サプライチェーンのセキュリティ対策状況、アンケートだけで把握できていますか？

3行でわかる本記事のサマリ

• サプライチェーン全体でセキュリティ対策を強化するには、正確な状況把握が必要
• アンケートのみでは、状況把握に限界がある
• 状況把握の有効な手段の一つが、セキュリティリスクレーティング

はじめに

近年、ランサムウェアをはじめとするサイバー攻撃はますます巧妙化しています。ターゲット企業を直接狙うだけでなく、セキュリティ対策が手薄な海外拠点やグループ会社、さらには取引先や委託先を狙うようになりました。情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2025」では、組織向け脅威の2位に「サプライチェーンや委託先を狙った攻撃」がランクインしています。

サプライチェーンを狙ったサイバー攻撃による工場停止やシステム停止、顧客情報の漏えいといった被害は後を絶ちません。サプライチェーン全体でセキュリティ対策を強化することが望まれています。

多くの企業では、すでに何らかのセキュリティ対策を実施していることでしょう。しかし、実施しつつも課題や不安を抱えている企業もあります。本記事では、サプライチェーンのセキュリティ対策に関する課題と、その解決策について解説します。

　※出典：独立行政法人情報処理推進機構「情報セキュリティ10大脅威 2025」
　　https://www.ipa.go.jp/security/10threats/10threats2025.html （参照2025-03-12）

目次

1. サプライチェーンのセキュリティ対策に関する課題
2. アンケートによるセキュリティ対策の状況把握の限界
3. セキュリティリスクレーティングで状況把握のお悩みを解決
4. まとめ

1. サプライチェーンのセキュリティ対策に関する課題

国内外に多くの拠点やグループ会社がある企業では、セキュリティ対策を個別に実施していることも多く、それぞれの状況を本社側で正確に把握することが難しいという課題があります。セキュリティ対策レベルに差があると、レベルの低い拠点やグループ会社が攻撃対象になる可能性が高くなりますが、状況を把握できていなければ有効な対策をとることは困難です。

グループ会社間でセキュリティに関する情報を共有できていないケースも少なくありません。万が一のインシデント発生時には迅速な情報共有と連携が不可欠ですが、平常時からコミュニケーションをとっていないと、対応に遅れが出る恐れがあります。

さらに、サプライチェーン全体のセキュリティを強化するには、自社の拠点やグループ会社だけではなく、取引先も含めたセキュリティの実態を把握しなくてはなりません。

サプライチェーン全体のセキュリティ対策状況を把握するために、国内外の拠点やグループ会社、取引先に向けて定期的なアンケートを実施している企業も多いでしょう。しかし、アンケートのみでは状況把握に限界があることに注意が必要です。次項で詳しく解説します。

2. セキュリティ対策の状況把握をアンケートで実施することの限界

アンケートによる状況把握の課題は、主に以下の3点です。

①リアルタイムで状況を知ることができない

サプライチェーン全体に関わる企業は膨大な数になるため、アンケートを作成～送付～回収するのに多くの時間がかかります。送付先に専門の情報セキュリティ担当者がいない場合、調査に時間がかかり、回答がなかなか得られないこともあります。現在の状況をすぐに調べたい場合には向いていないのがアンケートの課題です。
また、アンケートでは回答時点における状況は確認できるものの、日々変化する内部環境や外部脅威への対応状況を評価するのは困難です。

②状況の可視化が難しい

多くの企業が、セキュリティ対策の状況を正確に可視化するための、アンケート項目の設計に頭を悩ませています。また、調査結果を誰が見ても理解しやすいレポートにまとめるためには、スキルやノウハウが必要です。レポート化できないと、せっかくのアンケート結果を社内で活用しきれません。

③客観的なデータから定量的に評価することが難しい

アンケートは、定性的な評価を行うには向いている一方、客観的なデータを得にくいため、定量的に評価するのが難しいという課題もあります。アンケート結果は回答者の主観に基づいているため、実態を正確に反映していない可能性も考えられます。

こうした課題を解決するために、アンケートと補完し合える調査方法として関心が高まっているのがセキュリティリスクレーティングです。

3. セキュリティリスクレーティングで状況把握の取り組みを強化

セキュリティリスクレーティングは、ドメイン情報に紐づく外部公開サービスやIPアドレスを洗い出し、自動的に調査を行えるサービスです。サービスのメリットについてご紹介します。

①リアルタイムの調査を継続的に実施できる

セキュリティリスクレーティングは自動で調査を行うため、アンケートのように作成や送付、回収の時間が必要ありません。すぐに結果を得ることができ、継続的な調査が可能です。サイバー攻撃の脅威の変化に対応した、適切な評価を行うことができるようになります。

②状況をわかりやすく可視化できる

調査結果は点数化され、レポート形式で表示されます。点数化することによって、どこから優先的にセキュリティ対策に取り組む必要があるのか理解しやすくなり、企業間での情報共有がスムーズになります。また、サプライチェーンを1つのプラットフォームで一元管理できるため、全体的な状況把握が容易です。
さらに、サービスによっては、点数を下げる要因について改善策を提案してくれるものもあります。サプライチェーン全体のセキュリティ対策レベルを底上げするための参考となるでしょう。

③攻撃者と同じ目線で客観的に評価できる

セキュリティリスクレーティングは、サイバー攻撃を開始する前の攻撃者と同じ目線で情報を収集します。客観的なデータに基づき、サプライチェーン全体でセキュリティの統一的な基準を持つことができるのがメリットです。
海外では、特定の業界に対してサイバースコアの開示を義務付けている国もあります。日本ではまだ義務化されていませんが、今後は世界的にサイバースコアの開示を求める動きが強まると予想されます。セキュリティリスクレーティングで得られた結果は、こうしたサイバースコアの開示にも利用することが可能です。

4. まとめ

本記事では、サプライチェーン全体でセキュリティ対策を効率的かつ効果的に実施するための方法として、セキュリティリスクレーティングをご紹介しました。セキュリティリスクレーティングのメリットは、以下の3点です。
（１）リアルタイムの調査を継続的に実施できる
（２）セキュリティの状況をわかりやすく可視化できる
（３）客観的に評価できる

アンケートの取り組みを強化するサービスとして 、セキュリティリスクレーティングの利用も視野に入れてみてはいかがでしょうか。

セキュリティリスクレーティングサービス「SecurityScorecard」のご紹介

マクニカがおすすめするSecurityScorecardは、5万社以上の導入実績を誇るセキュリティリスクレーティングサービスです。「ネットワークセキュリティ」や「DNSの正常性」などの10項目を5段階で評価し、サイバー攻撃のリスクを定量的に評価できる上に、業界平均との比較も行います。データ収集は自動で行われ、常に最新の評価を参照できます。10以上の言語に対応したレポートを出力することが可能なため、海外拠点との情報共有もスムーズです。

さらにSecurityScorecardは、発見されたセキュリティの問題点に対して、詳細情報や対処方法、関連するIT資産を提示します。点数化して終わりではなく、点数を上げていくための具体的なアクションにつながる仕組みを備えているのが長所です。

SecurityScorecardに関する資料は下記よりご覧ください。

▼SecurityScorecard詳細資料

▼関連ブログ
事例から学ぶ！セキュリティリスクレーティングの運用のすゝめ
https://mnb.macnica.co.jp/2024/10/asm/riskrating.html

セキュリティ監査の新常識！セキュリティ状態を可視化する"レーティングサービス"とは
https://mnb.macnica.co.jp/2023/11/asm/riskrating.html