情報セキュリティ

「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた試行環境調査」報告書について

最終更新日:2022年4月28日

独立行政法人情報処理推進機構
セキュリティセンター

報告書の概要

市場に流通しているセキュリティ製品・サービスは、中小企業から見て過度に高機能、運用コストが高い等、中小企業のニーズにマッチしていないとの声があり、また、中小企業にも導入できる製品・サービスであっても、導入効果等に関する理解を得られていないため、中小企業に使われていないケースもあることから、中小企業でも扱いやすい製品・サービス選びの一助となる情報を提供するプラットフォーム(以下、「中小基盤」という。)の検討が進められています。
このような状況を踏まえ、IPAでは中小基盤に関して、令和元年度において「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた実現可能性調査(以下「実現可能性調査」という。)を実施し、中小企業が製品・サービスを選ぶ際に参考となる評価項目を作成、中小企業のユーザー実証により、評価項目の有効性を検証しました。また、令和2年度において「中小企業向け情報提供プラットフォームの在り方に関するニーズ調査(以下「ニーズ調査」という。)を実施し、中小企業へのアンケート調査並びに製品・サービスベンダーへのヒアリング調査を実施、中小基盤の在り方に関して、それぞれのニーズの整理を行いました。

>>令和元年度「実現可能性調査」報告書はこちら

>>令和2年度「ニーズ調査」報告書はこちら

本調査は、令和元年度の実現可能性調査と令和2年度のニーズ調査で得られた内容を踏まえて、中小基盤の構築を試行的に実施(以下「試行環境調査」という。)を実施し、併せてセキュリティ製品・サービスの市場調査を実施することで、中小基盤の有用性を検証した上で、中小基盤の構築上の課題の洗い出しを行い、報告書としてまとめました。

調査の概要

本調査では、中小基盤の仮設サイトを立ち上げ、中小企業による評価アンケートを実施しました。また、セキュリティ製品・サービスの市場調査では、製品・サービスベンダーへのアンケート調査とヒアリング調査を実施しました。
これらの調査結果から、中小基盤の有用性を検証するとともに、中小基盤の構築上の課題を抽出・整理した上で、サイバーセキュリティの有識者、専門家等より構成した「有識者検討委員会」に諮って、専門的な視点から助言を得ました。

中小企業による評価アンケート

本調査の中小基盤(仮設サイト)は、公募により採択した12社12製品・サービスを掲載し、SECURITY ACTION宣言事業者のうち71,123社にサイト閲覧と評価アンケートを依頼し、2,286件の回答を得ました。
評価アンケートの回答のうち、セキュリティ製品・サービスの導入検討において、中小基盤の仮設サイト上に掲載されている情報が役に立つかの質問に対し、「かなり役に立つ(6.8%)」、「多少役に立つ(41.4%)」との回答があったものの、「分からない」とする回答も3割を超えるなど、有用性の観点では一定の潜在的なニーズがあることが確認されたにとどまりました。
また、中小基盤の本番サイトの利用意向については、有用性評価アンケートの回答者の約6割が利用する可能性があると回答(「ぜひ利用したい(13.1%)」と、「条件によっては利用したい(44.3%)」を合計した割合)しているものの、利用する条件として「信頼できる製品、サービスの掲載」、「情報の確かさ、新しさ、公平性の担保」等、中小基盤に掲載する製品・サービスの品質等に係る検証・評価を前提としたコメントも多く含まれており、本番サイトの利用意向は構築仕様に依るところと思われます。

  • 図1:中小基盤の仮設サイト上で提供している製品・
    サービスの各種情報の有用度合い(N=2,286)
  • 図2:中小基盤の本番サイトが提供された場合の
    利用意向(N=2,286)

セキュリティ製品・サービスの市場調査

セキュリティ製品・サービスの市場調査は、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)の会員企業を中心に269社へアンケートを依頼し27社から回答を得て、このうち5社に個別ヒアリング調査を実施しました。
ベンダーへのアンケート調査の結果、中小企業向けにセキュリティビジネスを展開していく上での障壁として、「予算が小規模で提供可能な機能やサービスが限定されがち」、「企業数が多く、要望が多様であるため対応負荷が大きくなりがち」といった事項を挙げる回答が多く、また、個別ヒアリング調査の結果からも、中小企業向け市場を拡大させるためには少なからず課題がある、とベンダー側が捉えているという傾向が見られました。

  • 図3:中小企業向けにビジネスを展開していく上での障壁(N=26)

中小基盤の構築上の課題

今後、中小基盤を構築するとした場合に留意すべき観点として、以下に示す4つの観点を設定し、中小企業による評価アンケート、並びにセキュリティ製品・サービスの市場調査の結果を踏まえ、それぞれの観点からみた中小基盤の構築に向けた検討課題の洗い出しを行いました。また、抽出した検討課題は、有識者検討委員会に諮り、専門的な視点から示唆や意見を得ました。

課題検討の観点

  • 中小基盤環境の構築(設置場所及び運営主体)
  • 中小企業のアクセス促進に繋がる仕組み
  • 製品・サービスの応募促進に繋がる仕組み
  • 事業告知及びプロモーション手段
課題検討の観点

中小基盤環境の構築(設置場所及び運営主体)

中小基盤の構築上の課題
  • 中小基盤の製品・サービスの情報に対してお墨付きを付与していることを前提としたコメント、あるいはそれを求める趣旨のコメントが寄せられており、中小基盤の運営主体の信頼性に対する期待がある。
  • 市場調査のベンダーヒアリングで、中小企業の実態にそぐわない製品・サービスを提供しているベンダーがあるのではないかと考えている中小企業が少なからずある、とのコメントも寄せられた。
有識者検討委員会で示された意見
  • 運営主体の信頼性に対する期待については、信頼性の担保の仕方によっては、情報に誤りがあった際に運営主体責任を負わなければならず、場合によっては市場を歪めてしまうおそれもあることから、慎重に検討する必要がある。
  • 正確性の担保は情報の真偽を確認すれば足りるが、信頼性の担保は、中立・公正の評価を実施するのは非常に難しい。
  • 中小基盤の目的は、中小企業において容易にセキュリティ製品・サービスを検索できるようにすることであるため、有用性や信頼性のハードルが高くなりすぎてしまうことに懸念がある。
  • 粗悪もしくは悪意のある事業者の製品・サービスを掲載しないことは重要だが、それ以上の確からしさを保証するのは難しいのではないか。最低限、粗悪もしくは悪意のある事業者を外し、誓約書を収集する等の対応で十分ではないかと考える。
課題検討の観点

中小企業のアクセス促進に繋がる仕組み

中小基盤の構築上の課題
  • 中小基盤へのアクセス促進については、セキュリティ製品・サービスの導入検討や選定を行う中小企業を中小基盤に誘導する仕組みを検討する必要がある。
  • 多数の中小企業による中小基盤へのアクセスがあることは、製品・サービスベンダーにとっても中小基盤への掲載情報の提供にあたってのインセンティブにもなり得る。
有識者検討委員会で示された意見
  • 中小企業において、どのようなセキュリティ対策が必要かを判断、もしくは製品・サービスを選定する上で自社にとって効果的かを判断するのが難しい、という出発点に立ち返ると、「SECURITY ACTION」制度や「サイバーセキュリティお助け隊サービス」事業とも連携して検討を進めるのが適当ではないか。
  • サプライチェーンを構成する大企業や業界団体と連携して、中小企業のセキュリティ対策の底上げを実施することを検討しても良いと考えられる。例えば、中小企業とも取引のある大企業・業界団体とも連携の上、中小基盤に掲載する製品・サービスを選定することで、中小企業向けの製品・サービスの情報源としての魅力が上がるのではないか。
課題検討の観点

製品・サービスの応募促進に繋がる仕組み

中小基盤の構築上の課題
  • 情報提供量の多さが中小基盤に掲載する製品・サービスの応募促進の妨げになる可能性がある。
  • 中小基盤の構築にあたっては製品・サービスベンダーに対して一定量の情報提供を求めるニーズがある。
  • 中小企業向けセキュリティビジネスを拡大させるためには少なからず課題があるとベンダー側が考えているという傾向が見られた。
有識者検討委員会で示された意見
  • 中小基盤への製品・サービス掲載のハードルについて、ベンダーにとって申請や登録に係る工数、ある程度詳細な機能情報や運用に係る情報提供の負担があっても、それが中小企業へのビジネス促進に繋がるのであれば、問題とはならないのではないか。
  • 中小基盤を活用することで、ベンダー側が中小企業向けにビジネスを展開することに伴う課題をどれだけ解決できるかが重要となる。市場アンケート調査で、中小企業向けセキュリティ製品・サービスのビジネス展開の障壁として挙げられた「購買ニーズの把握が難しく、営業が非効率になりがちである」等の課題は、中小基盤により解決することが出来る余地があるのではないか。
課題検討の観点

事業告知及びプロモーション手段

中小基盤の構築上の課題
  • 中小基盤の認知度向上策や利用促進策として、中小企業との接点が多い代理店や地域の販売店との連携が有効であると考えられる。
  • 業界ガイドラインで要求されるセキュリティ対策と、中小基盤に掲載する製品・サービスとの紐づけを図ることが、当該業界における中小基盤の利用促進の観点からも有効であると考えられる。
有識者検討委員会で示された意見
  • 製品・サービスを先に検索して代理店・販売店を検索する場合と、代理店・販売店を検索した後に取り扱っている製品・サービスを検索する場合が考えられる。前者はベンダー側に問合せれば情報を得られるかもしれないが、後者は地域ごとに洗い出して、取り扱っている製品・サービスを紐づけるのは難しいのではないか。
  • 業界ガイドラインが存在する業種では、該当するガイドラインが中小企業においてどのようなセキュリティ対策を実施すべきかの目安となるといえる。中小基盤と業界ガイドラインとの紐づけが明確になれば、中小企業の中小基盤へのアクセスの増加、掲載製品・サービスの認知度向上に繋がり、ひいてはこれが情報を提供するベンダー側のメリットにもなるため、好循環になるのではないか。

全体まとめ

将来的な中小基盤の構築に向けた具体化の検討にあたっては、その有用性の観点では一定の潜在的なニーズがあることは前提とすることができるものの、有識者検討委員会の助言・指摘も踏まえ、掲載情報の信頼性に対するユーザーの期待・要望への対応、業界ガイドラインと掲載するセキュリティ製品・サービスの紐づけ、情報の受け手である中小企業と情報の出し手である製品・サービスベンダー双方のメリット等について留意することが望ましく、その在り方については慎重かつ十分な検討を要すると考えられます。

報告書のダウンロード

お問い合わせ先

IPA セキュリティセンター

  • E-mail

    isec-platformアットマークipa.go.jp