その製品、本当に"国産"? セキュリティ製品を評価する新指標「日本度」が始動:名乗るだけでは不十分
国産セキュリティ製品とは、条件をどこまで満たせば「国産」と言えるのか。日本サイバーセキュリティ産業振興コミュニティは、製品やサービスが国内でどの程度自律的に運用・統制・継続・保護できるかを評価する新指標「日本度」の概要を公開した。一体これはどのようなものか。
「国産」と呼ばれるセキュリティ製品やサービスは、何を基準に判断すればよいのか。
日本サイバーセキュリティ産業振興コミュニティ(以下、NCPC)は2026年6月24日、公式Webサイトをプレオープンするとともに、製品やサービスが日本国内を主体として、どの程度自律的に運用・統制・継続・保護できるかを評価する指標「日本度」の概要を公開した。地政学リスクや経済安全保障への関心が高まる中、「国産」を定量的に評価する新たな考え方として注目を集めそうだ。
「国産」の曖昧さを解消へ NCPCが打ち出した「日本度」とは?
NCPCは2025年12月に設立されたコミュニティーで、日本のサイバーセキュリティ産業の振興と経済安全保障の強化を目的に活動している。会員企業やベンダー、有識者らが連携し、情報共有や政策提言に加え、セキュリティ製品・サービスの評価指標や情報整理の枠組みづくりを進めている。
NCPC設立の背景には、サイバー攻撃の高度化や国内組織を狙うインシデントの増加に加え、日本のデジタル分野における海外依存の拡大があるという。
経済産業省は2025年3月に「サイバーセキュリティ産業振興戦略」を公表し、国内セキュリティ産業の競争力強化や経済安全保障の確保を重要施策として掲げた。能動的サイバー防御関連法の整備や「セキュリティ・クリアランス制度」の開始など、日本企業を取り巻く制度環境も大きく変化している。
NCPCはこうした流れを踏まえ、「なぜ、今国産なのか」を問題提起する。AIやIT、セキュリティ分野ではデジタル貿易赤字が拡大し、海外製品への依存が続いていることから、国内で自律的に運用・保護できる体制の重要性が高まっているという。
これまでも「国産製品」という表現は使われてきたが、その定義は必ずしも明確ではなかった。開発拠点が国内にあることを重視するケースもあれば、日本企業が提供していることを指す場合もあり、製品選定時の判断基準は企業ごとに異なっていた。
NCPCは、こうした曖昧さを解消するため、「日本製」かどうかではなく、日本の法制度や統制の下で、どの程度自律的に運用・保護できる体制を備えているかを評価する考え方を提示した。
評価対象は拠点所在地だけではなく、運用体制や管理体制、供給体制などを含めた実質的な国内自律性を評価するとしている。
「日本度」の評価設計は以下の4つの考え方で構成される。
- 企業の所在地ではなく、国内で意思決定や管理、運用を実行する体制を重視する
- 評価項目ごとの重要度をスコアに反映する
- 国内での対応能力に加え、データやインフラなど基盤の統制状況も評価対象とする
- 地政学リスクを考慮するとともに、既存の認証制度や評価制度も活用する
スコアリングはNCPC会員企業が登録する製品・サービスを対象に実施し、企業や組織が製品・サービスを比較・選定する際の参考指標として活用することを目指す。評価方法や運用ルールなどの詳細は、今後順次公開される見通しだ。
〜記者の目:ニュースをちょっと深掘り〜
「日本度」が興味深いのは、「国産か海外製か」という二元論から一歩踏み込み、「国内自律性」を評価軸として持ち込もうとしている点だ。経済安全保障やデータ主権への関心が高まり、「日本企業だから安全」「海外企業だから危険」といった単純な議論では製品を評価できなくなっている。
一方で「日本度」が実際に普及するかどうかは、評価の透明性と客観性にかかっている。現時点で公開されている情報では、評価項目や採点方法の詳細、第三者性の担保などは明らかになっていない。また、評価対象が会員企業の登録製品である点についても、「業界団体による自己評価」と受け取られない仕組みづくりが求められるだろう。
ただ、企業の調達部門や情報システム部門が「国内で継続的に運用・保護できるかどうか」を客観的に比較できる指標は、これまでほとんど存在しなかった。経済安全保障やサプライチェーンリスクへの対応が企業経営の重要課題となる中、「日本度」が調達や製品評価の新たな物差しとして定着するか。今後が期待される。(田渕聖人)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
NIST、ついに“脆弱性の全件分析”を断念 CVE爆増でパンク状態、方針転換
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。
生成AIブームの反動? 「AIだけの脆弱性診断」を見限る企業が急増
「AIに脆弱性診断を任せれば、人手不足を補いながら効率良くセキュリティを強化できる」。ソフトバンクをはじめ国内でも複数の企業がAIによる脆弱性診断サービスの立ち上げを発表する中、そんな期待を裏切る調査結果が明らかになった。
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。
世界中のWebサーバが影響 Apacheが危険な脆弱性を一斉修正
Apache HTTP Serverに大規模な修正が入った。最新版ではHTTP/2処理をはじめ、プロキシやSSL、認証機能など広範囲に及ぶ脆弱性に対処している。サービス停止やメモリ破壊につながる恐れがある問題も含まれていたため急ぎ修正してほしい。