セキュリティ自給率とは、総務省所管の国立研究開発法人傘下組織「CYNEX」が提唱する概念で、国内で使用されているサイバーセキュリティ製品・サービスのうち、国産の割合を示したものだ。明確な数字の算出は難しいが「CYNEX」の分析によると、日本のセキュリティ自給率は10％以下とも推測されており、これはアメリカや韓国などの先進国に比べても非常に低い水準であるという。

また、総務省が発表した「令和6年度版情報通信白書」によると、2022年の国内における情報セキュリティ製品市場シェア（売上高）は、約57％を外資系企業が占める結果になっている。

製品やサービスの種類によっても偏りが大きく、2022年に日経NETWORKが国内企業に対して行った「ネットワーク機器利用実態調査2022」の内容によると、UTM（統合脅威管理）製品に関しては、1位から5位までを外資系企業が独占し、合計シェア率は88％を超えているのが現状だ。

なぜ、国内のセキュリティ製品は海外企業に依存する状況になったのだろうか。前述した CYNEXが2020年に発表した資料では、国内業界において「データ負けのスパイラル」が起きていることを原因の一つとしている。

1990年代初頭のバブル崩壊以降の「失われた30年」で、日本ではセキュリティ分野が利益を生まないと判断されていたのに対し、海外では着々と研究開発と製品の普及が進み、蓄積されたデータが次世代のセキュリティ製品の開発を下支えするという流れがあったと指摘されている。

結果的に国産製品よりも海外の先進的な製品を使わざるを得なくなり、これによりデータを蓄積することもできなくなった。この繰り返しによる「負のスパイラル」がセキュリティ領域における外資系企業への依存を強めたと結論付けている。

データ負けのスパイラルを脱し、セキュリティ自給率を上げるためには、「データの集約・蓄積」「データの定常的・組織的な分析」「データによる国産製品の運用・検証」「データで脅威情報を生成・共有」といった仕組みを構築することが必要だとされている。また、これらの仕組みを各企業が個々で取り組むのではなく、共通の目標を持って産官学で連携をして仕組み作りの土台を作り、人材育成をオープン化することも重要だ。

これらのポイントを踏まえ、CYNEXの主導で国内セキュリティ自給率を上げるためのプロジェクトが既に始まっている。プロジェクトの主な活動とその目標について、以下で説明したい。

セキュリティ検証環境のバックアップ

2020年時点で五つの企業が参画しているとあるプロジェクトでは、国産セキュリティ製品の実用化支援が行われている。同プロジェクトはセキュリティ製品の検証を中心としたもので、機器やクラウドでの検証環境の構築に必要な要素をCYNEXが提供し、長期的なデータ収集とその高度化を実現している。また、セキュリティ製品に対し専門のチームがサイバー攻撃を擬似的に行う検証も重ねているという。

このような検証はこれまで国内ITメーカーでも行われてきたが、企業内の部門間でデータ取得の調整が困難であるほか、企業内でノウハウの蓄積がないために検証が進まない実情があった。しかし、CYNEX主導でプロジェクトが始まったことにより、これらの問題を回避しつつ、質の高いフィードバックが可能になったと報告されている。

教育プログラムのオープン化で広く人材を強化

2020年時点で34の組織が参画しているとあるプロジェクトでは、国内セキュリティ人材育成事業の活性化プログラムが実施されている。このプロジェクトは、サイバーセキュリティ演習に不可欠な環境と教材をオープン化し、また産官学のニーズに合わせてその内容を整備する試みだ。

同プロジェクトのプログラムは東京2020オリンピック・パラリンピックのセキュリティ担当者を対象としたトレーニングなどで実施されており、今後も広く活用されることを目的に利用のハードルをより下げた形で提供される予定である。

アメリカなどのセキュリティ先進国では、セキュリティ関連資格に対するジョブオープンリストがWeb公開されているように、今後日本でも必要な人材やトレーニングを管理できる基盤を構築することが計画されている。

食料自給率の低下が食料安全保障や農業競争力の低下の原因になり得るように、セキュリティ自給率の低下も日本のIT業界全体における重大な問題になり得る。ベンダーが企業にセキュリティ製品やサービスを提案する際、国産であることをアピールし積極的に売り込むことは、国内IT全体の利益につながることだろう。負のスパイラル脱出に向け、貢献できるポイントに注目したい。