「国産だから安心」はもう通用しない? セキュリティ新基準「日本度」の詳細を深掘り58社・55製品が参加表明

「国産セキュリティ製品」とは何を意味するのか。日本サイバーセキュリティ産業振興コミュニティは、その曖昧な概念を「国内自律性」という観点から評価する新指標「日本度」を公開した。ただ、自己申告をベースとした制度には透明性など今後の課題もある。評価の狙いと実効性を探る。

» 2026年07月16日 07時00分 公開
[田渕聖人@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 「国産セキュリティ製品」と聞いて、何を思い浮かべるだろうか。本社が日本にある企業なのか、それとも日本で開発された製品なのか。これまで業界では「国産」という言葉が明確な定義を持たないまま使われてきた。

 こうした状況に一石を投じる取り組みとして、日本サイバーセキュリティ産業振興コミュニティ(NCPC)は2026年7月9日、新たなセキュリティ評価指標「日本度」を公表した。現在は58社・55製品(本稿作成時点)のスコアを公開しており、製品の技術力ではなく、日本国内でどこまで統制・運用できるかという「国内自律性」を可視化することを目的としている。

現段階で参加している一部企業の日本度。複数の指標を基に、2580点満点で評価するという(出典:NCPC発表資料)

 一方で、現時点の評価は企業によるセルフアセスメント(自己申告)がベースであり、採点ロジックも公開されていない。日本度が今後、製品選定の新たな指標として定着するためには、透明性や客観性の確保も課題となる。

 本稿では、発表会および質疑応答の内容を基に、日本度が目指すものとその可能性、制度としての課題を整理する。

「国産」の正体を初めて数値化 その背景や有効性を読み解く

NCPC代表の萩原健太氏(筆者撮影)

 NCPC代表の萩原健太氏は「これまで誰も『国産』を明確に定義してこなかった」と説明する。

 萩原氏によると、近年は経済安全保障や能動的サイバー防御、ソフトウェアサプライチェーン対策などを背景に「どこの企業が作ったか」だけではなく、「国内でどこまで管理・統制できるか」が重要になっているという。

 特に現在のソフトウェア開発ではOSS(オープンソースソフトウェア)や海外クラウドの利用が一般的であり、「純粋な国産ソフトウェア」を定義することは現実的ではない。萩原氏は「重要なのはどこで開発したかではなく、日本側が管理・制御できるかというガバナンスだ」と説明した。

 海外製サービスへの依存が高まる中、重大インシデントなどの有事では、日本法人だけでは判断できず、本国の回答やログ提供を待たなければならないケースもある。NCPCはこうした状況も「国内自律性」の課題と位置付けている。

 NCPCの特徴の一つが、参加条件として「サイバー犯罪に関する条約(ブダペスト条約)」の批准国に本社を置く企業・団体であることを求めている点だ。同条約は、コンピュータネットワークやインターネットを悪用した犯罪に対処するため、欧州評議会(Council of Europe)によって策定されたもので、日本も批准国だ。

NCPC会員はブダペスト条約の批准国に本社を置いていることが条件になる(出典:NCPC発表資料)

 萩原氏は「サイバー犯罪対策では、情報共有できる信頼関係が前提になる。批准国を条件とするのは当然の考え方だ」と説明する。

 この考え方は日本度の評価にも反映されている。例えば、データセンターが国内にあるのか、ブダペスト条約批准国にあるのか、それとも非批准国にあるのかでは、法制度や情報共有の前提が異なる。NCPCでは、こうした違いを国内自律性という観点からスコアに反映しているという。

評価するのは“技術力”ではない? 点数が高くても優れた製品とは限らないワケ

 ただ、日本度は製品の性能やセキュリティレベルを単に評価する制度ではない。萩原氏も発表の中で「満点を取る制度でも、製品の技術的な良さを示す制度でもない」と繰り返し強調している。

 評価対象は国内でどこまで統制できるかというガバナンスである。スコアは5つのカテゴリー(各500点)に、実績などを評価する加点(80点)を加えた最大2580点で構成される。評価項目は以下の5つだ。

  • 企業の属性と信頼性
  • ガバナンス
  • SDLC(セキュア開発ライフサイクル)の自律性
  • インフラとデータの統制
  • 緊急対応・インシデント管理
日本度は5つのカテゴリーで国内自律性を評価する(出典:NCPC発表資料)

 例えば、知的財産権が日本にあるかどうか、日本法を準拠法としているかどうか、国内で脆弱(ぜいじゃく)性修正やパッチ公開の判断ができるかどうか、インシデント発生時に国内だけで初動対応を完結できるかどうかといった点が評価対象となる。

 この他、利用実績や導入社数も加点対象となるが、スタートアップ企業への配慮から比重は限定的としているという。萩原氏は「『政府情報システムのためのセキュリティ評価制度』(ISMAP)取得には数千万円規模のコストがかかるケースもある。実績が少ないスタートアップでも信頼性を示せる仕組みにしたかった」と説明した。

 興味深いのは、NCPC自身が「何点以上なら国産」といった基準を設けていない点だ。質疑応答では、「2000点以上なら国産と呼べるのか」といった質問も寄せられたが、萩原氏は、「何点以上が国産という基準は設けない。点数だけが独り歩きしてしまう恐れがある」と答えた。

 例えば、海外で高度な開発体制を構築している製品が、日本度では低い評価になる可能性もある。一方、日本度が高いからといって、技術的に優れた製品であることを保証するものでもない。

 あくまで国内でどこまでガバナンスが効くかを可視化する指標として活用してほしいというのがNCPCの考えだという。

 この他、発表で強調されたのは、日本度が外資系ベンダーを排除する制度ではないという点だ。萩原氏は「日本市場へのコミットメントを強めればスコアは上がる」と話す。

日本度が外資系ベンダーを排除する制度ではない(出典:NCPC発表資料)

 日本に開発拠点やサポート拠点を設置し、日本法人が運用や障害対応、製品判断まで担える体制を整えれば、日本度は向上する設計となっている。ただ、日本企業であっても、開発や運用、データ管理を海外に大きく依存していれば、高い評価は得られない。つまり評価対象は企業の国籍ではなく、国内から実質的なガバナンスが効くかどうかという点にある。

日本度のスコアは本当に信用できるのか? 最大の課題とは

 発表会後半の質疑応答では、制度そのものに関する質問が相次いだ。その中でも議論となったのが評価の透明性だ。先述の通り、日本度は現在、企業によるセルフアセスメントをベースとしており、採点ロジックの詳細も公開されていない。さらに、NCPCはスポンサー企業からの協賛を受けて運営されている。

 こうした状況について、スポンサー企業が有利になる可能性や、公平性をどのように担保するのかとの質問が寄せられた。

 萩原氏は「スポンサーだからスコアが高くなることは絶対にない」と否定した上で、現状はセキュリティ業界で長年活動してきたボードメンバーが各社の申告内容を確認し、不自然な内容があれば差し戻しや確認をする体制だと説明した。

 「本来であれば第三者監査や現地調査まで実施したいが、現状は手弁当で運営している。将来的には国との連携や外部監査も含め、より客観的な制度へと発展させたい」(萩原氏)

 一方、現段階では評価結果に対する責任は各企業が負う。

 萩原氏は「虚偽の申告があれば、その責任は企業側にある」と話す。さらにソフトウェアは継続的にアップデートされることから、日本度も固定的な評価ではなく、機能追加や体制変更などに応じてスコアが上下する可能性があるとしている。

 もう一つ議論となったのが、「日本度」という名称だった。

 質疑応答では、「排外主義的な印象を与えかねない」「サイバー国内自給率などの表現の方が適切ではないか」といった意見も出た。これに対し萩原氏は、当初は「国産」や「純国産」といった名称も検討したものの、より排他的な印象を与える可能性があることから採用を見送ったと説明した。

 一方、「国内自給率」という表現も候補に挙がったが、「日本のデジタル産業の現状を踏まえ、短く印象に残る名称を目指した結果、『日本度』に落ち着いた」と背景を明かした。

 この他、制度設計そのものへの質問だけでなく「日本度が高くても、製品として脆弱性が多ければ意味がないのではないか」という指摘もあった。

 萩原氏もこの点は今後の課題として認識している。現時点の日本度は国内自律性を評価する制度であり、製品の品質や安全性そのものを評価するものではない。一方で将来的には、コミュニティー内でNDA(秘密保持契約)を締結した上で、SCA(ソフトウェア構成分析)やSBOM(ソフトウェア部品表)、ソースコード解析などの情報共有を進め、製品品質そのものの向上にもつなげたい考えを示した。

「一社では勝てない」――日本度が描く次の一手

 発表会の最後に萩原氏は、「一社では勝てない」と危機感を示した。

 米国の巨大IT企業1社が投じる研究開発費は、日本政府のサイバーセキュリティ関連予算全体に匹敵する規模だという。こうした状況では、日本企業が個社で競争することは難しい。

 そこで日本の法制度への理解、日本語サポート、運用・監視体制、SIerによるインテグレーションなど、日本企業が持つ強みを組み合わせて競争力を高めることが重要になるという。

 発表会自体も、Skyが会場を提供し、MOTEXが司会を務めるという、競合企業同士による協力体制で開催された。萩原氏は、こうした連携そのものが、日本全体の競争力を高める第一歩になるとの考えを示した。

 また、日本度は国内だけでなくASEAN(東南アジア諸国連合)市場も視野に入れている。

 萩原氏は米中対立や地政学リスクを背景に、日本企業や日本製サービスへの期待がASEAN地域で高まっているとの認識を示し、日本市場で培ったガバナンスや品質を海外展開につなげたい考えも明らかにした。

 今後は、現在の製品中心の評価対象をSOC(セキュリティオペレーションセンター)や教育サービスなど人的・組織的サービスにも広げる方針だ。2026年度中を目標に、新たな評価基準の整備を進めるとしている。

日本度が今後予定しているより信頼性を高める取り組み(出典:NCPC発表資料)

日本度は“新たなモノサシ”になれるか

 これまで、日本のセキュリティ業界では「国産」という言葉が明確な定義を持たないまま使われてきた。

 日本度は、その曖昧(あいまい)さを国内自律性という観点から可視化しようとする初めての試みと言える。

 一方で、現状はセルフアセスメントを前提としており、採点ロジックも非公開だ。NCPC自身も、現時点では完成した制度ではなく、今後も改善を重ねる考えを示している。情勢の変化を受け、ソフトウェアの開発元だけでなく、「国内でどこまで統制できるか」を重視する考え方は今後さらに注目される可能性がある。

 その一方で、日本度が製品選定の判断材料として広く受け入れられるためには、評価基準の透明性や第三者による検証体制をどこまで整備できるかが重要になる。制度の理念だけでなく、その信頼性をどう高めていくのか――今後の取り組みが日本度の価値を左右することになりそうだ。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

その「AIコーディング」は本当に必要か?
Microsoft & Windows最前線2026
4AI by @IT - AIを作り、動かし、守り、生かす
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。