2026年3月24日から3月27日にかけて開催された「Security Days Spring 2026 東京」において、株式会社ソリトンシステムズはサプライチェーンセキュリティや認証強化をテーマにした講演を行いました。
3月24日には、株式会社ソリトンシステムズ ITセキュリティ事業部 エバンジェリスト 荒木 粧子が、セッションB1-07「サプライチェーンセキュリティが、現場で行き詰まる「3つの理由」――SCS評価制度を踏まえた、持続可能な現実解」に登壇しました。
株式会社ソリトンシステムズITセキュリティ事業部
エバンジェリスト
荒木 粧子
サプライチェーンセキュリティの課題
いま、多くの企業でサプライチェーンを前提とした業務が当たり前になっています。
その一方で、取引先や委託先を起点としたセキュリティ事故が、事業停止や情報漏えいにつながるケースも増えてきました。
『Security Days Spring 2026』では、ソリトンシステムズのエバンジェリスト荒木が、こうした状況を踏まえ、サプライチェーンセキュリティがなぜ現場で行き詰まりやすいのか、そしてどのように乗り越えていくべきかについて解説しました。
ランサムウェア被害の拡大により、サプライチェーン対策は、単なる施策の一つではなく、事業を継続するうえで無視できないテーマになりつつあります。
では、なぜ多くの企業で対策は思うように進まないのでしょうか。
本レポートでは、政府が制度整備を進めているSCS評価制度の動向も踏まえながら、現場で無理なく実行できるセキュリティ対策の考え方を整理します。
現場を停滞させる「3つの理由」
セキュリティ対策の重要性は広く認識されているものの、実際の現場では思うように進まないケースも少なくありません。
その背景には、「社会構造」「判断基準」「運用設計」という3つの観点での課題があると考えられます。
① 社会構造:自社完結しない対策の難しさ
ソリトンシステムズの調査によると、他組織と業務システムを共有している企業は71%に達しています。
サプライチェーンは二次、三次と多層化し、接続環境もSaaS、IaaS、オンプレミスが複雑に混在しています。
実際に、ある製造業(約5,000人規模)の担当者からは、「取引先ごとにプラットフォームやITリテラシーが異なり、統制の取れた対策を求めることが難しい」という声も聞かれます。
海外拠点や小規模な取引先まで含めて一律にレベルを引き上げることは、物理的・組織的に限界がある状況になりつつあります。
② 判断基準:客観的な「ものさし」の欠如
これまでは、「どこまで対策を行えばよいのか」という判断基準が、組織や業界ごとにばらばらであることも、現場の負担を大きくしてきました。発注元は独自のチェックシートを配布し、受託側は取引先ごとに異なる多数の質問への対応を求められるような状況が常態化しています。
いわゆる「チェックリスト地獄」によって、本来取り組むべき対策そのものではなく、「報告作業」にリソースが割かれてしまうケースも少なくありません。結果として、現場の負担はさらに増大しています。
③ 運用設計:人の能力とリテラシーへの過度な依存
ソリトンシステムズの調査では、セキュリティ意思決定者が挙げる課題のトップは「人材不足と属人化(42.1%)」でした。リスクの高度化やシステムの複雑化が進む一方で、人間の処理能力や注意力には限界があります。
そのため、高度な対策をユーザーの善意や注意、リテラシーに依存する運用は、長期的に維持することが難しくなります。
現場のルール遵守を「人の努力」に委ねるのではなく、「ルールを逸脱できない仕組み」として実装していくことが、より現実的なアプローチといえます。
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)
こうした「社会構造」と「判断基準」の課題に対し、政府として示された枠組みが、経済産業省および国家サイバー統括室(NCO)が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」です。
本制度は、日本のサプライチェーン全体のセキュリティ対策を底上げするための「共通のものさし」として機能することが期待されています。
参考:「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました (METI/経済産業省)
制度の枠組みと段階的評価
本制度では、企業のセキュリティ対策状況を「★(星)」の数で可視化します。このうち、★3および★4については、2026年度末頃の運用開始に向けて制度整備が進められています。
- ★3(基礎的対策):すべてのサプライチェーン企業が最低限実装すべきレベル。一般的な脆弱性攻撃を想定し、専門家の確認を伴う自己評価に基づきます。
- ★4(標準的に目指すべき対策):供給停止や機密情報の漏えいが大きな影響を及ぼすケースを想定。実地審査や技術検証を含む第三者評価が求められます。
- ★5(到達点):国際規格に基づくベストプラクティス。2026年度(令和8年度)以降に検討が予定されている将来の目標レベルです。
リスクに基づく判断と「パートナーシップ」の構築
発注元企業は、取引先に対して求めるセキュリティ水準を、「事業継続リスク」「情報管理リスク」「その他(直近のインシデント動向など)」といった観点から検討していきます。
例えば、取引先が自社のネットワークや機密情報へリモートアクセスする場合には、★4相当の対策が求められるケースも想定されます。
こうした中で重要になるのが、経済産業省および公正取引委員会が示している「取引先とのパートナーシップの構築」という考え方です。SCS評価制度に基づく対策要請が、独占禁止法や取適法における「優越的地位の濫用」とならないよう、具体的な考え方や想定事例も提示されています。
ポイントは、対策費用を一方的に負担させるのではなく、発注者と取引先が協議を行い、セキュリティ対策と価格の双方について合意を形成していくことにあります。
こうした動きを踏まえると、SCS評価制度への対応は、単なるセキュリティ対策コストではなく、企業間取引の前提として位置づけられつつあるといえます。
参考: サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて (METI/経済産業省)
運用の壁を乗り越える「仕組み化」の視点:現場を疲弊させない対策
SCS評価制度の★4では、153項目に及ぶ評価基準への対応が求められます。
これらをすべて人の運用で支えようとすると、現場の負担が過度に大きくなり、運用が立ち行かなくなるリスクもあります。
「仕組み」によるリスク低減の必要性
SCS評価制度の要件の多くは、必ずしもITツールがなければ実現できないものではありません。一方で、運用に依存した対応だけでは、現場の負担が大きくなり、継続が難しくなるケースもあります。
ソリトンの独自分析では、★4の評価基準153項目のうち、ITツールがなければ実装が難しい項目は約22%にとどまり、残りの約78%は体制整備やポリシー策定、運用に関する項目と整理されました。
しかし、こうした運用中心の項目であっても、組織の規模や業務内容によっては、ユーザーに過度な負担がかかる形になりやすく、結果として形骸化してしまうリスクもあります。
セキュリティ対策によってビジネスのスピードを損なわないためにも、負担が集中しやすい部分については、ITツールを活用し、無理なく運用できる「仕組み」として実装していくことが重要です。
形骸化を防ぐ「意識させない遵守」
セキュリティ対策が形骸化してしまう大きな要因の一つは、運用の難しさにあります。
例えば「遵守状況を点検すること」という要件に対して、Excelのチェックリストへの記入といった手作業を増やすだけでは、現場の負担が増え、継続が難しくなるケースも少なくありません。
こうした課題に対しては、そもそもポリシーに反する操作ができないような仕組みを導入することで、管理者・ユーザー双方の負担を抑えながら、セキュリティ対策を実効性のある形で実現することが可能になります。
ユーザーが特別に意識しなくても、日常の業務の中で自然に要件を満たせるような設計は、難易度が高いと感じられるかもしれません。しかし実際には、サプライチェーン環境においても、こうした考え方をうまく取り入れている事例が見られます。
講演の後半では、それらの事例を踏まえながら、サプライチェーン環境でも無理なく運用できるソリューションが紹介されました。
【対策例1】認証の現実解:Soliton OneGateによる多要素認証の徹底
SCS評価制度において、インターネット経由の業務システムへのアクセスには多要素認証(MFA)が要求されます。しかし、取引先ごとに異なる管理体制やリテラシーの中でMFAを徹底させるのは極めて困難です。
サプライチェーンでMFAを実現するSoliton OneGate
Soliton OneGateは、デジタル証明書を強みとした多要素認証(MFA)やシングルサインオン(SSO)を提供するクラウドサービスです。デジタル証明書(所有)とパスワード(知識)の複数の認証要素を組み合わせることでMFAを実現し、「許可された端末」以外からのアクセスを通信確立時に遮断します。
特に、証明書配布は4つの方式を用意しており、管理者・ユーザー双方の負荷を軽減しながら、多要素認証に必要な準備を整えることができます。
- PKCS#12ファイル: 標準的なファイル配布(手動インポート)。
- 招待コード方式: 専用アプリ(Soliton KeyManager)にコードを入れるだけでセルフサービス配布。リテラシーに不安のある取引先でも容易に導入可能。
- デバイス予約方式: デバイス識別子を事前登録し、特定の端末にのみ配布を限定。
- 外部連携: Microsoft IntuneやGoogle Chrome管理コンソール、資産管理製品と連携し、バックグラウンドで自動配布。
実践事例:豊田合成様におけるサプライチェーンでのMFA展開
豊田合成様では、約160社の取引先が利用する受発注システムに対し、Soliton OneGateのデジタル証明書を用いた多要素認証(MFA)を導入されています。
ユーザーのリテラシーに依存しない「招待コード方式」を活用することで、現場の混乱を抑えながら、サプライチェーン全体でのセキュリティ強化を実現されています。
ビジネスへの影響を最小限にとどめつつ、サプライチェーン環境でMFAを展開された先進的な事例といえます。
参考:豊田合成株式会社様 Soliton OneGate導入事例
【対策例2】機密データの保護:データレス型情報漏えい対策ソリューションでの実現
リモートワークやBYODの普及により、端末内の機密情報をどのように管理するかは、SCS評価においても大きな課題の一つになっています。
たとえば、重要情報の暗号化、退職後・契約終了後の確実な削除、そしてそれらが守られているかどうかの点検――こうした要件に、どのように対応すればよいのでしょうか。
ルールから「意識せずとも遵守できる仕組み」へ
Soliton SecureBrowser/SecureWorkspaceは、端末内に仮想的な隔離領域を生成する「データレス型」の情報漏えい対策を提供します。
- 自動暗号化と自動削除: 隔離領域内のファイルは一時保存時も自動で暗号化されます。そして、アプリを終了した瞬間にキャッシュデータが物理的に自動削除されます。
- 用途に合わせた3つの方式:
- Soliton SecureBrowser: ブラウザ完結型の業務に。マルチOS対応で私物スマホ利用にも最適。
- Soliton SecureWorkspace: Officeファイルの直接編集やファイルサーバー利用が必要なWindows業務に。
- Soliton SecureWorkspace for リモートデスクトップ(RDP): 社内PCへのリモコン操作。データの持ち出しを禁止しつつ、既存資産を活用。
「ルールを決めて周知し、年1回点検する」といった運用も、データレス型ソリューションを活用することで、「仕組みとして守られる状態」に変えることができます。
ユーザーにファイルの暗号化や削除を意識させる必要がなく、管理者の点検負担も抑えられます。
このようなアプローチは、社外持ち出しPCに限らず、BYODや管理外端末が混在するサプライチェーン環境においても、現実的な選択肢となるケースが多いと考えられます。
持続可能なサプライチェーンセキュリティの構築に向けて
SCS評価制度の本格運用開始が近づく中で、対応に向けて検討を進めていらっしゃる企業も多いのではないでしょうか。実際に当社へのご相談でも、「何から手を付ければよいか悩んでいる」という声を伺うことが少なくありません。
各企業・組織によって状況はさまざまですが、これまでのご相談を通じて、比較的共通して重要になりやすいポイントとして、次の3点が挙げられると感じています。
- 経営層の関与の確保
SCS評価制度の動向や、セキュリティ対策が企業間取引における前提条件として位置づけられつつある点を共有し、必要な予算やリソースについて経営層の理解を得ていくこと。 - 「共通のものさし」への向き合い方の整理
SCS評価制度を踏まえ、自組織として求められる、あるいは取引先に求めるセキュリティ対策の水準を検討し、目指すべきレベル感(★の水準)を整理していくこと。 - 無理のない運用を前提とした仕組みづくり
人の負担に依存した運用になりすぎないよう留意しながら、必要に応じてツールの活用も含め、セキュリティ対策を継続可能な形で実装していくこと。
「サプライチェーン全体のセキュリティは、もはや一企業のITリスクという枠にとどまらず、生産や出荷、物流の停止など、事業全体に影響を及ぼし得るテーマになりつつあります。
SCS評価制度への対応は、企業によっては負担に感じられる場面もあるかと思いますが、今後の企業間取引の在り方にも関わってくる動きといえます。
そうした中で、自社のセキュリティ対策を見直す一つの契機として捉えていただくこともできるのではないでしょうか。私たちとしても、その取り組みをソリューションの形でご支援できればと考えています。」(荒木)
ソリトンは今後も、セミナー・ウェビナー等を通じて、サプライチェーンセキュリティや情報漏えい対策に関する情報を発信してまいります。製品や導入に関するご相談は、ソリトンシステムズのお問い合わせ窓口よりご連絡ください。
