大手取引先のセキュリティチェックシートにどう対応する？中小企業が進めるべき改善の考え方

大手企業との取引や業務委託、システム連携の場面で、「セキュリティチェックシート」への回答を求められることがあります。

チェックシートには、パスワード管理、アクセス権限、ウイルス対策、バックアップ、委託先管理、インシデント対応など、さまざまな確認項目が並んでいます。
項目を眺めていると、「こういう対策が必要なのだろう」ということは何となく分かります。しかし、いざ自社の状況に照らして回答しようとすると、「どこまでできていれば“はい”なのか」「できていない項目はどう改善すればよいのか」「そもそも誰が対応すべきなのか」で悩む企業も多いのではないでしょうか。

特に中小企業では、大手企業のように情報システム部門やセキュリティ専門部署が整っているとは限りません。兼任の担当者が対応していたり、社内ルールが明文化されていなかったり、実態としては運用しているものの証跡が残っていなかったりするケースもあります。

本コラムでは、中小企業がセキュリティチェックシートに対応する際の基本的な考え方と、評価が低くなりやすい項目への対策について解説します。

（参考）SCS評価制度とは？サプライチェーンセキュリティ対策を中小企業向けに解説

 セキュリティチェックシートとは？ 

セキュリティチェックシートとは、取引先や委託先の情報管理体制を確認するための質問票です。

たとえば、大手企業が外部の企業に業務を委託する場合、委託先が顧客情報、営業情報、設計情報、システム情報などを適切に扱える状態にあるかを確認する必要があります。そのため、契約前や更新時にチェックシートを送り、情報セキュリティ対策の実施状況を確認します。

質問内容は企業によって異なりますが、よくある項目には次のようなものがあります。

つまり、チェックシートは単なる書類ではなく、「取引先から見た自社のセキュリティ体制の棚卸し」ともいえます。

 チェックシート対応で大切なのは「満点を取ること」ではない 

チェックシートを受け取ると、どうしても「できていない項目をどう埋めるか」に意識が向きがちです。

しかし、重要なのは、すべての項目に無理やり「はい」と回答することではありません。

セキュリティ対策は、会社の規模、業務内容、扱う情報、取引先との関係によって必要な水準が変わります。中小企業が大手企業とまったく同じ体制を一気に整えるのは現実的ではありません。

大切なのは、次の3点です。

「未対応の項目がある＝すぐに取引できない」というわけではありません。むしろ、未対応の項目を把握し、改善計画を説明できることが、取引先からの信頼につながる場合もあります。

チェックシートは“採点表”ではなく、自社のセキュリティを改善するためのきっかけとして捉えることが大切です。

 まずやるべきことは、回答前の現状整理 

チェックシート対応でよくある失敗は、担当者が1人で項目を見ながら、その場の感覚で回答してしまうことです。

たとえば、「バックアップを取っていますか」という質問に対して、誰かが「たぶん取っている」と判断して「はい」と回答してしまう。

しかし実際には、対象データが一部だけだったり、復元テストをしていなかったり、バックアップ先が社内ネットワークに常時接続されていたりするかもしれません。

このような状態では、回答と実態にズレが生じます。万が一インシデントが発生した場合、取引先への説明にも困ることになります。

チェックシートを前にしたとき、最もやってはいけないのが「とりあえず『対応済み』にして出してしまえ」という虚偽の回答です。

万が一、その取引が原因でセキュリティインシデント（情報漏洩など）が発生した場合、虚偽報告をしていたとなれば、損害賠償や取引停止など取り返しのつかない事態に発展します。

まずは、次のように現状を整理しましょう。

この整理を行うだけでも、「何となく対応している」状態から、「説明できる状態」に近づきます。

 よくあるチェック項目と対策の考え方 

ここからは、チェックシートでよく聞かれる項目ごとに、中小企業が考えるべき対策を見ていきます。

 1. セキュリティ方針・社内ルール 

「情報セキュリティ基本方針はありますか」「社内規程は整備されていますか」という項目は、多くのチェックシートで確認されます。

中小企業では、実際には気を付けて運用していても、文書として残っていないケースが多くあります。しかし、取引先から見ると、ルールが文書化されていない状態は「会社として管理しているか分からない」と見えてしまいます。

まずは、難しい規程を作り込むよりも、次のような基本ルールを明文化するところから始めましょう。

最初から完璧な規程を目指す必要はありません。まずは「会社として守るべき最低限のルール」を決め、従業員に周知することが重要です。

 2. ID・パスワード・多要素認証 

チェックシートでは、ID管理やパスワード管理もよく確認されます。

特に重要なのは、管理者アカウントとクラウドサービスのログインです。Microsoft 365、Google Workspace、会計システム、オンラインストレージ、業務管理ツールなどは、IDとパスワードが漏れると外部から不正アクセスされる可能性があります。

まず取り組みたい対策は、多要素認証の有効化です。

多要素認証とは、パスワードだけでなく、スマートフォンへの通知や認証アプリなど、別の要素を組み合わせて本人確認を行う仕組みです。

すべてのシステムで一気に設定するのが難しい場合は、まず次のアカウントから優先しましょう。

また、退職者や異動者のアカウント削除も重要です。アカウント棚卸しを月1回、または四半期に1回行い、使われていないアカウントを削除するだけでもリスクを下げられます。

 3. 端末管理・ウイルス対策・EDR 

「業務で使用するPCを管理していますか」「ウイルス対策ソフトを導入していますか」といった項目もよくあります。

中小企業では、会社支給PCと私物PCが混在していたり、外出先から私物スマホでメールを確認していたりすることがあります。この場合、まず必要なのは「どの端末が会社情報にアクセスしているか」を把握することです。

端末管理では、次の点を確認します。

近年は、従来型のウイルス対策ソフトだけでなく、EDRのように端末上の不審な動きを検知する対策も重要になっています。ただし、ツールを導入するだけでは不十分です。アラートを誰が確認し、感染が疑われる端末を誰が切り離すのかまで決めておく必要があります。

（参考）EDRとは？ウイルス対策ソフトとの違いをわかりやすく解説｜中小企業のエンドポイント対策
（参考）中小企業のセキュリティ対策、結局どれを導入すべき？｜NGFW・EDR・NDR・XDR・SIEMの違いを解説

 4. メール・Webの入口対策 

サイバー攻撃の多くは、メールやWebサイトを入口に始まります。そのため、チェックシートでも「不審メール対策」「なりすましメール対策」「Webアクセス制御」などが確認されることがあります。

メール対策では、従業員への注意喚起だけでなく、仕組みとしての対策も必要です。
たとえば、SPF・DKIM・DMARCを設定することで、自社ドメインを悪用したなりすましメールへの対策になります。また、迷惑メールや添付ファイル、URLを検査するSEGのような仕組みも、入口対策として有効です。

Web対策では、危険なサイトへのアクセスを制限するSWGや、クラウド利用全体を管理するSASEのような考え方もあります。

中小企業では、まず「メールのなりすまし対策ができているか」「従業員が不審メールを受け取ったときの報告先が決まっているか」から確認するとよいでしょう。

（参考）DMARCとは？なりすましメール対策の基本を中小企業向けに解説
（参考）メールとWebが一番狙われる理由とは？中小企業がまず強化すべき「入口対策」

 5. クラウドサービス・BYOD・シャドーIT 

最近のチェックシートでは、クラウドサービスの利用状況も確認されることが増えています。

Microsoft 365、Google Workspace、Dropbox、Slack、Chatwork、オンラインストレージなど、クラウドサービスは中小企業でも日常的に使われています。一方で、誰がどのサービスを使っているか、どの情報が保存されているかを把握できていない企業も少なくありません。

特に注意したいのが、BYODとシャドーITです。
BYODは私物端末の業務利用、シャドーITは会社が許可・把握していないITツールが業務に使われている状態を指します。

チェックシートで「クラウドサービスの利用ルールはありますか」「私物端末の業務利用を管理していますか」と聞かれた場合、単に「使っていない」と答えるのではなく、実態を確認する必要があります。

従業員が個人のGoogle Driveや個人メールに業務資料を送っていないか。私物スマホで会社メールを見ていないか。退職時にクラウドサービスのアクセス権を削除できているか。
こうした点を整理することが、クラウド時代のチェックシート対応では重要です。

（参考）BYOD対策とは？私物スマホ・私物PCの業務利用をどこまで認めるべきか
（参考）クラウド利用が増えた企業が見落とすリスクとは？｜CASB・CSPM入門

 6. バックアップと復旧 

「重要データのバックアップを取得していますか」という質問は、ほぼ必ず出てくる項目です。

ただし、ここで重要なのは「バックアップを取っているか」だけではありません。
本当に確認すべきなのは、いざというときに復旧できるかです。

たとえば、バックアップ先が社内ネットワークに常時接続されている場合、ランサムウェア感染時にバックアップまで暗号化される可能性があります。また、バックアップはあるものの、復元テストを一度もしていなければ、実際に復旧できるか分かりません。

中小企業が確認したいポイントは次の通りです。

バックアップは、セキュリティ対策であると同時にBCP、つまり事業継続の対策でもあります。チェックシート対応を機に、単なるデータ保存ではなく「業務を止めないための復旧計画」として見直すことが重要です。

（参考）バックアップがあっても安心できない？｜破壊されるバックアップと対策の考え方

 7. インシデント対応・連絡体制 

チェックシートでは、「情報漏えいやサイバー攻撃が発生した場合の対応手順がありますか」と聞かれることがあります。

中小企業では、実際に事故が起きたときの対応が属人的になりがちです。
「社長に連絡する」「詳しい人に聞く」だけでは、初動が遅れる可能性があります。

最低限、次のことは決めておきましょう。

インシデント対応は、起きてから考えるものではありません。事前に連絡先と役割を決めておくだけでも、被害拡大を防ぎやすくなります。

（参考）検知しても対応できない企業の現実｜SOARとは？インシデント対応とセキュリティ自動化を解説
（参考）SOCとは？中小企業に監視体制は必要か｜SIEM・MDRとの違いも解説

 8．社員へのセキュリティ教育 

「年に1回以上、情報セキュリティに関する研修を行っているか」という項目もよくあります。

「研修なんて大層なものはできない」と思いがちですが、IPA（独立行政法人情報処理推進機構）などが無料公開している「中小企業向けセキュリティガイドブック」を社員に配布し、「読みました」というサイン（またはGoogleフォーム等での確認）を回収するだけでも、立派な「教育実績」になります。

出典：（IPA）中小企業の情報セキュリティ対策ガイドライン
　　　　　∟中小企業の情報セキュリティ対策ガイドライン第4.0版

 できていない項目は「未対応」で終わらせない 

チェックシートで評価が低い項目があった場合、重要なのは「できていない」と認めたうえで、次のアクションを示すことです。

たとえば、次のように整理できます。

このように、未対応項目を「改善計画」に変えることで、取引先にも説明しやすくなります。

逆に避けたいのは、実態がないのに「対応済み」と回答することです。
チェックシートは契約や取引条件に関わることもあるため、実態と異なる回答は後々大きな問題になる可能性があります。

 中小企業はどこから優先すべきか 

すべての項目を一度に改善するのは難しいため、優先順位を付けることが大切です。

まずは、次の5つを優先するとよいでしょう。

これらは、比較的取り組みやすく、取引先からも確認されやすい項目です。
まずは「守るべき情報がどこにあり、誰がアクセスでき、事故が起きたときにどう対応するか」を整理することから始めましょう。

 まとめ｜チェックシート対応は、自社の守りを見直すチャンス 

大手企業からのセキュリティチェックシートは、中小企業にとって負担に感じるものです。
しかし、見方を変えれば、自社のセキュリティ体制を整理する良い機会でもあります。

チェックシート対応で大切なのは、すべての項目に無理に「はい」と回答することではありません。
現状を正しく把握し、できていない項目を明確にし、優先順位を付けて改善していくことです。

中小企業に必要なのは、いきなり高度なセキュリティ体制を作ることではなく、まず説明できる状態を作ることです。
どの情報を守るのか。誰がアクセスできるのか。どの端末から利用しているのか。バックアップは復旧できるのか。事故が起きたら誰に連絡するのか。

こうした基本を一つずつ整えることが、取引先からの信頼につながり、結果として自社を守ることにもつながります。

セキュリティチェックシートにどう回答すればよいか分からない、評価が低い項目をどう改善すればよいか分からない、という企業様は、まず自社の現状整理から始めてみてください。

LYSTでは、中小企業の実情に合わせて、セキュリティチェックシート対応、現状診断、改善項目の整理、クラウド・端末・メール・バックアップ対策の見直しを支援しています。
「何から手を付ければよいか分からない」という段階からでも、お気軽にご相談ください。