9割の企業が取引先のセキュリティチェックを実施
――情報処理推進機構(IPA)の2025年版「情報セキュリティ10大脅威」組織編で、「サプライチェーンや委託先を狙った攻撃」が2位にランクインするなど、現在サプライチェーンのセキュリティリスクが企業にとって大きな課題になっています。同項目は7年連続でランクインしていて、なかなか決定的な対策が見いだせていない現状が伺えますが、昨今のサプライチェーンリスク対策に対する現場の課題感について、ご自身はどのように認識されていますか。
真藤氏 私もIPAの選考委員の一人なのですが、サプライチェーンリスクの脅威が年々高まっているなかで、脅威そのものもさることながら、どうこの問題に向き合っていけばよいかという部分で難しさがあると感じています。委託する側とされる側がいてそれぞれの状況が違うため、サプライチェーンリスクは企業の中でセキュリティを担保するよりも取り扱いが数段難しいのです。例えばあるCISOは、「自社の中でのセキュリティ対策は一定できている。打ち手も分かって予算も付けられるが、取引先になると話が難しくなる」とお話されていました。
取引先や委託先のセキュリティチェック自体は、業務として定着しつつあります。当社の調査でも、約9割の企業が実施という結果が出ている状況です。背景としては、公共から民間まで立て続けにインシデント被害が発生し、大きく報道もされたことによって、取引先でサイバーインシデントが起きると自分たちの業務が停止したり、情報漏洩が発生するなど、重大な影響を受けることに気付き始めているからと捉えています。
――多くの企業が取引先・委託先のチェックをするようになった理由としては、取引先がランサムウェア被害に遭うことを問題視しているのか、取引先の従業員や再委託先といった内部リスク問題を心配しているのか、どちらでしょうか。
真藤氏 委託元の思いとしては両方でしょう。一方で取引先のランサムウェア対策となると、内部対策に比べて可視化しにくいため、手を打ちづらい領域になっています。しっかりと対応をして欲しいと言っても、サプライチェーン全体では企業規模等によって対応力やリテラシーにギャップが生じますし、業界を横断する取引の際は業界ごとに対策意識に温度差があるため、難しい問題となっているのです。
株式会社アシュアード Assured事業部 セキュリティエキスパート/セキュリティサービス部 部長 真藤直観氏
依頼する側とされる側双方に負担が大きく、評価業務が形骸化
――それらの背景や課題感を踏まえて、現状の取引先に対するセキュリティ評価での課題感はどうなっているのでしょうか。
真藤氏 評価業務の際の課題としてはまず、どれくらい時間がかかるのか見えにくい業務になっていることが挙げられます。我々の調査では、年間に50件以上取引先を評価している企業が6割以上で、1件に2時間以上費やすケースが約6割という結果が出ています。つまり企業の半分が週数回、1件2時間以上かかるチェック業務をしている訳です。それをほぼチェックシートを使って人手で行っているというのが、現在の取引先・委託先評価の業務実態のイメージです。
そのなかで、現在はサプライチェーンリスク対策が強化される方向に向かっているので、今後チェックリストの項目が増え、範囲も広がっていくことは必至です。そうなると件数も1度に要する時間も増えていき、IT部門の業務をどんどん圧迫することになります。新しいインシデントが起きたらさらに項目も増やしていく必要があるため、さらに作業量も増えるでしょう。
契約を発注する委託元の部署にも負担がかかっています。チェックシートでやり取りをする場合、委託元の部署から相手に渡して回答を回収するという流れになりますが、自社も相手もフロントの方々はセキュリティの専門家ではないので、設問の意図を問われるケースが多く、毎回IT部門に問い合わせをする伝書鳩的な作業が発生します。また意図が伝わらず、回収したら内容が異なっていて再度やり取りが必要になるケースも少なくありません。当然チェックが完了するまでは契約もできませんし、現場の本音は「やる必要性は感じているものの、あまりやりたくない」といったところでしょう。
――チェックを受ける、委託される側の課題は?
真藤氏 まずは、取引先数に比例して対応工数が増えていく問題が挙げられます。次に、先ほども触れましたが何を聞かれていて何を返せば正解なのかわかりづらいという問題があります。複数の委託元、あるいは委託元と委託先で同じ言葉を使っていても、定義の内容や理解にはずれが生ずるものです。さらに各社が独⾃項⽬による主観的な評価を行っているため、「ここまでやる意味があるのか」と感じるケースも生じます。
それらの結果、本来は双方がセキュリティチェックをして安全性を確認し納得したいにもかかわらず、やりとりが形骸化して単なる工数と時間の浪費に陥りやすくなっていて、そこが現状で最大の問題となっているのです。
クラウド評価サービスは3年で大手企業を中心に1千社が利用するサービスに成長
――そのような背景をふまえ2025年6月に「Assured企業評価」を開始されましたが、まずそもそもの「Assured」サービスについてお聞かせください。
真藤氏 ベースとなるサービスの考え方は、セキュリティチェックのプロセスを第三者が提供するプラットフォーム上で共通化し、スコアリングし可視化することによって委託元と委託先双方のセキュリティを確保していくというものです。委託元は、取引先企業とのやり取りをAssuredが担うことで社内外にまたがる煩雑なコミュニケーションを効率化できます。また、お互い第三者が作った同じチェックリストで会話ができ、Assuredという共通言語・評価項目をベースに内部調査を行えば評価を受ける側も回答を再利用することができるため、複数の企業からの依頼にその都度回答を考えずに済みます。結果として双方にメリットが生まれ、実効性があるセキュリティチェックができるようになるのです。
まず2022年にSaaSやASPなどのクラウドサービスを対象とした「Assured」を開始し、こちらは約3年で大手企業を中心に1千社以上に活用されるサービスに成長しました。Assuredの評価結果を利用してその後のリスク対応の手順を変える企業も増えましたし、クラウドベンダーからもリファレンスにしているという話を伺うようになるなど、客観性のあるプラットフォームサービスとして認知されている状況です。
世の中のレベル感を可視化することで実効性のある対策が可能に
――企業評価のサービスを始めた理由は?
真藤氏 まずは、世の中に実効的な尺度がなかったことです。クラウドベンダーは比較的セキュリティに明るい企業が多いですが、一般的な企業はそうではありません。客観的指標には、経済産業省のガイドラインやIPAのチェックリストもありますが、やや粒度が大きく汎用的すぎる側面があります。他方で各種認証などは、厳しすぎるきらいがあります。これはある企業の方の言葉ですが、「取引先に対策を求める際には決して最上級ではなく、世の中で求められているレベルを求めている。しかしそれがどの程度なのかをうまく伝えることができず、双方に納得感が生まれない」そうなのです。その際にAssuredという第三者評価で世の中が求めるレベルが可視化されると、単に「やってください」という強い言い方ではなく、「ではその上でどうするか」「いつまでに」「なぜやらなければならないか」「いくらかかる」というように、普通のビジネスの話で会話をすることができます。
ほかにも、企業が利用するクラウドサービスの数より取引先企業の方が圧倒的に多いなかで、「クラウドだけでなく取引先全般をAssuredの仕組みで管理できるようにできないか」というお客様からいただいた声も動機になっています。
――具体的なサービス内容や特徴を教えてください。
真藤氏 取引先のセキュリティ対策状況について、ISO27001や経済産業省、金融庁のガイドラインなどを参照したAssured独自のチェックシートを元に、当社のセキュリティの専門家が調査・評価を行います。100点満点でレーティングし、懸念点などをまとめた評価情報を双方に提供します。過去回答があった場合はそれを使って調査依頼に対応できるため、通常のフローであれば数週間から数ヶ月かかるところを早ければ数日、クラウドの場合は1両日でチェックできるようになります。その際も回答者に対しては、特許を取得した承認制の仕組みを用意しており、別の企業からの依頼に対して勝手に情報を開示することはありません。
サービスの概要
調査結果レポートイメージ
幅広い業界ですでに高い評価、金融などで先行導入事例も
――市場の反応はいかがでしょうか。
真藤氏 すでに複数企業で先行導入されており、良い反応を頂いています。例えば伊予銀行様では、インシデントがあるたびに評価項目を継ぎ足して大量のチェック項目が存在し、評価項目の重複や新しい担当者が評価項目の必要性を理解していなかったという問題があったそうですが、Assured企業評価でトレンドに即した評価項目と、それに則して専門家がリスク評価をするという形にすることで、誰が見てもリスクを把握できるようになったというお言葉を頂いております。
また某生損保会社様では、リスクがあると判断した場合に、契約部署から「厳しすぎる。なぜ契約してはいけないのか」と反論されることがあるなかで、「Assuredという第三者評価機関もこうリスクを指摘している」と、説得力がある説明ができるようになったというお話でした。
ほかにも金融からエンタメ、コンサルで先行導入が始まっているほか、様々な業界からたくさんのお問い合わせを頂いている状況です。事業継続対策やサプライチェーンの複雑化という動機から、サービスに対する期待が高まっていると感じています。
――最後に今後想定されている展開、利用者に対するメッセージをお話しください。
真藤氏 サプライチェーンはいくつものつながりで構成されており、企業が取引先のリスク管理をする際には、2つ3つ先までを把握しなければならない時代になっています。それを踏まえてロードマップとしては、サプライチェーンの先にどんな企業がいて、個人情報がどこまで渡り、どの企業に重要情報を委託しているのかなどをプラットフォーム上で可視化していくことを考えています。それにより、有事の際に何がリスクとして顕在化したのか、どこに影響があるのかがより早くわかるようになります。リスク評価のプラットフォームとしては、そこまでを目指していきたいですね。
もう一つ、このサービスによってIT部門の働き方の問題も解決したいと考えています。Assuredのサービスは、元々自分たちが取引先評価をする・される際に、お互い困るところが多いということに着想を得て開発したもので、単なる理想論ではなく利用者のニーズに寄り添った設計になっています。情シスに求められているのは、委託先を評価することではなく、評価結果をもとにビジネス部門と会話をするような、セキュリティに知見を持った存在としての役割です。そのために我々はセキュリティを測れるモノサシを用意し、プラットフォームとして各社の情報を集約することで統一化された基準を作り、各企業がそれに向けた適切な努力ができるようにしました。その結果として、社会全体のセキュリティ向上にも寄与していくことを目指しています。
客観的な評価指標の提供により、社会全体のセキュリティ水準の向上を目指す
