【ISOプロ】【取引見直しのリスクも】 2026年度末開始予定の『サプライチェーン強化に向けたセキュリティ対策評価制度』約7割が「★3」以上を目標に。新たな“取引条件”となる可能性も

約9割が影響を認識する一方、対策は約4割にとどまる。現場の課題と対応格差が明らかに

株式会社ISOプロ（本社：東京都新宿区、代表取締役：米田泰三）は、企業のサイバーセキュリティ・サプライチェーン管理に関与する経営層・担当者を対象に、「2026年度開始『サプライチェーン強化に向けたセキュリティ対策評価制度』への対応と取引先管理」に関する調査を行いました。

近年、サイバー攻撃の手口はますます高度化・巧妙化しており、大手企業を直接狙うのではなく、対策が手薄な業務委託先や関連会社を「踏み台」にして侵入する「サプライチェーン攻撃」が猛威を振るっています。

直近でも、業務委託先のシステムやクラウドサービスがランサムウェアに感染し、そこから委託元である大手金融機関や教育機関へ連鎖的に被害が波及するインシデントが相次いで発生し、社会的な脅威として改めて浮き彫りになりました。

いまや自社の対策だけでは不十分であり、取引先経由で自社が深刻な被害を受けるリスクや、自社が「踏み台」となって取引先に被害を拡大させる加害者リスクは、取引停止や信用失墜といった経営リスクに直結する問題として認識され始めています。

このような背景から、サプライチェーン全体のセキュリティ対策水準を客観的に評価し、底上げを図ることを目的として、2026年度末より新たに経済産業省が推進する『サプライチェーン強化に向けたセキュリティ対策評価制度（通称：SCS評価制度）』の開始が予定されています。

では、実際に企業はこの新制度に向けてどのように動いており、取引先に対してはどのような対応を求めていく予定なのでしょうか。

そこで今回、各種ISOの新規取得・運用サポートサイト『ISOプロ』（https://activation-service.jp/iso/）を運営する株式会社ISOプロ（https://iso-pro.co.jp/）は、企業のサイバーセキュリティ・サプライチェーン管理に関与する経営層・担当者を対象に、「2026年度開始『サプライチェーン強化に向けたセキュリティ対策評価制度』への対応と取引先管理」に関する調査を行いました。

調査概要：「2026年度開始『サプライチェーン強化に向けたセキュリティ対策評価制度』への対応と取引先管理」に関する調査

【調査期間】2026年4月16日（木）～2026年4月17日（金）

【調査方法】PRIZMA（https://www.prizma-link.com/press）によるインターネット調査

【調査人数】1,015人

【調査対象】調査回答時に企業のサイバーセキュリティ・サプライチェーン管理に関与する経営層・担当者（情報システム、セキュリティ、リスク管理、調達・購買部門）と回答したモニター

【調査元】株式会社ISOプロ（https://iso-pro.co.jp/）

【モニター提供元】サクリサ

約9割がリスクを認識するも、対策は約4割にとどまる。サプライチェーン攻撃は「信用失墜」「取引停止」を招く“経営リスク”へ

はじめに、「近年増加するサプライチェーン攻撃について、自社が被害に遭う（あるいは踏み台になる）リスクをどの程度感じているか」と尋ねたところ、以下のような回答結果になりました。

全体の約9割が、サプライチェーン攻撃のリスクを現実のものとして認識しているようですが、「すでに対策を強化している」と回答した方は約4割となり、具体的な対策に踏み切れていない企業が約半数を占める結果となりました。

危機感は広く共有されているものの、具体的な対策に落とし込むまでには至っていない状況がうかがえます。

多くの企業がリスクを感じる中、実際にセキュリティ事故が起きた際に懸念される事態は何なのでしょうか。

「自社のサプライチェーン上でセキュリティ事故が発生した場合、自社にとって懸念される影響」について尋ねたところ、『社会的信用の失墜・ブランドイメージの低下（39.9％）』と回答した方が最も多く、『取引先との契約解除・取引停止（35.4％）』『自社のシステムダウン・業務の長期停止（33.6％）』となりました。

上位には、「事業継続に関わる致命的なダメージ」に関する項目が並び、自社の業務が止まること以上に、社会的な信用を失ったり、取引先との契約を切られたりすることを懸念している様子がうかがえます。

セキュリティ事故は、もはやシステム部門だけの問題ではなく、企業の信用そのものを左右する経営課題として捉えられているといえそうです。

約9割が「SCS評価制度は自社に影響あり」と回答。★（星）の取得が“取引条件化”する可能性も

こうした深刻なリスクへの危機感が高まる中、2026年度末には『サプライチェーン強化に向けたセキュリティ対策評価制度』の開始が予定されています。

※参照（経済産業省：https://www.meti.go.jp/press/2025/03/20260327001/20260327001.html）

各企業の対策状況を統一された基準で評価・可視化するこの仕組みについて、企業は自社への影響をどの程度感じているのでしょうか。

「2026年度末に開始予定の『サプライチェーン強化に向けたセキュリティ対策評価制度』について、自社への影響をどの程度感じているか」と尋ねたところ、以下のような回答結果になりました。

『事業や取引に大きな影響があると考えており、対応を進めている』『影響はあると考えているが、具体的な対応はこれから』と回答した方を合わせると約9割となり、大多数が新制度による影響があると考えているようです。

「すでに対応を進めている」という方が最多となった一方で、「具体的な対応はこれから」という方も約4割となり、企業間で対応スピードに差が出始めている様子がうかがえます。

新制度では企業のセキュリティ対策水準が★3・★4・★5の3段階で評価される予定ですが、新制度の影響は避けられないと考える企業が多い中、具体的にどの程度の対応水準を目標に据えているのでしょうか。

「今後どの『★（星）』水準の取得を目指したいと考えているか」と尋ねたところ、『「★4」の取得を目指して、情報収集や準備を進めたい（31.6％）』と回答した方が最も多く、『取引維持・競争力強化の観点から、最上位の「★5」の取得を目指したい（22.9％）』『「★3」の取得を最低ラインとして、情報収集や準備を進めたい（19.7％）』となりました。

上位3項目すべてが「★3」以上の取得を目指す回答となり、全体の約7割を占めました。

特に、「★4」や「★5」といった上位水準を目標に掲げる方が合わせて約半数となり、新制度への対応を単なる義務としてではなく、取引先からの信頼獲得や競争力維持に向けた「事業上の強み」として捉え、前向きに取り組もうとしている状況が読み取れます。

次に、「今後、取引先に対して、『サプライチェーン強化に向けたセキュリティ対策評価制度』の『★（星）』取得を要請する予定はあるか」と尋ねたところ、以下のような回答結果になりました。

「取得企業を優遇・推奨する方針である」が最多になり、まずは必須とせずに取得を促していく意向の企業が多いことがわかりました。

また、「未取得企業との取引は見直す可能性がある」や「必須要件として特定の水準の取得を求める予定」といった厳しい対応も上位になり、今後はセキュリティ対策の有無が取引継続の判断に直結していく状況がうかがえます。

最大のリスクは「取引先」にあり。自社対策だけでは防ぎきれないサプライチェーンの現実

取引先のセキュリティ水準がより重視される中、最もリスクが高いと認識されているのはどの領域なのでしょうか。

「自社のサプライチェーンにおいて、セキュリティ管理が最も手薄（リスクが高い）と感じる領域」について尋ねたところ、『直接の取引先（一次委託先・仕入先）のセキュリティ対策（36.9％）』と回答した方が最も多く、『自社内部（従業員・システム）のセキュリティ対策（28.0％）』『取引先のさらに先（二次・三次委託先など）のセキュリティ対策（23.1％）』となりました。

「直接の取引先」が最多となり、管理の目が行き届きにくい「二次・三次委託先」や「自社内部」を上回りました。

直接の取引先は、自社のシステムと連携したり機密情報を共有したりする機会が多いため、万が一そこが突破されれば「踏み台」として自社へダイレクトに被害が波及します。

実害に直結しやすい「自社との直接の接点」にこそ、最もシビアな危機感を抱いていることがうかがえます。

次に、「貴社のサプライチェーンにおいて、現在どのようなサイバーセキュリティの課題を感じているか」と尋ねたところ、『取引先へのセキュリティ対策の要請や導入支援が難しい（32.4％）』と回答した方が最も多く、『取引先のさらに先（二次・三次委託先）まで管理が及んでいない（30.7％）』『取引先（サプライヤー）のセキュリティレベルの把握が困難である（29.6％）』となりました。

上位3項目すべてが、「取引先」に対する課題で占められました。

取引先のセキュリティレベルを正確に把握することや、さらにその先の委託先まで管理を広げること、そして実際に対策を要請・支援することの難しさが僅差で並んでいます。

自社の努力だけではサプライチェーン全体の安全性をコントロールしきれないという構造的な課題が明らかになりました。

セキュリティ対策は「コスト」から「投資」へ。新制度に信頼性向上や新規ビジネス機会への期待が集中

そのような課題を感じる中、新たな評価制度が始まることは、自社のビジネスにどのような影響があると考えているのでしょうか。

「『サプライチェーン強化に向けたセキュリティ対策評価制度』の導入によって、自社の事業にどのような影響があると思うか」と尋ねたところ、『企業の信頼性・ブランド価値の向上に繋がる（37.4％）』と回答した方が最も多く、『取引先とのセキュリティレベルの連携強化に繋がる（32.6％）』『新規ビジネス機会の創出に繋がる可能性がある（31.7％）』となりました。

「コスト負担の増加」を懸念する声もある中、上位3項目は「信頼性向上」「連携強化」「新規機会の創出」といったポジティブな影響が独占しました。

『サプライチェーン強化に向けたセキュリティ対策評価制度』の導入を単なるコンプライアンス対応としてではなく、自社の市場価値を高め、優位な取引環境を構築するための戦略的投資と位置づける傾向が読み取れます。

新制度への期待が高まる中、サプライチェーン全体の防御力を底上げするためには、具体的にどのような取り組みが必要とされているのでしょうか。

「サプライチェーン全体のサイバーセキュリティを強化するためには、今後どのような取り組みが重要だと思うか」と尋ねたところ、『最低限のセキュリティ基準の標準化・統一（32.3％）』と回答した方が最も多く、『共通のセキュリティ基準（評価制度・認証等）の導入（32.0％）』『定期的な監査や状況報告の義務化（31.2％）』となりました。

「最低限の基準の標準化・統一」や「共通のセキュリティ基準の導入」などを求める声が上位に集中しました。

また、「監査や状況報告の義務化」もほぼ同率で並んでおり、基準を設けるだけでなく、それを継続的にチェックできる仕組みを導入することが、全体の強化に不可欠だと考えていることがわかります。

最後に、「サプライチェーンにおいて、『サプライチェーン強化に向けたセキュリティ対策評価制度』や『ISOなどの第三者認証』といった共通基準を活用する最大のメリットは何だと思うか」と尋ねたところ、以下のような回答結果になりました。

「客観的な証明」「経営層への説明」「取引先の理解」といった、社内外に対するコミュニケーションに関する回答が並びました。

共通基準や第三者認証の取得は、いざというときに自社を守る盾になるのはもちろんのこと、日々のセキュリティ投資の妥当性を示し、関係者を説得するための客観的根拠としても重宝されていることがわかります。

【まとめ】新制度は「事業の強み」であり「取引の基準」へ。サプライチェーン全体の底上げが不可欠

今回の調査で、サプライチェーン攻撃に対する危機感と、それに伴う「共通の評価基準」への高い期待が浮き彫りになりました。

約9割が、近年増加するサプライチェーン攻撃のリスクを感じており、自社のサプライチェーン上でセキュリティ事故が発生した場合、「社会的信用の失墜」や「取引停止」「業務の長期停止」といった影響を懸念しています。

また、2026年度末に開始予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」についても自社に影響があると思う方は約9割に上り、多くの企業が「★3」以上の取得を目指すだけでなく、全体の7割以上が取引先に対しても一定の水準を求める方針を示しました。

これは、セキュリティ対策が単なるコストや義務ではなく、取引条件や競争優位性を左右する重要なビジネス要素へと変化していることを示唆しています。

一方で、自社のサプライチェーンにおいて、セキュリティ管理が最も手薄（リスクが高い）と感じる領域として「直接の取引先」や「自社内部」「取引先のさらに先」が上位になり、自社単独での管理には限界が生じています。

だからこそ、サプライチェーン全体で足並みを揃えるための「統一された客観的な仕組み」が強く求められています。

新制度や第三者認証といった共通基準は、事故発生時の客観的な証明になるだけでなく、社内外の合意形成を円滑に進めるためのツールとしても期待されています。

今後、企業がサプライチェーンの強靭化を図るためには、新制度や第三者認証を積極的に活用し、自社の対策レベルを可視化することが不可欠です。

また、それを取引先の評価基準と連動させることで、関わるすべての企業が安全にビジネスを続けられる環境を作っていくことが求められそうです。

「ISO」の新規取得・運用サポートなら『ISOプロ』

今回、「2026年度開始『サプライチェーン強化に向けたセキュリティ対策評価制度』への対応と取引先管理」に関する調査を実施した株式会社ISOプロは、ISOの新規取得・運用サポートサイト『ISOプロ』（https://activation-service.jp/iso/）を運営しています。

■コラム：【2026年度開始】サプライチェーンセキュリティ評価制度をわかりやすく解説

https://activation-service.jp/iso/column/10117

「ISO27001」とは、「情報セキュリティの管理に関する国際規格」です。

2005年にISO（国際標準化機構）とIEC（国際電気標準会議）が共同で制定しました。

「ISO27001」の目的は、「機密性」「完全性」「可用性」の3つの要素を維持し、企業の情報セキュリティ管理体制を強化することにあります。

新制度「★4」の要求事項44項目のうち、42項目が「ISO27001」でカバーできる見込みです。

■ISOプロでは、新制度の「★」取得サポートも対応可能！

『ISOプロ』では、ISO27001の新規取得・運用サポートはもちろん、『サプライチェーン強化に向けたセキュリティ対策評価制度』における「★」取得に向けたコンサルティング・伴走サポートも行っております。

＜【完全版】ISO27001（ISMS）とは？概要や取得方法を簡単に解説＞

https://activation-service.jp/iso/column/306

＜「ISO27001」に関するコラムはこちら＞

https://activation-service.jp/iso/column/type-27001?type=gnavi