ひとりひとり個人の意識や知識です。決裁者も含めて正しい知識や考え方をもっていないと、必要の少ないことに資金を費やしてしまって、結果としてセキュリティがあまり向上しないというケースも少なくありません。
サイバーセキュリティに関する知識を特定の部署やベンダーに集中させるのではなく、全員の知識や考え方を改善する仕組み作りが求められているのではないでしょうか。
がもたらす「アンテザード・ソサエティ」の衝撃-300x200.png)
