検索
ニュース

IT資産「全て正確に把握できている」は2割未満 セキュリティ対策不足の理由は?SCS評価制度を前に浮上するIT資産管理の壁

SmartHRの調査によると、自社で利用するSaaSやITツールの利用状況を正確に把握できていると答えた企業は19.4%だった。取引先企業に対するセキュリティ対策の強化が求められている中、何が課題となっているのか。

[TechTargetジャパン] PC用表示 関連情報
Share
Tweet
LINE
Hatena

関連キーワード

SaaS | IT資産管理 | セキュリティ対策


 クラウド労務ソフトウェアを手掛けるSmartHRが実施した調査によると、自社で利用しているSaaS(Software as a Service)などのITツールを「全て正確に把握できている」と回答した企業は19.4%にとどまった。一方で、取引先からセキュリティ対策の証明や報告を求められた経験がある企業は85.1%に達していた。

 サプライチェーン全体でのセキュリティ対策が重視される中、SaaSやITツールを正確に把握できない企業はどのような課題を抱えているのか。

 この調査は、SmartHRが2026年5月28日に公開した「サプライチェーンセキュリティ評価制度に関する実態調査」だ。同年4月15日から16日にかけて、従業員100人以上の企業で自社のIT資産やセキュリティ対策に関与する担当者222人を対象に実施された。

セキュリティ強化は「前提条件」化へ それでも対策が不足する理由

 取引先から自社のセキュリティ対策状況について証明や報告を求められた経験があるかどうかを尋ねたところ、「頻繁に求められている」が15.3%、「数回求められたことがある」が33.3%、「1回だけ求められたことがある」が36.5%となった。合計すると約85%が何らかの形で取引先から要請を受けていた。

 近年はサプライチェーン攻撃の勢いが増しており、自社だけではなく取引先のセキュリティ水準も確認する動きが広がっている。経済産業省も2026年度末(2027年3月)をめどに「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)の運用開始を計画しており、こうした要求は今後さらに増える可能性が高い。

IT資産を正確に把握できている企業は19.4%

 しかし、こうした要求に応える上で前提となるIT資産管理には大きな課題がある。

 自社で利用しているITツールの把握状況を尋ねたところ、「全てのサービス、アカウント、利用者を一元的に正確に把握できている」と回答した人は19.4%にとどまった。一方で、「利用しているサービスは把握しているが、アカウント数や利用者までは把握できていない」が32.9%を占めた。

 この結果は、多くの企業が「どのツールを導入しているか」は把握していても、「誰が利用しているか」「不要なアカウントが残っていないかどうか」までは管理し切れていないことを示している。

 背景には、SaaS利用の拡大があると考えられる。

 近年は事業部門が独自にSaaSを導入するケースも散見される。IT部門を経由しない契約や無料ツールの利用が社内に広がることで、IT資産の全体像を把握する難易度は以前よりも高まりやすくなっている。

退職者アカウント問題も「把握できない」の延長線上に

 IT資産管理の難しさは、退職者アカウントの管理にも表れている。

 退職者のSaaSアカウントをいつまでに削除・無効化できているかを尋ねたところ、「1カ月超かかることがある」が32.0%だった。

 「削除・無効化のルールが定まっていない」が7.2%あり、合計39.2%の企業で退職後のアカウント管理に課題があることが分かった。

 退職者アカウントが残る理由としては、削除手続きの運用不足だけではなく、「どのサービスを利用していたかが分からない」「部門ごとに契約していて管理が分散している」といったIT資産管理上の問題も考えられる。

 つまり、退職者アカウントの放置は、IT資産を正確に把握できていないことの結果として発生している側面がある。

予算と人材不足が可視化を阻む

 では、なぜIT資産管理が進まないのか。セキュリティ対策が不足している理由を尋ねたところ、「対策に必要な予算を確保できていない」が49.2%で最多となった。続いて「セキュリティ対策の専任担当者や人材が不足している」が47.6%、「何から着手すべきか分からない」が39.7%だった。

 IT資産の棚卸しやアカウント管理は地道な業務であり、かつ継続的な運用が必要になる。そのため、専任の人材が不足している企業では後回しになりやすい。

 SaaSなどのクラウドサービスの普及によって管理対象が拡大し続けていることも、可視化を難しくしている要因の一つだと見ることができる。

企業は投資拡大へ まず求められるのはIT資産の可視化

 調査では、SCS評価制度を認知している企業の81.3%が「セキュリティ投資を増やす予定」だと回答した。企業も課題を認識しており、今後は対策を強化する方向にあることが分かる。

 一方で、今回の調査結果から見えてきたのは、多くの企業が高度なセキュリティ対策以前に「自社のIT資産を正確に把握する」という基本的な課題に直面していることだ。

 取引先からの証明要求やSCS評価制度への順応を考えると、まず必要なのは新たなセキュリティ製品の導入ではない。利用中のSaaSやアカウント、利用者情報を継続的に棚卸しし、可視化する仕組みづくりこそが、サプライチェーンセキュリティ対策の第一歩になりそうだ。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

ページトップに戻る