検索
ニュース

その製品、本当に"国産"? セキュリティ製品を評価する新指標「日本度」が始動名乗るだけでは不十分

国産セキュリティ製品とは、条件をどこまで満たせば「国産」と言えるのか。日本サイバーセキュリティ産業振興コミュニティは、製品やサービスが国内でどの程度自律的に運用・統制・継続・保護できるかを評価する新指標「日本度」の概要を公開した。一体これはどのようなものか。

Share
Tweet
LINE
Hatena

 「国産」と呼ばれるセキュリティ製品やサービスは、何を基準に判断すればよいのか。

 日本サイバーセキュリティ産業振興コミュニティ(以下、NCPC)は2026年6月24日、公式Webサイトをプレオープンするとともに、製品やサービスが日本国内を主体として、どの程度自律的に運用・統制・継続・保護できるかを評価する指標「日本度」の概要を公開した。地政学リスクや経済安全保障への関心が高まる中、「国産」を定量的に評価する新たな考え方として注目を集めそうだ。

「国産」の曖昧さを解消へ NCPCが打ち出した「日本度」とは?

 NCPCは2025年12月に設立されたコミュニティーで、日本のサイバーセキュリティ産業の振興と経済安全保障の強化を目的に活動している。会員企業やベンダー、有識者らが連携し、情報共有や政策提言に加え、セキュリティ製品・サービスの評価指標や情報整理の枠組みづくりを進めている。

 NCPC設立の背景には、サイバー攻撃の高度化や国内組織を狙うインシデントの増加に加え、日本のデジタル分野における海外依存の拡大があるという。

 経済産業省は2025年3月に「サイバーセキュリティ産業振興戦略」を公表し、国内セキュリティ産業の競争力強化や経済安全保障の確保を重要施策として掲げた。能動的サイバー防御関連法の整備や「セキュリティ・クリアランス制度」の開始など、日本企業を取り巻く制度環境も大きく変化している。

 NCPCはこうした流れを踏まえ、「なぜ、今国産なのか」を問題提起する。AIやIT、セキュリティ分野ではデジタル貿易赤字が拡大し、海外製品への依存が続いていることから、国内で自律的に運用・保護できる体制の重要性が高まっているという。

 これまでも「国産製品」という表現は使われてきたが、その定義は必ずしも明確ではなかった。開発拠点が国内にあることを重視するケースもあれば、日本企業が提供していることを指す場合もあり、製品選定時の判断基準は企業ごとに異なっていた。

 NCPCは、こうした曖昧さを解消するため、「日本製」かどうかではなく、日本の法制度や統制の下で、どの程度自律的に運用・保護できる体制を備えているかを評価する考え方を提示した。

 評価対象は拠点所在地だけではなく、運用体制や管理体制、供給体制などを含めた実質的な国内自律性を評価するとしている。

 「日本度」の評価設計は以下の4つの考え方で構成される。

  • 企業の所在地ではなく、国内で意思決定や管理、運用を実行する体制を重視する
  • 評価項目ごとの重要度をスコアに反映する
  • 国内での対応能力に加え、データやインフラなど基盤の統制状況も評価対象とする
  • 地政学リスクを考慮するとともに、既存の認証制度や評価制度も活用する

 スコアリングはNCPC会員企業が登録する製品・サービスを対象に実施し、企業や組織が製品・サービスを比較・選定する際の参考指標として活用することを目指す。評価方法や運用ルールなどの詳細は、今後順次公開される見通しだ。

〜記者の目:ニュースをちょっと深掘り〜

「日本度」が興味深いのは、「国産か海外製か」という二元論から一歩踏み込み、「国内自律性」を評価軸として持ち込もうとしている点だ。経済安全保障やデータ主権への関心が高まり、「日本企業だから安全」「海外企業だから危険」といった単純な議論では製品を評価できなくなっている。

 一方で「日本度」が実際に普及するかどうかは、評価の透明性と客観性にかかっている。現時点で公開されている情報では、評価項目や採点方法の詳細、第三者性の担保などは明らかになっていない。また、評価対象が会員企業の登録製品である点についても、「業界団体による自己評価」と受け取られない仕組みづくりが求められるだろう。

 ただ、企業の調達部門や情報システム部門が「国内で継続的に運用・保護できるかどうか」を客観的に比較できる指標は、これまでほとんど存在しなかった。経済安全保障やサプライチェーンリスクへの対応が企業経営の重要課題となる中、「日本度」が調達や製品評価の新たな物差しとして定着するか。今後が期待される。(田渕聖人)


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る