2026年度末、経済産業省による「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の申請受付が始まる。取引先のセキュリティ対策状況を可視化するこの制度において、注目を集めているのが「EDI」だ。受発注や出荷といった取引データが社外とやり取りされるEDIは、サプライチェーンの要でありながら、長年の運用の中で属人化やブラックボックス化が進みやすい領域でもある。

キヤノンITソリューションズでEDIソリューション事業を統括する津田智氏と、クラウドEDIサービス「EDI-Master Cloud」を企画した綿貫聡氏に、SCS評価制度がEDI運用にもたらすインパクトと、対応の"勘所"を聞いた。

  • 取材に参加していただいたキヤノンITソリューションズの担当者2名の写真

    (左)セキュリティソリューション事業部 EDIソリューション営業本部 EDIソリューション事業企画部 部長 津田 智 氏
    (右)セキュリティソリューション事業部 EDIソリューション営業本部 EDIソリューション事業企画部 事業企画第一課 綿貫 聡 氏

なぜいま、EDIがセキュリティの焦点になるのか ?

取引先を経由したサイバー攻撃が相次いでいる。一社のセキュリティのほころびが、サプライチェーン全体に広がり、事業停止といった深刻な影響を及ぼすケースも現実のものとなってきた。しかし、取引先のセキュリティ対策状況を外部から正確に把握するのは容易ではない。この不透明さが、企業のリスク管理を難しくしている。

こうした課題に対し、経済産業省が打ち出したのが「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」だ。企業のセキュリティ対策を段階的に評価する枠組みで、2026年度末には、まず「★3(最低限)」と「★4(標準)」の申請受付が始まる見通しとなっている。

今後は、取引契約において、セキュリティ対策段階の提示が求められるようになっていくだろう。セキュリティ対策が「取引の前提条件」になっていく時代が、すぐそこまで来ている。

キヤノンITソリューションズでSCS評価制度がEDIに与える影響を分析してきた綿貫聡氏は、制度の本質をこう語る。

「SCS評価制度は、事故が起きないようにどのような対策をしているのかを細かくチェックする制度ではありません。『自社だけでなくサプライチェーン全体への影響を意識しているか?』『業務が止まった場合のリスクにどう備えているか?』といった、リスクへの"考え方"を問う制度です」(綿貫氏)

  • セキュリティソリューション事業部 EDIソリューション営業本部 EDIソリューション事業企画部 事業企画第一課 綿貫 聡 氏の写真

    セキュリティソリューション事業部 EDIソリューション営業本部 EDIソリューション事業企画部 事業企画第一課 綿貫 聡 氏

さらに綿貫氏は、SCS評価制度へ対応していく上で、企業間取引をデータ上で行う「EDI」が、避けて通れない領域になると続ける。

「EDIには、受発注・出荷・請求といった、"サプライチェーンの情報そのもの"が流れています。もしEDIが停止すれば、受発注が滞り、出荷が遅延し、影響は取引先へ、さらにその先へと波及します。SCS評価制度は特定のシステムを見るものではありませんが、影響度という観点で、EDIは極めて注目されやすい領域なんです」(綿貫氏)

事実、キヤノンITソリューションズが2026年3月から4月にかけて複数回開催した、SCS評価制度とEDIに関するオンラインセミナーには想定を上回る多くの参加者が集まったという。いま、製造業・流通業を中心に、EDIを見直す関心が着実に高まっている。

古いシステムであるがゆえの"盲点"

それでは、実際にEDIを運用している現場は、どのような課題を抱えているのだろうか? キヤノンITソリューションズにてEDIソリューション事業を統括する津田智氏は、EDIの構造的な特性に目を向ける。

「EDIの特徴は、取引先とデータの形式をいったん取り決めてしまえば、3年、5年と変わらずに動かせるところにあります。しかし、長年運用できてしまうゆえに、担当者が代わり、仕組みの本質を理解している人がいなくなってしまう。そうなると、問題が起きたとき、パニックになってしまうのです」(津田氏)

  • セキュリティソリューション事業部 EDIソリューション営業本部 EDIソリューション事業企画部 部長 津田 智氏の写真

    セキュリティソリューション事業部 EDIソリューション営業本部 EDIソリューション事業企画部 部長 津田 智氏

いちど構築すれば安定して稼働するというEDIの利点が、逆に、運用を見直す機会を奪ってしまっているのだ。EDIが本格普及してから、すでに40年以上が経過している。綿貫氏は、その長い年数もリスク要因になっていると補足する。

「EDIは非常に古くからあるシステムなので、どうしても"盲点"になりやすいんです。だからこそ、SCS評価制度をきっかけに運用を見直すことには、大きな意義があると思います」(綿貫氏)

SCS評価制度の★4段階が問うのは、セキュリティ対策の有無だけでなく、「その運用体制を第三者に説明できるかどうか?」だ。マニュアルは更新されているか。障害時の対応手順は組織として共有されているか。運用体制は整っているのか。年商規模が大きく、取引先との関係性が複雑な企業ほど、「説明できない状態」そのものが、事業上のリスクになりかねない。文書の確認にとどまらず、ヒアリングや設定画面の確認まで踏み込んで審査される。

「『10年前につくったマニュアルならあるんだけど……』という状況の企業も少なくないのではないでしょうか。SCS評価制度は、業務の棚卸しをするいい機会になるはずです」(津田氏)

説明責任を"切り分ける"という発想

SCS評価制度の★4段階では、EDIにトラブルが起きたとき「なぜ起きたのか」「どう復旧するのか」「再発をどう防ぐのか」を第三者に説明できる体制が求められる。もし、オンプレミスのEDIを運用しているなら、構築から障害対応まで、すべての説明責任を自社が負うことになる。

運用負荷に加え、近年は半導体不足によるサーバー調達の難しさもあり、EDI基盤をクラウドへ移行する企業が増えていると津田氏は言う。

「オンプレミスからクラウドに移行する企業のニーズの大半は、『基盤運用を手放したい』ということです。クラウドEDIであれば基盤運用はサービス事業者が担うため、"ここからは事業者側"と、責任の切り分けができます。SCS評価制度対応もしやすくなる、というわけです」(津田氏)

こうした背景の中、キヤノンITソリューションズが提供する「EDI-Master Cloud」が、SCS評価制度時代のEDI基盤として注目を集めている。EDI製品には40年以上の実績を持つ同社が、クラウドネイティブで設計した次世代EDIサービスだ。

EDI-Master Cloudの最大の特徴は、「マイクロサービスアーキテクチャ」の採用にある。従来のシステム構築は「モノリス(一枚岩)型」であり、一つの機能に不具合が生じると全体に影響が及んでしまう。しかし、マイクロサービスアーキテクチャは機能ごとに独立してシステムを構成するため、障害の影響を局所化できるのだ。

「EDIは基幹系に近い重要なシステムなので、可用性を高めるためにこのアーキテクチャを採用しました。実際にサービス開始以降、お客様の業務を止めることなく安定した運用を実現しています」(綿貫氏)

また、セキュリティ面では、クラウドサービス特有のセキュリティリスクに対処するための国際的なガイドライン規格「ISMS認証(ISO/IEC 27017)」を取得している点が大きな強みだ。

「この認証を取得しているのは、EDIベンダーとして大きな差別化だと認識しています。さらに、毎月、セキュリティパッチを適用するアップデートサイクルも確立していますから、脆弱性が発見された際も迅速に対応できます」(綿貫氏)

EDIをクラウドに移行することで、脆弱性管理やバックアップ、冗長化構成といったセキュリティの基盤部分をサービス側に委ねることが可能となる。SCS評価制度で問われる「説明可能性(自社がどこまでを担い、事業者側がどこを担保しているかの切り分け)」を明確にできる点は、評価対応を進めるうえで大きなアドバンテージとなるだろう。

  • EDI-Master Cloudで実現するセキュリティ強化のイメージ図

    EDI-Master Cloudで実現するセキュリティ強化

もちろんEDI-Master Cloudの導入は、評価制度への対応だけにとどまらない。津田氏は、その本質的な価値を語る。

「そもそも、お客様に提供すべき価値は、単なる受注対応そのものではなく、受注業務を高度化し、効率的に運用することにあります。自社は、本来であれば受注処理の迅速化や顧客対応の質向上、在庫・納期の最適化といった付加価値の創出に注力すべきであり、『システムが止まった』『挙動がおかしい』といったIT起因の課題に時間を割くべきではありません。IT運用は専門領域としてプロに委ね、自社は本来のコア業務に集中する。近年はDXの進展もあり、こうした役割分担を前提とした考え方が主流になりつつあります。 」(津田氏)

EDI運用の見直しは、今日から始められる

SCS評価制度への対応を考え始めた企業は、EDI運用について、まず何から手をつけるべきだろうか? 津田氏、綿貫氏の両名は、「"EDI運用を見直そう"と決めた初日にできること」について、それぞれこう答えた。

「いきなり完璧な対応を目指す必要はありません。まずはEDI運用の現状を把握しましょう」(津田氏)

「チェックリストを用意していますから、一つずつ上から順に書き出していってください。何ができていて、何ができていないのか。できていないことが分かるだけでも一歩前進です」(綿貫氏)

  • EDIセキュリティ対応の6つのポイントをスライドにまとめた画像

    EDIセキュリティ対応の6つのポイント

さらに、キヤノンITソリューションズでは、SCS評価制度対応版の「セキュリティ対策診断サービス」も提供している。専任エンジニアが企業のセキュリティ対策状況を細かく診断し、★3・★4の基準で現状を可視化するサービスだ。こちらも近年は依頼が急増しているという。

最後に、SCS評価制度への対応とEDI運用の見直しについて、二人に読者へのメッセージを聞いた。

「"お上に言われたから仕方なくやる"のではなく、事業基盤を見直すチャンスだと捉えて欲しいと思います。自分たちにフィットする基盤を再検討することは、将来の"価値"に繋がります」(津田氏)

「"EDI基盤を自社で抱える"ことがお客様の負担になっているという声をあちこちで聞いてきました。その負担から解放してあげたいという思いから、新サービスとしてEDI-Master Cloudを企画したんです。EDIはとても重要なものだけど、インフラとして普段は意識しなくていいもの。それが理想の姿だと思っています。SCS評価制度が、そうしたEDIの世界に気づく第一歩になれば嬉しいですね」(綿貫氏)

SCS評価制度は、EDIという"当たり前のインフラ"を見つめ直す契機でもある。自社のEDI運用は、いま第三者に説明できる状態にあるだろうか? その問いに向き合うことが、サプライチェーン全体の信頼性を高める第一歩となる。

セキュリティ対策診断サービスはこちら

クラウドネイティブな次世代EDIサービス「EDI-Master Cloud」

関連リンク

お問い合わせ

[PR]提供:キヤノンITソリューションズ