情報セキュリティ産業の構造と活性化に関する調査報告書 - IPA · 2020-05-15 · 3. 高度情報セキュリティ人材教育の機会を一層充実するとともに、かかる人材の社会

情報セキュリティ産業の

構造と活性化に関する調査

報告書

２０１１年６月

■目次

本書の要点（Executive Summary） .................................................................. i

はじめに ............................................................................................................. 1

1. 本調査の内容................................................................................................ 2

1.1. 本調査の目的 ................................................................................................... 2

1.2. 本調査の概要 ................................................................................................... 2

1.3. 本調査の実施事項 ............................................................................................ 2

1.3.1. 実態調査 ................................................................................................................. 2

1.3.2. 活性化施策を検討するための調査.......................................................................... 5

1.3.3. 検討委員会の設置ならびに運営 ............................................................................. 5

2. 日本の情報セキュリティ産業の状況と特性－海外諸国の事例と比較を踏ま

えての分析－ ...................................................................................................... 7

2.1. 日本の情報セキュリティ産業の現況 ............................................................... 7

2.2. 日本の情報セキュリティ産業の特性 ............................................................. 12

2.2.1. 市場と顧客 ............................................................................................................ 13

2.2.2. 研究開発と産業技術力 .......................................................................................... 25

2.2.3. 人材の確保と育成 ................................................................................................. 29

2.2.4. 起業家とベンチャーキャピタル ........................................................................... 38

2.2.5. 国際化と海外進出 ................................................................................................. 46

3. 情報セキュリティ産業に関わる政策・施策－海外諸国の事例と比較を交え

ての分析－ ....................................................................................................... 54

3.1. 技術開発支援政策 .......................................................................................... 54

3.1.1. 日本の情報セキュリティ関連技術開発支援政策 .................................................. 54

3.1.2. 欧州の情報セキュリティ関連技術開発支援政策 .................................................. 61

3.1.3. 米国の技術開発と民間移転の政策........................................................................ 69

3.1.4. 韓国の技術開発支援政策 ...................................................................................... 72

3.1.5. 日本の情報セキュリティ関連技術開発支援政策に関する課題 ............................ 74

3.2. 政府調達に関わる政策................................................................................... 76

3.2.1. 日本の情報セキュリティに関わる政府調達 ......................................................... 77

3.2.2. 欧州における政府調達基準と政府調達 ................................................................ 79

3.2.3. 米国における政府調達基準と政府調達 ................................................................ 81

3.2.4. 韓国における政府調達基準と政府調達 ................................................................ 83

3.2.5. 日本の政府調達基準・政府調達制度に関する課題 .............................................. 84

3.3. 人材育成に関わる政策................................................................................... 86

3.3.1. 日本における人材育成施策 .................................................................................. 86

3.3.2. 欧州における人材育成施策 .................................................................................. 87

3.3.3. 米国における人材育成施策 .................................................................................. 88

3.3.4. 韓国における人材育成施策 .................................................................................. 88

3.3.5. 他国との比較における日本の人材育成施策上の課題........................................... 89

3.4. 海外進出・輸出振興に関わる政策 ................................................................. 90

3.4.1. 日本における海外進出・輸出振興に関する支援施策........................................... 90

3.4.2. 欧州の海外進出・輸出振興策 ............................................................................... 92

3.4.3. 韓国の海外進出・輸出振興策 ............................................................................... 92

3.4.4. 日本の海外進出・輸出振興に関する支援施策に関する課題 ................................ 93

3.5. その他の産業活性化政策 ............................................................................... 93

3.5.1. 企業・組織における情報セキュリティに対する需要喚起策 ................................ 94

3.5.2. 情報セキュリティ関連産業の活性化に資する施策 .............................................. 95

4. 日本の情報セキュリティ産業の発展と活性化に向けて ............................. 96

4.1. 情報セキュリティ産業の活性化に向けて ...................................................... 96

4.1.1. 民間における情報セキュリティの認識レベル ..................................................... 96

4.1.2. 政府における情報セキュリティへの取組み ......................................................... 97

4.1.3. 情報セキュリティ産業の活性化に関わる要素 ..................................................... 98

4.2. 産業振興に有効と考えられる政策・施策 .................................................... 100

4.2.1. 技術開発における産官学連携の推進と成果の「産」における活用枠組みの拡大・

柔軟化 101

4.2.2. 企業・組織の情報セキュリティ対策の総点検のための基準・参照情報等の整備103

4.2.3. 政府機関、重要インフラ等における情報セキュリティ対策整備ロードマップの策

定や、それに基づく調達基準の考え方等の提示 ............................................................... 106

4.2.4. 情報セキュリティ人材の育成と確保 .................................................................. 108

4.2.5. 情報セキュリティ対策推進・支援税制の検討 ................................................... 113

4.3. 産業界および民間における努力・改善要素 ................................................. 114

4.3.1. 企業・組織の情報セキュリティ対策の総点検の実施......................................... 114

4.3.2. サプライチェーン管理における情報セキュリティ対策の連関実現の促進・支援116

4.3.3. 情報セキュリティ産業への産業資金供給の誘導・促進 ..................................... 117

4.3.4. IT 業界・情報セキュリティ業界における相互交流の促進 ................................ 119

4.3.5. 独自技術開発への積極的取組み ......................................................................... 121

4.4. 産業振興手段としての海外進出 .................................................................. 122

4.4.1. ASEAN セキュリティ政策会議、ASEAN セキュリティセミナー等、政府のアジ

ア連携政策と連携した、日本のセキュリティ産業のアジア進出・アジア支援 ................ 122

4.4.2. サプライチェーン管理における情報セキュリティ対策の連関の、アジアにおける

実現の促進と、そのための支援の提供 ............................................................................. 122

4.4.3. オフショアリングの活用推進 ............................................................................. 123

4.4.4. 海外進出に際しての公的支援と民間のサポートの充実 ..................................... 123

4.5. 課題別取組み主体 ........................................................................................ 125

5. おわりに ................................................................................................... 129

i

本書の要点（Executive Summary）

今日の日本の状況において、情報セキュリティ対策の一層の普及と高度化が望まれると

ころであり、そのためには供給側である情報セキュリティ産業の発展と強化が必要である。

IPA では、2008 年度から第一次産業構造調査により、国内外における産業の実態や、国の

施策と情報セキュリティ対策の関係について概括的調査を実施した。その成果を受けて実

施した本調査では、我が国の情報セキュリティ対策の推進と普及、浸透と高度化に向け、

国内外の情報セキュリティ分野における、技術と産業と普及の連関に関する調査を行い、

併せて、有識者委員からの意見と助言と指導の下に、国内情報セキュリティ産業の発展と

活性化のために有効と考えられる事項や施策についての検討を行った。

日本の情報セキュリティ事業者は、流通構造の複雑さと顧客の意思決定論理の不定性に

加え、海外ベンダが技術優位を持つ領域が多い等の困難な事業環境に置かれている。これ

を支えるべき社会的政策的要素については、米欧韓の実情との比較において、以下のよう

な困難な状況を抱えている。

1. 情報セキュリティ対策の意味や重要性について、安全保障レベルでの位置付けや、

企業価値を守り高める高次元の経営課題であるとの認識が十分広く浸透していない

ため、対策実施やそのための投資判断が戦略レベルで行われず、市場の魅力が高ま

らない。

2. 公的研究開発資金や公的開発成果の民間による活用の仕組みはあるが、産業技術力

や国際競争力の涵養という政策目的意図が明確でなく、使い勝手も悪いことから有

効に機能していない。加えて、情報セキュリティに関する施策や公的研究開発の予

算規模が小さく、近年縮小傾向にある。

3. 高度教育機会が限定的であり、高度情報セキュリティ人材の社会的評価ならびにキ

ャリアパスが可視化されていない状況で、人材の質・量共の供給が尐なく、産業活

力が向上しない。

4. 先端技術を必要としイノベーション主導型企業成長が適するが、ベンチャーキャピ

タルを初めとする企業・産業育成型資金の供給が限定的で、ベンチャー企業の起業・

成長が困難。

5. 海外市場へのアプローチに関しては、相手国の事業環境や提携先に関する情報の入

手、英語や現地語対応の製品開発やサポート対応、国別市場規模は日本に比して限

定的である一方、欧州や韓国に比して国からの支援の仕組みは限定的・間接的であ

り、取組む企業は限定的。

この状況は、ますます深刻化するサイバーセキュリティ脅威に照らしても、日本の情報

ii

セキュリティが社会経済の安全、更には国家安全保障の観点からも危険にさらされ、また

国際競争力の観点からも海外の製品・技術への依存度を一層高めざるを得ないという、複

合的に、きわめて危険な状況に向かっていると捉える必要がある。対策としては、以下の

施策を実施することで、日本の情報セキュリティ技術の国際競争力の確保を図り、日本の

情報セキュリティ産業の活性化と国際化を実現しなければならない。

1. 官民ともに情報セキュリティの達成目標を掲げ、対策実施工程表を具体化し、管理

サイクルに基づき継続的に対策を実施することで需要喚起を図る。

（本文 4.2.2. 4.2.3. 4.3.1. 4.3.2.参照）

2. 国民を守る情報セキュリティ戦略の下に対策実施を加速し、施策に十分な予算を手

当てするとともに、戦略的研究開発を推進し、開発成果の民間活用を使い勝手のよ

い制度で実現する。

（本文 4.2.1.参照）

3. 高度情報セキュリティ人材教育の機会を一層充実するとともに、かかる人材の社会

的評価とキャリアパスイメージの形成、共通認識の形成を促進する。

（本文 4.2.4.参照）

4. 情報セキュリティ産業とそれに関連する資金の出し手、製品やサービスを取り扱う

インテグレータ、エンドユーザ等の間の情報流通や人的交流の支援・促進により、

資金調達や事業連携や顧客開拓の機会拡大をもたらす。

（本文 4.3.3. 4.3.4.参照）

5. アジアを中心とする国際社会での日本の貢献として情報セキュリティ技術・ノウハ

ウの提供を政策的に展開する一環として、わが国産業の海外展開をサポートする施

策を具体化する。

（本文 4.4.参照）

以上

1

はじめに

近年、情報セキュリティの必要性に対する認知は、情報セキュリティ基本計画の実施を

通じ、また個人情報保護法による情報保護の重要性の理解や内部統制報告制度の施行に伴

う IT ガバナンスの重要性の認識に伴って、広く社会に浸透しつつある。

一方、Web2.0 の進展やクラウドコンピューティングの普及に伴い、IT の利活用の態様と

それを支える IT 産業の構造に大きな変化が訪れている。またインターネット上の攻撃や犯

罪は、個人の単独犯や愉快犯的レベルから、経済的・政治的目的を持った組織的なものへ

と変化を見せ、技術的高度化とも相俟って一層深刻の度を強めている。

このような状況に対して、情報セキュリティ対策の一層の普及と高度化が望まれるとこ

ろであり、そのためには供給側である情報セキュリティ産業の発展と強化が必要である。

このような現状認識を踏まえ、独立行政法人情報処理推進機構（以下 IPA）では、2008

年度から「情報セキュリティ産業の構造に関する基礎調査」（以下第一次産業構造調査）を

実施し、国内外における産業の実態や、国の施策と情報セキュリティ対策ならびに情報セ

キュリティ産業育成の関係についての概括的調査を実施した。

その成果を踏まえ、我が国の情報セキュリティ対策の推進と普及、浸透と高度化に資す

ることを目的として、2010 年度に実施した「情報セキュリティ産業の構造と活性化に関す

る調査」、（以下本調査）では、国内外の情報セキュリティ分野における、技術と産業と普

及の連関に関する調査を行い、国内情報セキュリティ産業の発展と活性化のために有効と

考えられる事項や施策についての検討を行った。

検討に当っては、産業政策や情報セキュリティ産業等に専門的知識を有する有識者から

なる「情報セキュリティ産業の構造と活性化検討委員会」を設置し、専門家の意見と助言

を得ることにより、客観性、多面性、専門性、的確性の確保を図った。

以下にその結果を報告し、必要あるいは有効と考えられる政策ならびに施策、産業界に

おいて取組むべき課題等につき、提起を行う。本報告に盛られた事項の実施・推進・取組

みが行われることで、わが国情報セキュリティ産業の発展と活性化が実現し、わが国情報

セキュリティの向上・改善・一層の浸透に結びつくことが期待されるところである。

2

1. 本調査の内容

1.1. 本調査の目的

本調査は、情報セキュリティ対策の一層の普及と高度化が望まれるところ、そのために

は供給側である情報セキュリティ産業の発展と強化が必要であるという視点に立ち、産業

実態の整理と、必要と考えられる課題、施策の検討に取組んだものである。その結果とし

て、我が国の情報セキュリティ対策の推進と普及、浸透と高度化に資することを目指して

いる。

1.2. 本調査の概要

本調査においては、国内外の情報セキュリティ分野における技術と産業と普及の連関に

関する分析と検証に必要となる、国内外の産業、ユーザ、政策に関する実態調査を行い、

諸外国の状況に照らして、日本の情報セキュリティ産業にどのような構造的特徴があり、

その発展と活性化のためにはどのような課題があるのかの分析を行った。更に、それら実

態調査と分析結果を踏まえ、国内情報セキュリティ産業の発展と活性化のために有効と考

えられる事項や施策についての検討を、有識者により組織する検討委員会の指導の下に行

った。

1.3. 本調査の実施事項

1.3.1. 実態調査

1.3.1.1. 国内情報セキュリティ産業調査

「日本ではなぜ情報セキュリティ専業の国際的大手事業者が出現しないのか」との問題

意識の下に、市場、顧客、技術開発、産官学連携、資金供給、起業家、人材等について多

面的に実態調査並びに日本の特性の分析を行った。

図表 1-1 日本の情報セキュリティ産業調査実施状況

アンケート調査インタビュー調査

調査期間 2010 年 10 月 27 日（水）～11 月 9 日（火） 2010 年 11 月 25 日（木）～12 月 7 日（火）

調査対象日本国内で展開している情報セキュリティ

事業者を抽出し、113 社に送付

アンケート回答企業中、ヒアリングに協力可

能な企業を中心に 17 社に対して実施

回収数 37 社（回収率 32.7％） 17 社（うちアンケート回答企業 16 社）

3

図表 1-2 日本の情報セキュリティ産業調査回答業種内訳（企業の申告による）

アンケートインタビュー

１．情報セキュリ

ティベンダ（国産）

情報セキュリティ製品やサービスを開発・販売・提供

する事業者で、日本国内に本社機能を有する事業者 12社 7社

２．情報セキュリ

ティベンダ（外資）

情報セキュリティ製品やサービスを開発・販売・提供

する事業者で、日本国外に本社機能を有する事業者 7社 3社

３．情報セキュリ

ティシステムイン

テグレータ

情報セキュリティに関するシステムとインテグレー

ションサービスを提供する事業者（SIが主体） 7社 3社

４．情報セキュリ

ティサービスプロ

バイダ

情報セキュリティコンサルテーション、セキュアシス

テム構築サービス、セキュリティ運用・管理サービス、

セキュリティ教育、情報セキュリティ保険等のサービ

スを提供する事業者

8社 4社

５．情報セキュリ

ティ

付加価値再販事業

者（VAR）

情報セキュリティ製品・サービスの販売に際し、その

設定、変更、カスタマイズ又は周辺関連装置等との組

み合わせ等の付加価値を合わせて提供する事業者（販

売が主体）

3社 0社

合計 37社 17社※

※インタビュー対象企業 17 社のうち 1 社はアンケート回答企業以外（国産ベンダ）

1.3.1.2. 米国情報セキュリティ産業調査

「米国ではなぜ世界的セキュリティベンダが多く輩出するのか」との問題意識の下に、

市場、顧客、技術開発、産官学連携、資金供給、起業家、人材等について多面的に実態調

査並びに米国の特性の分析を行った。

図表 1-3 米国の情報セキュリティ産業調査実施状況

アンケート調査

調査期間 2010 年 10 月 21 日（木）～12 月 10 日（金）

調査対象情報セキュリティ事業者 20 社

回収数 20 社

1.3.1.3. 海外情報セキュリティユーザ実態調査

情報セキュリティ対策を実施する主体（本調査ならびに本書においては便宜的に「情報

セキュリティユーザ」または単に「ユーザ」と呼ぶ）における、情報セキュリティの組織、

経営的意思決定の関与度合い、情報セキュリティ対策支出の判断並びに評価の方法、意思

決定に際しての法制度や市場評価等の外部基準の影響度合い、意思決定に必要な情報の入

手経路等について、情報収集と分析を行った。

図表 1-4 米国・欧州の情報セキュリティユーザ実態調査実施状況

実施方式調査対象回答数

米国インタビュー調査 IT（製造）1社、通信1社、航空1社 3社

文献調査情報セキュリティへの業界および企業の取組みを調査した。

欧州インタビュー調査

ドイツ系製造1社、英国系製造1社、フランス系製造1

社、北欧系IT1社、在欧日系金融2社（英国、フランス） 6社

文献調査情報セキュリティへの業界および企業の取組みを調査した。

4

1.3.1.4. 情報セキュリティ政策の国際比較

米国、欧州及び韓国について、次の項目を調査した。

① 各国の情報セキュリティ対策機器・サービスの政府調達における調達基準や調達先

選定のルール等を調査し、政府調達が情報セキュリティ産業に対して需要喚起、産業奨励、

標準化促進等に寄与する度合い等の実態解明と評価を行った。

② 技術開発支援策として、公的機関における研究開発、公有及び公的開発技術の民間

移転、民間に対する開発資金援助等の制度を調査し、産業支援に果たす役割の解明と評価

を行った。

図表 1-5 米国・欧州・韓国の政府調達に関する調査実施状況1

実施方式調査対象

米国インタビュー調査 NVLAP担当者

文献調査米国政府の情報セキュリティ調達関連の取組みを調査した。

欧州

インタビュー調査 ENISA、英国系製造1社、フランス系製造1社

文献調査欧州連合、英国、フランス、ドイツ、北欧（フィンランド、スウ

ェーデン）の情報セキュリティ調達関連の取組みを調査した。

韓国インタビュー調査

韓国調達庁、KISA、KISIA

ベンダ3社在韓日系ベンダ1社

文献調査韓国政府の情報セキュリティ調達関連の取組みを調査した。

図表 1-6 米国・欧州・韓国の技術開発支援に関する調査実施状況

実施方式調査対象

米国文献調査 MITREをはじめとし、政府および公的機関の情報セキュリティ関

連研究開発の取組みを調査した。

欧州

インタビュー調査欧州委員会（FP7）、ENISA、英国系製造1社、Fraunhofer研究所、

フランス系製造1社、北欧系IT1社

文献調査欧州連合、英国、フランス、ドイツの政府および公的機関の情報

セキュリティ関連研究開発の取組みを調査した。

韓国インタビュー調査 ETRI、KISA、KISIA、ベンダ3社

文献調査政府および公的機関の技術開発支援の取組みを調査した。

上記の調査項目は図表 1-7 のようにまとめられる。

図表 1-7 実態調査の内容と対象国

情報セキュリティ

産業調査

海外情報

セキュリティユーザ

実態調査

政府調達に

関する調査

技術開発支援に

関する調査

日本 ○ －－－

米国 ○ ○ ○ ○

欧州－ ○ ○ ○

韓国－－ ○ ○

1 本項で調査対象として記載されている組織の略語解説については、本編を参照されたい。

5

1.3.1.5. その他の調査

上記のほかに、以下の調査を行った。

日米以外の情報セキュリティ産業調査：

インタビュー調査韓国ベンダ 2 社

日本ベンチャーキャピタル調査：

インタビュー調査 2 社

文献調査政府・公的機関のベンチャー支援およびインキュベーションに関す

る取組み

欧州、韓国、日本の海外展開進出支援調査：

インタビュー調査 KOTRA、JETRO（フランス・英国）

文献調査欧州、韓国および日本の公的機関による輸出および海外展開支援に

関する取組み

1.3.2. 活性化施策を検討するための調査

情報セキュリティ産業の活性化に資すると考えられる施策検討のため、実態調査の内容

も踏まえつつ、下記の施策仮説に関連する事例調査、調査分析、有効性評価及び施策検討

の参考になる情報の収集を行い、仮説の肉付けや検証に資する情報の整理を行った。

A) 企業・組織における情報セキュリティに対する需要喚起策

B) 情報セキュリティ関連産業の活性化促進策

C) 共通基本資源としての情報セキュリティ人材育成施策

1.3.3. 検討委員会の設置ならびに運営

検討委員会を設置し、調査計画・調査結果・結果報告書の評価並びに施策検討を行った。

実態調査の結果の分析・整理および活性化のための課題の整理については、全 5 回開催さ

れた委員会において議論し、評価を行った。

6

「情報セキュリティ産業の構造と活性化検討委員会」参加者名簿（敬称略）2

委員長

中島一郎早稲田大学研究戦略センター教授

委員

（五十音順）

田中秀幸東京大学大学院情報学環・学際情報学府教授

谷川徹九州大学産学連携センター教授／副センター長

三輪信雄Ｓ＆Ｊコンサルティング株式会社代表取締役

渡部章株式会社アークン代表取締役

オブザーバ

山田安秀経済産業省情報セキュリティ政策室室長

佐藤明男経済産業省情報セキュリティ政策室課長補佐

納屋知佳経済産業省情報セキュリティ政策室

IPA

藤江一正 IPA 理事長

仲田雄作 IPA 理事

佐味祐介 IPA 戦略企画部参事

榎本悟朗 IPA IT 人材育成本部調査役

矢島秀浩 IPA セキュリティセンターセンター長

小森聡 IPA セキュリティセンター次長

平林純一 IPA セキュリティセンター企画グループグループリーダー

石井茂 IPA セキュリティセンター普及グループグループリーダー

事務局

勝見勉 IPA セキュリティセンター普及グループ研究員

野村武史 IPA セキュリティセンター企画グループ研究員

中野佳也 IPA セキュリティセンター情報セキュリティ分析ラボラトリー

調査役

東京海上日動リスクコンサルティング株式会社

2 役職は委嘱・参加当時。

7

2. 日本の情報セキュリティ産業の状況と特性

－海外諸国の事例と比較を踏まえての分析－

2.1. 日本の情報セキュリティ産業の現況

経済産業省が 2011 年 3 月に発表した「平成 21 年度情報セキュリティ市場調査報告書」

（以下市場調査報告書）によると、日本の情報セキュリティ市場規模は図表 2-1 の通りとな

っている。これは 2009 年 12 月時点の調査に基づいている。この図からは、国内の情報セ

キュリティの市場規模は、概ね 7,000 億円規模と推定される。これは情報セキュリティ事業

者の出荷ベースとなっており、日本における情報セキュリティ産業の産業規模とほぼ等し

いものと考えられる。

図表 2-1 国内情報セキュリティ市場規模の推移

0

2,000

4,000

6,000

8,000

2007年度

推定実績

2008年度

推定実績

2009年度

実績見込

2010年度

予測

3,468 3,734 3,588 3,685

3,387 3,486 3,260 3,339

情報セキュリティツール市場情報セキュリティサービス市場

億円

6,855 7,0256,8497,219

（出所：平成 21 年度情報セキュリティ市場調査報告書3）

同報告書では、同調査に際して使用した事業者の業態区分と集計社数を図表 2-2 のように

まとめている。388 社が集計対象となっており、日本において情報セキュリティに関する事

業を営む企業数は概ね 380 社程度と考えられる。同調査では、個別の企業名は一切示され

ていない。

3 http://www.meti.go.jp/policy/netsecurity/downloadfiles/21FY_ISmarket_research_report.pdf

8

図表 2-2 国内情報セキュリティ市場推計対象企業及びその分布

海外ベンダ／日本

法人

国内ツールメーカ

流通販売事業者

SI/NI機能の二次･三次販売店

大手システムインテグレータ

コンサルティング企

業

サービス提供事業

者その他

ＡＢＣＤＥＦＧＨ

調査推計対象（含：アンケート回答133件） 388 47 71 41 94 30 23 67 15有効推計対象 379 47 70 40 91 29 23 65 14

情報セキュリティツール全体（Ｘ） 269 46 66 38 67 25 4 18 5　　統合型アプライアンス 72 5 9 15 24 15 2 2 0　　ネットワーク脅威対策製品 122 22 14 19 37 18 2 9 1　　コンテンツセキュリティ対策製品 141 18 30 21 40 17 2 9 4　　アイデンティティ・アクセス管理製品 131 11 31 24 39 20 1 4 1　　システムセキュリティ管理製品 130 22 19 23 38 13 3 10 2　　暗号製品 82 8 17 14 25 14 0 2 2

情報セキュリティサービス全体（Ｙ） 246 10 26 19 72 26 23 59 11　　情報セキュリティコンサルテーション 152 4 10 10 46 19 21 40 2　　セキュアシステム構築サービス 101 4 8 8 39 21 5 15 1　　セキュリティ運用･管理サービス 149 5 18 12 49 18 8 34 5　　情報セキュリティ教育 89 7 8 7 19 12 5 26 5　　情報セキュリティ保険 11 0 4 1 1 1 0 0 4

　　ツール専業（Ｘ∩￢Ｙ） 133 37 44 21 19 3 0 6 3　　サービス専業（￢Ｘ∩Ｙ） 110 1 4 2 24 4 19 47 9　　ツール・サービス兼業（Ｘ∩Ｙ） 136 9 22 17 48 22 4 12 2

合計

集計対象企業の業態区分

国内情報セキュリティ市場推計対象企業の業態分布

＜参考＞

（出所：平成 21 年度情報セキュリティ市場調査報告書4）

情報セキュリティ事業を営む企業が参加する団体として代表的なものと考えられる NPO

日本ネットワークセキュリティ協会（以下 JNSA）の会員企業は、同協会のホームページで

公開されている情報によれば（2011 年 6 月時点）図表 2-3 の通りとなる。ちなみに JNSA は

上記市場調査の実施団体でもある。表 1 で集計対象としている企業の約 3 分の 1 について

は、図表 2-3 で社名を確認できる。大手コンピュータメーカから、中小企業で情報セキュリ

ティ分野に特化していると見られる企業まで、バリエーション豊富である。一方、大手コ

ンピュータメーカも参入しているとは言え、1 事業者あたりの事業規模はあまり大きくない

との指摘もされている。同調査の記述によれば「2008 年度の推定市場規模は 7,219 億円な

ので、単純計算をすれば、1 社平均の売上高規模は 19.0 億円となる。全てが情報セキュリ

ティ専業ではなく、むしろ兼業の事業者の方が多い状態ではあるが、1 社当りの情報セキ

ュリティの事業規模が 20 億円を切るレベルでは、事業採算性を考えた時に、研究開発投資

や人材育成等の面に十分に資金を割けない可能性がある。特に製品の開発や検証に際して、

ベンチャー企業への支援の仕組の整備は課題となる可能性が高い。」と指摘されている。

4 http://www.meti.go.jp/policy/netsecurity/downloadfiles/21FY_ISmarket_research_report.pdf

9

図表 2-3 NPO 日本ネットワークセキュリティ協会（JNSA）の会員企業一覧

株式会社アーク情報システム株式会社情報経済研究所パナソニック電工株式会社株式会社アークン株式会社情報数理研究所株式会社日立情報システムズ株式会社アイ・ティ・フロンティア新日鉄ソリューションズ株式会社株式会社日立ソリューションズ株式会社アイテクノ新日本有限責任監査法人株式会社PFUアイネット・システムズ株式会社住商情報システム株式会社富士ゼロックス株式会社アイマトリックス株式会社株式会社セキュアブレイン富士ゼロックス情報システム株式会社

株式会社アルテミスセキュリティ・エデュケーション・アライアンス・ジャパン

富士通株式会社

アルプスシステムインテグレーション株式会社セコム株式会社富士通エフ・アイ・ピー株式会社EMCジャパン株式会社セコムトラストシステムズ株式会社富士通関西中部ネットテック株式会社

イーデザイン損害保険株式会社ソニー株式会社株式会社富士通ソーシアルサイエンスラボラトリ（富士通SSL）

株式会社ISAO ソフォス株式会社株式会社富士通マーケティング伊藤忠テクノソリューションズ株式会社ソフトバンク・テクノロジー株式会社フューチャーアーキテクト株式会社イルポンテ株式会社ソフトバンクBB株式会社株式会社ブリッジ・メタウェア学校法人岩崎学園株式会社ソリトンシステムズ株式会社ブロードバンドセキュリティ株式会社インターネットイニシアティブ大興電子通信株式会社株式会社ブロードバンドタワー株式会社インテック大日本印刷株式会社マカフィー株式会社株式会社インテリジェントウェイブ株式会社大和総研ビジネス・イノベーションみずほ情報総研株式会社株式会社インフォセックタレスジャパン株式会社三井物産セキュアディレクション株式会社株式会社ウィテック TIS株式会社株式会社三菱総合研究所株式会社AIR 株式会社ディアイティ三菱総研DCS株式会社株式会社エス・シー・ラボデジタルアーツ株式会社三菱電機株式会社　情報技術総合研究所NRIセキュアテクノロジーズ株式会社株式会社電通国際情報サービス三菱電機情報ネットワーク株式会社NECネクサソリューションズ株式会社有限責任監査法人トーマツ株式会社メトロNHN Japan 株式会社東京エレクトロンデバイス株式会社株式会社ＭＯＮＥＴＮＫＳＪリスクマネジメント株式会社東芝ソリューション株式会社株式会社ユービーセキュアエヌ・ティ・ティ・アドバンステクノロジ株式会社ドコモ・システムズ株式会社株式会社楽堂エヌ・ティ・ティ・コミュニケーションズ株式会社トレンドマイクロ株式会社株式会社ラックエヌ・ティ・ティ・コムウェア株式会社西日本電信電話株式会社リコー・ヒューマン・クリエイツ株式会社NTTコムテクノロジー株式会社日信電子サービス株式会社有限会社ロボック株式会社NTTデータ日本アイ・ビー・エム株式会社株式会社ワイ・イー・シー

株式会社NTTデータ CCS日本アイ・ビー・エム　システムズエンジニアリング株式会社

株式会社ワイズ

NTTデータ・セキュリティ株式会社日本オラクル株式会社【以下特別会員】(ISC)2 JapanF5ネットワークスジャパン株式会社日本サード・パーティ株式会社社団法人コンピュータソフトウェア協会オー・エイ・エス株式会社日本サムスン株式会社ジャパンデータストレージフォーラム株式会社ＯＳＫ日本セーフネット株式会社財団法人ソフトピアジャパン株式会社大塚商会日本電気株式会社データベース・セキュリティ・コンソーシアム

株式会社シー・エス・イー日本電信電話株式会社特定非営利活動法人デジタル・フォレンジック研究会

株式会社JMC 日本ビジネスシステムズ株式会社電子商取引安全技術研究組合ジェイズ・コミュニケーション株式会社日本ベリサイン株式会社東京大学大学院　工学系研究科

JPCERTコーディネーションセンター日本マイクロソフト株式会社社団法人日本インターネットプロバイダー協会

株式会社シグマクシス株式会社ネクストジェン社団法人日本コンピュータシステム販売店協会

シスコシステムズ合同会社株式会社ネットマークス特定非営利活動法人日本システム監査人協会

システム・エンジニアリング・ハウス株式会社ネットワンシステムズ株式会社特定非営利活動法人日本セキュリティ監査協会

株式会社シマンテックパスロジ株式会社一般社団法人日本電子認証協議会

（出所：JNSA 会員企業一覧 2011 年 6 月 27 日現在 http://www.jnsa.org/aboutus/03_01.html）

また、各国・地域を代表する情報セキュリティ事業者と日本の代表的な情報セキュリテ

ィ事業者の事業規模を比較するため、直近の各企業の有価証券報告書もしくは証券取引所

における公表データから売上高を比較したものを図表 2-4 に掲載する。米国を中心とする世

界的企業は概ね 1000 億円程度以上の事業規模を有し、欧州企業でも 100 億円を超える事例

が多いのに対し、日本では例外的に世界市場で活躍するトレンドマイクロ株式会社が 1000

億円近い売上高を確保しているものの、情報セキュリティに特化した企業または事業の事

業規模は、日本ベリサインを例外として 50 億円に満たない規模となっている。彼我の事業

体力のギャップは歴然たるものがある。

10

図表 2-4 代表的な情報セキュリティ事業者の売上高5

国社名年度米国シマンテック 6,190 M$ 5,491 億円 2011米国マカフィ 2,064 M$ 1,830 億円 2010米国ベリサイン 680 M$ 603 億円 2010米国チェックポイント 1,097 M$ 973 億円 2010米国 RSA security 307 M$ 272 億円 2004フィンランド F-secure 130.1 Mユーロ 151 億円 2010英国 Sophos 68.1 M£ 92 億円 2006英国 Clearswift 24 M£ 32 億円 2005韓国 Ahnlab 69,776 Mウォン 53 億円 2010

日本ラックホールディングス株式会社（セキュリティソリューションサービス事業）

47 億円 2011

日本トレンドマイクロ株式会社 953 億円 2010日本株式会社アズジェント 40 億円 2011

日本株式会社インテリジェントウェイブ(システムソリューション業務およびセキュリティシステム業務）

25 億円 2010

日本日本ベリサイン株式会社 69 億円 2011

年間売上日本円換算

情報セキュリティ産業を構成する企業がどんな分野で事業をしているのかの仕分けにつ

いては、第一次産業構造調査で分析を行った。同調査報告書から該当する図を再掲すると、

図表 2-5 および図表 2-6 のようになる。同図では、事業社名を原籍国別に色分けして示し

ているが、「統合型アプライアンス」「ネットワーク脅威対策製品」「コンテンツセキュ

リティ対策製品」の分野を中心に、アメリカのメーカが多数を占めていることが確認でき

る。

図表 2-5 日本の情報セキュリティ産業の機能構造－製品・ツール

ネットワーク脅威対策製品

IDS/IPS

製品・ツール製品・ツール

システムセキュリティ管理製品

暗号製品

統合型アプライアンス

データ暗号化製品暗号化ミドルウェア

セキュリティ情報管理システム／製品

脆弱性検査製品

ポリシー管理・設定管理動作監視制御製品

コンテンツセキュリティ対策製品

アンチウイルス

アンチスパム

URLフィルタリング

メールフィルタリング

アンチフィッシング

ファイアウォール

VPN

アイデンティティ・アクセス管理製品

個人認証用デバイス/認証システム

生体認証用デバイス/

認証システム

アイデンティティ管理/

ログオン管理/アクセス許可製品

PKIシステム

ソリトンシステムズアイ・ビー・イー、ネット・タイム

大日本印刷ソニーグループ

凸版印刷グループRSAセキュリティ

シー・エス・イー

ディー・ディー・エスNEC 三菱電機ソニー

日立製作所、富士通

ジュニパーネットワークスシスコシステムズ

日本HP、日本IBM

RSAセキュリティ

エントラストジャパン日本CA

ＲＳＡセキュリティエントラスト

サイバートラスト

NEC、KCCS

ソリトンシステムズノベル

日本IBM

サンマイクロシステムズ日本HP

日本CA


NEC、アクセンステクノロジー

ワンタイムPW

デバイス認証

ICカード認証

アラジンジャパン日本セーフネット

シングルサインオン

アイデンティティ管理

RADIUS USBトークン認証

アプライアンス

チェックポイントソフトウェアジュニパーネットワークスF5ネットワークス

ソニックウォールアレイネットワークス

SSL-VPN

富士通、NEC、ヤマハ

アライドテレシス、シスコシステムズ

ルータ

日本IBM、KCCS

セキュリティ検査

日本IBM、シスコシステムズマカフィー、エンテラシス、nCipher

セキュリティ監視

フォーティネットジャパン、ジュニパーネットワークス、ソニックウォール、ノキア・ジャパン、シスコシステムズ

ブルーコートシステムズセキュアコンピューティング

Webセキュリティ

バラクーダF5ネットワークス

Imperva

シトリックス・システムズ

Webアプリ

インサイトテクノロジーニューシステムテクノロジー

IPロックス、エアー

データベース

マカフィー、シマンテック、F-Secure, Sophos、アンラボ

トレンドマイクロ、ソースネクスト

アルプスシステムインテグレーションデジタルアーツ、ウェブセンス・ジャパン

トレンドマイクロ

キヤノンITソリューションズ

クリアスウィフト、エアーHDE

日本PGP、NTTソフトウェアキヤノンITソリューションズ、エントラストメール

バラクーダ、ミラポイントアイアンポートシステムズ

シマンテックテラステクノロジー

アイマトリックスプルーフポイント

メールアプライアンス

MOTex、インテリW

ハンモック、クオリティ

IT資産管理ソリトンシステムズ

ウイング、ハンモック、インテリジェントウェイブ

ログ収集・管理日立ソフトウェア

エンジニアリング、富士通ビーエスシーNEC、エフエフシー

持出制御

エムオーテックスソリトンシステムズ

クオリティ、ハンモックインテリジェントウェイブ

端末制御

日立ソフトウェアエンジニアリング富士通ビーエスシー、NEC

コンテンツチェックポイントソフトウェアマカフィー、LCLコミュニケーション

HDD

マイクロソフトアルプスシステムインテグレーション

DRM

NEC、PFU、NTTデータ先端技術

ソリトンシステムズ、松下電工ソフトクリエイト

検疫

ガイダンスS/W、アクセスデータ、UBIC

Ji2、シーアインサイト、オーク情報システムフォレンジック

東京エレクトロンデバイス三菱電機インフォメーションテクノロジ

アークサイト、RSAセキュリティ

情報管理

RSAセキュリティ、SBIネットシステムズ

赤字：米国企業青字：欧州企業黒字：日系企業緑字：韓国企業

日本独自の脅威への対応製品

資料：市場定義分類は、経済産業省委託調査JNSA「平成20年度情報セキュリティ市場調査

報告書」を元に作成


IDS/IPS

セキュアプレイン

（出所：情報セキュリティ産業の構造に関する基礎調査）

5 使用レート 2010 年東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 米ドル 88.71 円、1 ユーロ 116.39 円、

1 英ポンド 135.6 円、100 ウォン 7.61 円にて換算。

11

図表 2-6 日本の情報セキュリティ産業の機能構造－製品・ツール

設計

開発

運用

、

サービスインテグレーション

設計

開発

運用

、

サービスインテグレーション情報セキュリティ・コンサルテーション

情報セキュリティ教育

情報セキュリティ保険

情報セキュリティポリシー構築支援サービス

セキュアシステム構築サービス

ITセキュリティシステム

設計・仕様策定

ITセキュリティ

システム導入・導入支援

セキュリティ製品選定・選定支援

情報セキュリティ管理全般コンサルテーション

情報セキュリティ診断・監査サービス

情報セキュリティ関連規格認証取得等

支援サービス

情報セキュリティ関連認証・審査・審査機関

（サービス）

セキュリティ運用・管理サービス

富士通、NEC、日立製作所日本IBM、日本CA、NTTデータ

日本HP、東芝ソリューション

三菱電機、日本ユニシス

CTC伊藤忠テクノソリューションズ

大塚商会、住商情報システムマクニカネットワークス、日商エレ

富士通エフサス、富士通SSL、富士通ビジネスシステム

日立ソフトウェアエンジニアリング、日立情報システムズ日立システムアンドサービス、日立電子サービス

NECソフト、NECネクサソリューションズ、NECフィールディング、東芝ITサービス、三菱電機情報ネットワーク

グローバルセキュリティエキスパートアズジェント、ディアイティ

SBIネットシステムズ

IBMビジネスコンサルティングサービス

アクセンチュア

東日本／西日本電信電話ソフトバンクテレコム、KDDI

NTTコミュニケーションズ

日本総研ソリューションズ、三井情報NTTソフト、NTTコムウェア

電通国際情報サービス、CSKシステムズ

キヤノンITソリューションズ

パナソニックソリューションテクノロジーエクサ、新日鉄ソリューションズ

京セラコミュニケーションシステム

ネットワン、ネットマークス

通信事業者

さくらインターネット、アット東京、ソフトバンクIDC

iDC事業者

戦略系コンサル

大手メーカ

ネットワークインテグレータ

セキュリティサービスプロバイダ（コンサル系）

メーカ系SIer商社系SIer

その他SIer

大手ベンダ系SIer

あずさ監査法人トーマツコンサルティング

会計系コンサル

損保ジャパン、東京海上日動

損保事業者

リコー、富士ゼロックス

事務機系SIer

IIJ,ISP

赤字：米国企業黒字：日系企業

資料：市場定義分類は、経済産業省委託調査 JNSA「平成20年度情報セキュリティ市場調査報告書」を元に作成

ファイアウォール監視・運用支援サービス

セキュリティ情報提供サービス

インシデント対応関連サービス

ウイルス監視・対策運用支援サービス

IDS/IPS監視・運用支援サービス電子認証サービス

セキュリティ総合監視・運用支援サービス

日本ベリサイン

認証事業者ラック、インフォセック

三井物産、RSA Security

セキュアディレクションNRIセキュアテクノロジーズ

セコムトラストシステムズブロードバンドセキュリティUBIC、ネットエージェント

シマンテック

セキュリティベンダ

セキュリティサービスプロバイダ（運用系）

脆弱性検査サービス

フィルタリングサービス

情報セキュリティ教育提供

情報セキュリティ関連資格認定・教育

情報セキュリティ教育 e-ラーニング


これらの図からは、以下の点が読み取れる。①サービスの事業者は、製品ベンダに比べ

ると、国内企業が多い。これはサービスの提供は生産と消費が同時進行することや、需要

の要求特性に沿ったサービスを提供しやすいのは地場企業であるという理由に基づくもの

と考えられる。②サービスの提供は製品・ツールの流通と一体化する傾向も強く、エンド

ユーザの捕捉力に優れる国内企業の優位性があるとも分析もできる。この点は下記の「役

割構造」に関する記述からもうかがうことができる。

また、同調査報告書は「役割別構造」と題する分析の中で、モノやサービスがサプライ

ヤからユーザにどういう経路で流れるかの図式化も行っている。その図を再掲すれば図表

2-7 の通りである。そして「日本では製品は海外メーカに依存する傾向が強いと見られる。

製品をエンドユーザに直接供給する役割は、システムインテグレータと（システムインテ

グレータとしての役割を有する）通信事業者が大きな役割を果たしている。セキュリティ

サービスプロバイダは、専門性の高いコンサルティング、運用・監視サービスを提供して

いる。」と整理している。

12

図表 2-7 日本の情報セキュリティ産業の役割構造

個人個人

製品メーカシマンテック, トレンドマイクロトレンドマイクロマカフィー, RSAセキュリティ

セキュリティ・サービスプロバイダ

ベリサインラック、NTTデータセキュリティ

NRIセキュア、アズジェント

セコムトラストシステムズ

通信事業者KDDI, IIJ

NTT東西, NTT-C

システムインテグレータ

NEC, 富士通, 日立製作所

NTTデータ, IBM, 日本HP

大塚商会、CTC

リコー、富士ゼロックス

コンサルティングファーム

あずさ監査法人トーマツコンサル

セキュリティ監査事業者

損害保険事業者

損保ジャパン東京海上日動

企業・政府企業・政府

データセンター事業者

SaaS事業者

流通事業者ソフトバンクBB、アシスト、ダイワボウ情報システム、三井物産

専業事業者が主、市場規模大非専業事業者が主、市場規模大非専業事業者が主、市場規模小

リセラーPCベンダ、量販店・ショッピングモール

赤字：米国企業黒字：日系企業


総じて、エンドユーザがメーカと直接取引をするより、流通過程に介在する事業者が多

く、それらがインテグレーション機能も担うという構造が中心であると読み取れる。

2.2. 日本の情報セキュリティ産業の特性

以上、日本の情報セキュリティ産業の現況としては、①製品供給において一部分野を中

心にアメリカ企業の参入数が多い、②日本で事業を営む情報セキュリティ関連の事業者の

事業規模は 1 社当り約 19 億円と小規模である、③システムインテグレータが流通や情報セ

キュリティシステムの構築・実装・運用に占める役割が大きい、ことが確認できた。では、

このような構造にある日本の情報セキュリティ産業は、どのような特性を持っているので

あろうか。

本調査では、産業に直接間接に関わる要素について情報を得るために、「1.2.1 実態調査」

に記した調査を実施した。調査にあたっては、アメリカ企業の日本での存在感が強いこと

にかんがみ、「日本ではなぜ情報セキュリティ専業の国際的大手事業者が出現しないのか」

「米国ではなぜ世界的セキュリティベンダが多く輩出するのか」との問題意識を提起し、

「市場、顧客、技術開発、産官学連携、資金供給、起業家、人材等について」掘り下げる

こととした。

以下、産業に関わる様々な要素ごとに、特性の分析を試みる。

13

2.2.1. 市場と顧客

2.2.1.1. 市場

2.2.1.1.1. 市場の成長性

市場調査報告書においては、国内情報セキュリティ市場の成長率について、「市場の前

年度比成長率は、2008 年度：5.3%、2009 年度：マイナス 5.1%、2010 年度：2.6%となった。」

とし、「依然情報セキュリティ市場は経済全体のパフォーマンスより高いレベルで推移し

ていると考えられる。」とまとめ、以下の 5 つをその主な要因であると分析している6。

– マルウェア等の脅威の複雑化と深刻化

– 脆弱性情報の取扱・対応体制の整備

– 情報漏えい事件の頻発と深刻化

– 個人情報保護法の全面施行とプライバシーマーク取得の活発化

– 内部統制対応における情報セキュリティ

情報セキュリティ市場の成長力が安定しているという観測は、ユーザ側に対する IT 投資

調査によっても裏付けられる。経済産業省が社団法人日本情報システム・ユーザ協会（以

下 JUAS）に委託してとりまとめ 2011 年 2 月に公表した「平成 22 年度企業の IT 投資動向

に関する調査報告書（企業 IT 動向調査）」（以下 JUAS 報告書）7において、2011 年の IT

投資そのものについては「2011 年度はプラスに転じるが力が弱い」とはするものの8、IT 投

資を減額させる予定の企業が 31%なのに対し情報セキュリティ投資を減額させる予定の企

業が 5%にとどまるというアンケート調査結果に基づき「優先度などに鑑み、減額させる IT

予算の中でも情報セキュリティ予算を確保しようとしている企業の姿勢がうかがえる」と

分析し、情報セキュリティ予算が安定的に確保される状況を示している9。

一般社団法人電子情報技術産業協会（以下JEITA）では、「ソフトウェアおよびソリュー

ションサービス市場規模調査」「サーバ・ワークステーション出荷実績」「パーソナルコ

ンピュータ国内出荷実績」等の統計データ10を公表しており、これらから国内のIT出荷額を

把握することができる。市場調査報告書では、このJEITA統計との比較にも言及しており

「JEITAによる『ソフトウェアおよびソリューションサービス国内市場統計』では、2008年

度の前年度比伸び率がSI開発で3.5%、ソフトウェアでマイナス2.2%、アウトソーシングそ

の他サービスで1.6%で、全体では2.0%の伸びとなっている。本調査では2008年度の前年比

成長率は5.3%と算出された。IT全般に比較して、かなり高い成長速度を示していると言え

る。」として、情報セキュリティ市場の成長力を確認している。

2009年度の数字について、JEITAの統計を整理・集計すると、図表2-8のようになる。同

6 同報告書 41p～44p 参照。

7 http://www.meti.go.jp/policy/mono_info_service/joho/itdoukou/2010/01.pdf

8 同報告書 24p 参照。 9 同報告書 283p 参照。 10 JEITA 統計は http://www.jeita.or.jp/japanese/stat/index.htm 及び http://home.jeita.or.jp/is/new/statistics.html#sol

14

じ期間の情報セキュリティ市場の数字を図表2-1から拾って並べると図表2-9のようになる。

リーマンショック後の世界不況の中で世界経済が停滞した2009年度は、IT出荷額は合計で

10.7%の落込みとなったが、同期間の情報セキュリティ市場の落込みは（見込みベースでは

あるが）5.2%にとどまっている。不況下でもITほどには落ち込まない、情報セキュリティ

への支出態度が確認できる。

図表 2-8 国内 IT 出荷額推移（JEITA 出荷額統計資料）

2008年度 2009年度(億円) (億円)

PC出荷額 9,758 8,858 -9.2%

コンピュータ出荷額計* 5,688 4,622 -18.7%

ソフトウェア 7,484 6,851 -8.5%

SI開発 27,502 24,152 -12.2%アウトソーシングその他サービス 22,466 20,615 -8.2%

ソフトウェア・サービス合計 57,452 51,618 -10.2%

IT出荷額合計 72,898 65,098 -10.7%

JEITA統計伸び率

（出所：JEITA 出荷額統計資料から IPA 作成）

図表 2-9 国内情報セキュリティ市場推移（JNSA 統計）

2008年度 2009年度(億円) (億円)

情報セキュリティツール市場 3,734 3,588 -3.9%情報セキュリティサービス市場 3,486 3,260 -6.5%

情報セキュリティ市場合計 7,220 6,848 -5.2%

情報セキュリティ市場伸び率

（出所：図表 2-1 資料から IPA 作成）

2.2.1.1.2. 経済規模との相対比較における日本の情報セキュリティ市場

市場調査報告書では、日本の情報セキュリティ市場規模と世界の各地域とを比較して分

析しているが、その中で情報セキュリティ市場規模の地域シェアを経済規模の地域シェア

と比較している。ここで経済規模の地域シェアについては、OECD加盟国のGDPを地域に

分けて集計したもので算出されている。そのデータは2-10のとおりである。

図表 2-10 世界地域別情報セキュリティ市場のシェア分布と GDP 分布比較

市場シェア分布 GDP分布2008年 2008年

北アメリカ 44.2% 38.2%西ヨーロッパ 30.2% 35.6%アジア太平洋 7.7% 5.7%日本 12.4% 10.9%その他 5.5% 9.5%

（出所：「平成 21 年度情報セキュリティ市場調査報告書」より IPA 作成）

同報告書によれば「単純比較をすれば、GDP分布に比べて北アメリカの情報セキュリテ

15

ィ市場シェアが高く、西ヨーロッパがやや低い。またOECD統計には中国、インド、台湾、

香港、ASEAN緒国が含まれないという母集団の差から当然ながら、アジア太平洋は情報セ

キュリティ市場シェアがOECDベースのGDPシェアより高くなる。日本はOECDシェアに比

較すると情報セキュリティ市場のシェアは若干高い状態にあると言える。」としている。

つまり、世界経済の中で相対的に比較した場合、日本は経済規模の割に情報セキュリテ

ィ市場の規模が相対的に大きいことになる。これは、米国ほどではないにせよ、ヨーロッ

パよりは相対的に市場機会があることを示すデータとして興味深い。

2.2.1.2. 商流・流通構造

日本市場の流通構造の枠組みについては、「2.1.日本の情報セキュリティ産業の現況」で

第一次産業構造調査における構造分析を確認したが、ここでは、本調査において明らかに

なった特徴点を海外との比較も交えて整理する。

2.2.1.2.1. 日本の商流の特徴（強みと弱み）

本調査における国内情報セキュリティ事業者へのアンケート調査では、図表 2-11 に示す

ように、「商流に入ってくる業者」としては「一次卸」「二次卸」「付加価値再販業者」

「ユーザ向け販売店」が多く挙げられた。その中で「商流でポイントとなる業者」として

「システムインテグレータ」がトップで挙げられる結果となった。なお、「商流」とは、

製品の供給元からエンドユーザまでモノやサービスが受け渡される商取引の連鎖を流れに

見立てた言葉として使っている。

図表 2-11 日本企業情報セキュリティ産業の流通構造（問 8(1)）

【自社のポジション】（複数回答）

54.1%

18.9%

8.1%

16.2%

35.1%

16.2%

0.0%

0% 10% 20% 30% 40% 50% 60%

１．メーカ

２．一次卸

３．二次卸

４．付加価値再販業者

５．システムインテグレータ

６．ユーザ向け販売店

無回答

n=37

【商流に入ってくる業者】（複数回答）

16.2%

43.2%

27.0%

27.0%

16.2%

29.7%

21.6%

0% 10% 20% 30% 40% 50%

１．メーカ

２．一次卸

３．二次卸




無回答

n=37

16

【商流に入ってくる中でポイントとなる業者】（複数回答）

18.9%

18.9%

5.4%

13.5%

40.5%

13.5%

18.9%

0% 10% 20% 30% 40% 50%

１．メーカ

２．一次卸

３．二次卸




無回答

n=37

このような日本の商流に対しては、情報セキュリティ事業者からはメリット、デメリッ

ト双方の意見が挙がった。メリットに関する主な意見は、販売チャネルを有効活用するこ

とで事業成果を上げられる、商機を拡大できる、システムインテグレータなどが顧客ニー

ズにきめ細かく対応できるというものであった。一方、デメリットは、リードタイムが長

くかかることや、ユーザのニーズが情報セキュリティ事業者に伝わりにくい等、ユーザと

供給側とのコミュニケーションへの影響を懸念するというものであった。

図表 2-12 日本企業流通構造におけるメリット・デメリット（問 8(2)）

29.7%

21.6%

40.5%

21.6%

40.5%

51.4%

5.4%

35.1%

18.9%

10.8%

21.6%

24.3%

0.0%

0% 20% 40% 60%

１．ユーザとのコンタクトが効率的に行える

２．ユーザのニーズを反映した製品を提供できる

３．ユーザのニーズがメーカに伝わりにくい

４．ユーザの情報セキュリティへの関心を低くしている

５．ユーザへのきめ細かい対応が可能である

６．商談リードタイムが長くなり効率を悪くしている

７．商流が整理され取引効率が上がる

８．中間事業者が多く利益率が低下している

９．中間事業者が付加価値を提供できる

１０．中間事業者がメーカよりも力を持つ

１１．ビジネスプロセスが流通過程に主導されやすい

１２．メーカのサポート負荷が軽減される

無回答

n=37

日本産業インタビュー（商流をプラスに捉える回答）

日本進出時より販売チャネルの開拓に力を入れたことが奏効した。（外資ベンダ）

日本の商流が複雑であることを有利に考え、外資に対抗した。（国産ベンダ）

中小規模の会社に売り込む際は、サービスプロバイダの力が必要。エンドユーザの導入の手間を

尐なくする提案がポイントとなる。（国産ベンダ）

ユーザ業務に応じたセキュリティの組み込みをきめ細かく提供しているが、これはシステムイン

テグレータだからこそ可能。ユーザ企業の立場に立てる。（システムインテグレータ複数）

17

そして、図表 2-13 に示すように、このような流通構造が日本の商慣行であるということ、

ユーザの情報セキュリティ知識の不足の状況への対応においてもシステムインテグレータ

の存在が必要であること、を認める企業が過半数であった。功罪への評価は様々でも、事

実として受け入れている状況がうかがわれる。

図表 2-13 日本企業情報セキュリティ産業における商流（流通構造）に対する評価（問

8(3)）

18.9%

18.9%

18.9%

13.5%

32.4%

29.7%

24.3%

24.3%

43.2%

43.2%

54.1%

59.5% 2.7%

2.7%

8.1%

5.4%

0% 20% 40% 60% 80% 100%

１．対面での交渉が重視されるため、エンドユーザにコンタクトしやすい販売店が必要である

２．取引実績が重視されるため、新規メーカの直接販売よりも既存販売店を通じたチャネルが有効である

３．ユーザの情報セキュリティ知識を補うためのコンサルタントやインテグレータが必要である

４．情報セキュリティに限らない日本の商慣行である

そう思わないどちらでもないそう思う無回答n=37

2.2.1.2.2. 米国の商流の特徴

米国の商流には、以下のタイプがあり、大企業・中小企業等のユーザの企業規模や業態

によって主に活用している商流は異なる11。

・インターネット等によるダイレクト販売

・セキュリティサービスプロバイダやシステムインテグレータによるシステム搭載

・システムを内製している大手ユーザ企業へのメーカからの直接販売

・地域密着型セールスレップ（販売代理店）の仲介機能

また、ユーザの購買への意思決定に対する影響力に関する情報セキュリティ事業者等か

らのアンケート調査では図表 2-14 のようなデータが得られた。

11第一次産業構造調査 20p

日本産業インタビュー（商流をマイナスに捉える回答）

システムインテグレータが商流をきっちりおさえており、商流が長く、ユーザに声が届かない。

セキュリティは本来ユーザと対面でニーズを聞くことが重要で、中間流通が多いことはあきらか

に阻害要因と考える。（国産ベンダ・複数）

ユーザの製品理解のための試用なども何でもリードタイムがかかる。（国産ベンダ・複数）

販売チャネルの開拓と確保が非常に大きな要素だが、中小規模、ベンチャーの場合製品を力のあ

る販売業者の取扱にのせることがそもそも難しい。（国産ベンダ・複数）

18

図表 2-14 米国企業情報セキュリティ製品の選定において重視される項目（問 12）

40.0%

35.0%

25.0%

50.0%

30.0%

20.0%

10.0%

35.0%

55.0%

0% 20% 40% 60%

１．ベンダの提案内容が重視される

　　　　　　２．メディアによる製品やベンダの評

価が重視される

３．販売チャネルによる提案内容が重視される

重要度 1 重要度 2 重要度 3n=20

すなわち、米国の商流には仲介機能を持つ様々なチャネルがあるが、ユーザの選定に対

する影響力がどこにあるかについては、販売チャネルによる提案内容よりも情報セキュリ

ティ事業者の提案内容が重視される傾向が明らかとなった。

2.2.1.2.3. 欧州の商流の特徴

欧州の市場は、製品・ツール市場においては F-Secure や Sophos など欧州ベンダの存在も

あるものの、主な製品ベンダとしては米国企業が強い状況12であり、サービスにおいては地

域に密着した企業が主であるなど、産業構造については日本と似た状況が確認できる13。

一方、流通構造に関しては、英国やフランスなどは付加価値提供型リセラーが強く、ド

イツなどはディストリビュータが主であるなど、国による商慣習の違いは多尐あるが、日

本に比してシンプルである点が共通しており、商流には、以下のタイプがある。

・ Value Added Reseller：付加価値提供型リセラー（システムインテグレータ、コンサル

ティング、運用・監視サービスを全て行う）

・エンドユーザやリセラーに対して製品を供給するディストリビュータ

・直接販売

12欧州委員会「The European Network and Information Security Market April 2009」は、2007 年度の EU 市場の

占有率は EU 域内ベンダの 16.5%であり、ベンダ Top5（Symantec, IBM, McAfee, Cisco and Trend Micro）が

域内の 20%シェアを持っているとしている。http://ec.europa.eu/information_society/policy/nis/docs/others_pdf/smart2007005_D_7_1.pdf 13

第一次産業構造調査 35～36p 参照。

19

日本に比して商流が短いことと、大規模企業に対しては、ベンダからの直接販売もチャ

ネルとしてあることが特徴と言える。

2.2.1.2.4. 韓国の商流の特徴

韓国の市場については、Cisco, Symantec などの名前も一部に見られるが、製品、サービス

とも Ahnlab、IGLOO など、韓国企業の存在感が圧倒的に大きいことが際立った特徴と言え

る。

商流については、システムインテグレータ、ディストリビュータなどが存在し、ユーザ

企業もシステムインテグレータに依存する傾向があることは日本と同様である14。商流には、

以下のタイプがある。

・システムインテグレータ（但し日本と異なりシステム構築の請負が主で製品の再販に

は関与しない）

・大手の販売代理店・ディストリビュータ・リセラー

・直接販売（韓国ベンダで直接販売を指向するところもある）

2.2.1.2.5. 日本の商流の特徴と課題

日本、米国、欧州、韓国それぞれの商流においては、直接販売や、地元密着のリセラー

の存在など、国・地域ごとの特徴が見られる。これらは各国・地域の過去からの商慣習や、

地理的な状況も背景にあると考えられる。日本においては、商流に参加する業態が他国・

地域よりも多く、複雑性・多様性を有することが実態として確認された。

流通構造は歴史的な商慣行や地域特性によるものも多く、ベンダから見たときに、ビジ

ネス・プロセスの主導権を握れないというフラストレーションの原因ともなるが、流通を

束ねる存在に依存できることは営業効率を高める面も否定できない。企業はこれらのメリ

14

第一次産業構造調査 44～46p 参照。

欧州ベンダ・ユーザインタビュー

銀行を例にすると、欧州の場合、ドメスティックな銀行に対するチャネルはリセラーだが、国際

的なネットワークセキュリティが関係するインターナショナルな銀行は違う。英国は比較的ベン

ダからの直接セールスだが、他の国ではリセラーから購買する銀行もある。（欧州ベンダ）

英国では「システムインテグレータ」という概念がなく、直接複数ベンダに対して提案要求を行

い、それぞれの比較評価を行う。（英国日系金融ユーザ）

韓国ベンダ・ユーザインタビュー

ディストリビュータとして大手の専門チャネルがあり、（ソフトバンク Korea、インソン情報、DAOU

Data 等）その下にユーザ向けの販売店・小売事業者がいる。リセラーは、金融、教育、行政などの

業種別にも特化している。（韓国ベンダ）

システムインテグレータはシステム構築が主であり、販売はまれである。（韓国ベンダ）

大手韓国ベンダは販売代理店網を活用している。しかしそれらの一部大手を除き、顧客への直接販

売を指向する。（日系韓国サービスプロバイダ）

ビジネスにあたっては韓国系システムインテグレータなどのパートナーと組む場合と、独自での販

路開拓が、半々程度である。（韓国サービスプロバイダ）

20

ット・デメリットを把握して商流を活かすことを考える必要がある。例えばベンダであれ

ばシステムインテグレータや販売チャネルを活用して広くユーザにアプローチする等、メ

リットを多く活用するとともに、デメリットであるユーザとの直接コミュニケーションの

制約を、インターネットの活用などで補完していく、などである。

2.2.1.3. 顧客

2.2.1.3.1. 日本のユーザ企業の投資マインド

2011 年 2 月 2 日ガートナージャパン発表の「国内企業の IT 投資動向調査」プレスリリー

ス版15によると、2010-11 年度の新規・追加 IT 投資の中で重視する投資分野（複数選択可）

として 21%と最も多くの企業が情報セキュリティ管理を挙げている。5 社に 1 社はセキュリ

ティを重視しているということである。

一方で、本調査においては、情報セキュリティ事業者から見た製品・サービス展開の阻

害要因として「エンドユーザの予算の不足」が 70.3%、「エンドユーザの情報セキュリティ

への理解不足・認知不足」が 54.1%と、高い割合で挙げられた（図表 2-15）。これらの背景

を自由回答およびインタビューから探ってみると、日本のユーザ企業の情報セキュリティ

への「理解不足・認識不足」や、情報システム全体の予算が不足する中で、投資効果が把

握しにくい情報セキュリティは「情報システム投資」の対象として削られやすいことが挙

げられている。

図表 2-15 日本産業アンケート日本における情報セキュリティ製品・サービス展開の阻

害要因（問 6）

54.1%

70.3%

16.2%

35.1%

21.6%

2.7%

2.7%

10.8%

21.6%

13.5%

8.1%

8.1%

0.0%

0% 20% 40% 60% 80% 100%

１．エンドユーザの情報セキュリティへの理解不

足・認知不足

２．エンドユーザの情報セキュリティ予算の不足

３．製品・サービス・社名の知名度不足

４．市場価格の低さ（低価格競争による利益圧迫）

５．有力な販売チャネルの確保困難

６．流通マージンによるコスト競争力低下

７．技術開発力の不足

８．製品開発力の不足

９．技術・開発要員の人材不足

１０．販売要員の人材不足

１１．研究開発資金の負担が過大・資金不足

１２．事業を成長させるための資金不足

無回答

n=37

15

http://www.gartner.co.jp/press/html/pr20110202-01.html

21

「2.2.1.1.1.市場の成長性」や「2.2.1.1.2.経済規模との相対比較における日本の情報セキュ

リティ市場」の分析との関連で見た場合、次のように言えるのではないか。すなわち、日

本の情報セキュリティ市場は、マクロにおいては規模感も遜色なく、IT 市場の中では相対

的に高い成長性を維持している。一方、個別企業のミクロの意思決定においては、情報セ

キュリティ対策の必要性を評価しつつも、その費用対効果の確認や絶対的予算配分額等に

おいては必ずしも情報セキュリティ事業者の期待ほどの勢いがない。その結果、国内の情

報セキュリティ事業者とっては、国内市場における事業機会に対して物足りない、あるい

は不十分な感覚に陥るということである。「2.1.日本の情報セキュリティ産業の現況」で見

た１社当たり事業規模の小ささからしても、情報セキュリティ事業者がそのような感覚を

持つことは十分ありうると考えられる。

2.2.1.3.2. 日本のユーザ企業の製品選択における意思決定

本調査における日本産業アンケート調査、インタビュー調査等により浮かび上がった日

本のユーザ企業の特徴として、品質追及に対する厳しさと、他社での導入実績を重視する

指向が挙げられる。

実績重視については、情報セキュリティに限らず「先進技術を導入した製品よりも、使

用後の不具合フィードバックや、要望等にもとづき改良された製品を購入する」「他社へ

の導入実績を必ず問われる」「同業他社への実績や販売数を問われる」などが、一般的な

日本企業の購買傾向として指摘されているところである。

また、先進技術の導入にあたっては、それらの技術評価およびリスク評価が必要になる

が、現在ユーザ側の IT 人材・情報セキュリティ人材不足が言われる中においては、先進的

な製品を導入したくとも評価できない状況もある。

日本産業アンケートの自由回答および産業インタビュー

特に中小企業以下の規模ではセキュリティ知識が乏しく意識が低い（国産ベンダ、システムイ

ンテグレータ）

情報セキュリティ対策の投資効果・費用対効果の明確化が困難なため、エンドユーザの投資優

先度が低い。投資というよりコストと認識されている。（国産ベンダ、システムインテグレー

タ、サービスプロバイダそれぞれ複数）

情報システム部門、情報セキュリティ部門の会社組織内の位置づけが低い。（サービスプロバ

イダ、システムインテグレータ）

日本産業アンケートの自由回答

製品、サービスが多岐に亘り、ユーザに技術評価・支援する人材が不足している。（国産ベンダ）

日本のユーザ企業は保守的であり、無事故の実績を強調しないと導入の決断をしない。システム

インテグレータ側にシステム導入試験の負担の負荷が掛かっている、実績重視である。（国産ベ

ンダ、外資ベンダ、システムインテグレータ、複数）

米国、韓国のユーザは先進的な技術に関心が高く、新規製品の導入にためらいがない。安価にベ

ータ版の試験的ユーザ契約を行う指向がある。（国産ベンダ、システムインテグレータ複数）

22

その結果、ユーザ企業はシステムインテグレータに仕様や要求水準を明示しないままセ

キュリティ対策の実装を要求し、システムインテグレータ側は何をどこまでやればよいの

かということと、それに対して対価がどのように伴うのかという問題を抱えつつ対応する

ことになる。結果として、だれも達成目標を確認していない、何がどこまで対策されてい

るのか分らない、という状況にもかかわらず、セキュリティ対策は行ったという漠然たる

事実に安堵するということにもなりかねない、という有識者からの指摘もあった。

2.2.1.3.3. 米国ユーザ企業の情報セキュリティ投資および製品選択における意思決定

米国の情報セキュリティ事業者調査を通じて確認できた、情報セキュリティユーザ企業

の購入動機は、図表 2-16 のようになった。

図表 2-16 米国産業アンケートユーザの製品・サービス購入動機（問 3）

15.0%

15.0%

15.0%

10.0%

0.0%

5.0%

10.0%

10.0%

10.0%

10.0%

5.0%

0.0%

5.0%

40.0%

75.0%

15.0%

90.0%

80.0%

90.0%

10.0%

90.0%

90.0%

90.0%

25.0%

30.0%

65.0%

45.0%

10.0%

70.0%

0.0%

20.0%

0.0%

80.0%

0.0%

0.0%

0.0%

70.0%

70.0%

30.0%

0% 20% 40% 60% 80% 100%

１．SOX法遵守

２． GLB法遵守

３． HIPAA遵守

４．「公正信用取引法」「ケーブル通信政策法」「ビデオプライバシー法」「児童オンラインプライバシー保護法」等、プライ

バシーに関する一連の個別法規制

５．個人情報保護に関する州法の遵守

６． Truste等プライバシー保護マークの取得

７． PCIDSS対応

８． ITSMS（ISO20000）認証取得

９． ISMS（ISO27001）認証取得

１０． ISO31000関連の動向

１１．自社の情報資産の保護

１２．Data breachの防止

１３．従業員の不正防止と早期発見

購入動機とはなっていないどちらとも言えない

購入動機となっているn=20

情報セキュリティ対策の購入動機としてベンダが高く評価しているものは、PCI DSS、

23

HIPAA、自社の情報資産の保護、Data Breach16の防止となる。

米国の情報セキュリティユーザ企業に関しては、IT（製造）、情報通信、航空の各企業へ

のインタビューおよび有識者インタビューを行った。その結果は下記枠囲いに示すが、以

下のことが観測できる。

企業は、情報セキュリティに関わるリスク評価および日常のモニタリングを行う機能を

有しており、リスク評価に応じた製品・システム導入を決定していることが業種を問わず

共通している。それらのリスク評価から、製品導入の効果・損失（リスク削減効果と、製

品導入によるリスク（手順変更コストやシステム瑕疵があった場合の対応などを指す）と

比較考量する手順が確立されている。

製品導入にあたっては、大企業では、アナリストの意見（ガートナーなどの市場調査会

社が行う市場・技術の分析評価）を基に、自社の判断で製品選定を行っている。米国にお

いては、尐なくとも大企業においてはユーザ自らが情報セキュリティリスクを評価し、製

品導入においても主体的に評価し、製品を選定しているという点が特徴的である。

なお、中小規模の会社では、ベンダ提案（コンペの開催）を重視し、小規模企業では、IT

の相談に乗ったり、必要なハード・ソフトを届けたりするなど、地場の IT コンサルタント

からの情報に依拠する傾向もある。自社内の評価は難しいようである。

16

個人のプライバシー情報等の漏洩・紛失に際して報告や公表を義務付ける州法等に基づく事案

米国有識者インタビュー

大企業を中心に、ユーザ企業では多層防御の考えが浸透しており、複数のレイヤーにセキュリテ

ィを入れるが、その際、違うベンダの製品を採用する。

採用に際しては、比較的小規模企業の製品でも積極的に使う傾向にある。小規模企業の製品は小

回りが利くので使い勝手がよいという判断と考えられる。

ガートナー、IDC、Forrester などの調査分析会社が強い影響力を持っている。

1000 人から 1 万人規模の中堅クラスは、高額のアナリストレポートを買うよりは複数の企業に競

争提案させて比較する傾向にあり、大企業より保守的な傾向がある。

セキュリティで先端を行く金融業界のやり方に習う傾向があり、ガイドラインができればそれに

従うことが多い。

小企業はコスト意識が高い。自分で判断することが難しいため、地場に特化した販売店に依拠す

る傾向にある。

米国ユーザインタビュー

情報セキュリティに関する責任者は、IT 部門の CIO、法務部門の CSO、プライバシー室のチーフ・

プライバシー・オフィサー（CPO）（通信）。リスク全般を統括する委員会があり、IT リスク委

員会を下部組織に持つ（製造、通信、航空）

委員会においてリスクをモニタリングしている。（通信）技術部門がリスクモニタリングと評価

を行う。（航空）

リスク「発生確率」や、例えばコンプライアンス規制や風評というような「性質」「影響度合い」

を考慮する。（製造）

IT 部門は事業パフォーマンスとセキュリティによるパフォーマンス低下のバランスを比較考量し

調達仕様を決定する（通信）

セキュリティ調達と要件定義は各部門のサポートを得て IT 部門・技術部門が行う。（通信、航空）

第三者の専門家に意見を求めることもある。（航空）

24

2.2.1.3.4. 欧州ユーザ企業の情報セキュリティ投資および製品選択における意思決定

欧州における情報セキュリティユーザ企業の実態調査については、イギリスの製造業（部

品）、ドイツの製造業（部品）、フランスの製造業（防衛）の各現地企業、英国およびフ

ランスに進出している日系企業（金融）、北欧の情報セキュリティ事業者、ならびに有識

者へのインタビューを行った。

欧州では、リスク管理が米国ほど厳密ではないとの指摘もあるが、グローバルに事業展

開している大企業においては、グローバルにリスク評価を行い、統一されたセキュリティ

ポリシーの下に管理されている。情報セキュリティに関する技術担当をおき、製品の費用

対効果評価をおこないユーザが主導的に製品選定を行っている。

2.2.1.3.5. ユーザ企業のビヘイビアに関する内外比較

米国および欧州の企業では、リスク評価に基づき情報セキュリティ保護を体系的に位置

づけて対策を実施している実態が見える。日本と同様に、法令や業界ルールが情報セキュ

リティ対策の動機と位置づけられる面はあるが、種々の指摘を総合すると、法令違反が起

きた場合のダメージをリスク評価にきちんと組み入れている、ということのようである。

それに加え、自社の情報資産の保護という明確な目的意識が読み取れる。まさに経営課題

の一環として情報セキュリティが位置づけられていることが確認された。

日本においても、法令順守が情報セキュリティ対策の動機あるいは誘引となる要素が強

い。しかし、それは法の要求があるからという受身的理解が強く、法令違反が起きた場合

欧州有識者・ベンダインタビュー

情報セキュリティポリシーは本社が策定し、情報インフラを統一している。ネットワークに関す

るセキュリティが重視される。（北欧・ベンダ）

欧州ユーザインタビュー

ICT セキュリティ戦略を策定している企業は大企業で 6 割以上。ドイツ・英国は欧州平均程度、北

欧は平均を上回り、フランスは下回る。

グローバル展開をしている企業はグローバル統一のセキュリティ基準を策定している例があ

る。（欧州ユーザ・複数）

法令やコンプライアンスの枠組、業界団体によるガイドラインはセキュリティ投資の有力な動機

となる（欧州ユーザ・複数）

リスク評価はグローバルレベルで行う。各地域法人が情報セキュリティリスクとリスク対応策を

本国に対してレポーティングしている。（ドイツ・製造）（英国・製造）

グローバルで採用している情報システムについては本国管理本部が定める。情報セキュリティの

製品仕様はレベルに応じて判断される。本社が全世界に対して製品支給するレベルから現地で判

断し導入するレベルなど。（ドイツ・製造）（英国・製造）

米国ほどにリスク管理を厳密にしているということはない。（ドイツ・製造）

現地法人採用の情報セキュリティ技術担当を置き、新規ベンダおよび技術評価を行う。（英国・

日系金融）

金融業として 24 時間 365 日サポート体制を求めたいが、日系大手でも対応できないところが多い。

（英国・日系金融）

金融業の取組レベルは日本と同等（英国・日系金融）、日本が進んでいると感じるときも多い。

（フランス・日系金融）

25

のダメージを評価してリスク管理対象とする発想には至っていない。費用対効果の議論は

出るが、情報資産の価値や事故が起きたときのダメージの評価が確立していないことによ

り、効果の測定ができないというジレンマのレベルにとどまっているように見える。

2.2.1.4. 市場と顧客の観点からの日本の特徴と産業にとっての課題

以上、「市場と顧客」という切り口において、海外との比較も交えて、日本の情報セキ

ュリティ産業が置かれている状況の分析を行った。市場と顧客の観点からは、日本市場の

特徴と情報セキュリティ産業の課題として、以下のことが言えると考えられる。

日本の情報セキュリティ市場は、絶対額的にも、IT 投資との対比においても、また経済

規模との相対比においても、一定の規模を持って存在している。また、日本のユーザ企業

が IT 投資全体を削減する中においても、情報セキュリティ投資を極端に削減することがな

いという動向からも、国内の情報セキュリティ市場は今後も安定的に推移することが期待

される。日本の情報セキュリティ産業にとっては、基盤となる市場と評価して、その事業

基盤を日本に置いて事業活動をしていくことが可能な状況にあると言える。

一方、国内情報セキュリティ事業者の市場評価は、「顧客における予算不足、人材不足、

経営戦略におけるセキュリティの位置づけが軽いといった要因のために十分な事業機会が

得られない」といった、ネガティブなニュアンスが強い。現実には上に見たように規模・

成長性・安定性といったマクロ経済的属性において、ポジティブに評価すべき実態がある。

産業側の閉塞感の要因は、①ユーザの実績重視指向により新規提案が通りにくい、②予算

は大幅な削減もされないが大幅に伸びることも期待できない、③プレイヤーが多い（商流

が複雑な）ために、マージンが十分得られず収益構造が厳しくなるといったミクロ面にあ

ると考えられる。

流通構造やビジネスモデルは日本の商慣習によるもので構造的問題であり、情報セキュ

リティに固有ということでないことからは他の産業とはイコールフッティングである。顧

客の投資マインド、製品選択の意思決定等においては、日本に固有の環境の悪さも見える

ところである。これは需要面がより成熟し、戦略的意思決定を背景に情報セキュリティ投

資への積極的評価が可能になる状態を待つしかない。無論、単に待つということでなく、

業界を含む関係者がそのような状況の実現に向けて努力することが大事であると考えられ

る。

2.2.2. 研究開発と産業技術力

日本の情報セキュリティ産業における研究開発と産業技術力17の実態を探る。日本の情報

セキュリティ産業が自らの技術力をどのように捉え、どんな課題を抱えているかを把握す

17産業技術力強化法（平成 12 年 4 月 19 日法律第 44 号・最終改正平成 21 年 4 月 30 日法律第 29 号）にお

いては「産業技術力」とは「産業活動において利用される技術に関する研究及び開発を行う能力並びにそ

の成果の企業化を行う能力をいう。」と定義されている。

26

る。

2.2.2.1. 研究開発

日本は大手企業が製品化・事業化のための設計開発部門とは別に基礎研究所を有してい

ることが多いが、情報セキュリティの分野においても同様に、大手ベンダや大手システム

インテグレータで、自社の研究開発組織が基礎研究を実施している実態がインタビューで

確認された。また、大手企業に加えベンチャー企業、中小企業においても特に資金や人材

の確保が難しく、研究開発が十分に行えないとの実態が確認できた。確保が難しい理由に

ついては、利益率が薄く研究開発費に回せるだけの利益が確保できないことが挙げられた。

本来、技術力を経営のコア・コンピタンスとするベンチャー企業や中小企業においては、

人的にも資金的にも研究開発に振り向ける割合が高まるべきであるが、日本の情報セキュ

リティ産業においてそれが実践できていない点が弱みである。

研究開発における課題としては、図表 2-17 に見るように、人材と資金が突出して大きく浮

かび上がった。

国内産業インタビュー（人材不足）

人材確保が難しい。余剰人材を抱える余裕がない。日本の優秀な若手・特に理系は大手指向が強

く採用も難しい。（国産ベンダ）

技術検証や試験など多く人員が必要だが不足している、特に新卒を育てるのは大変で社内教育を

多く行う必要がある。（システムインテグレータ）

国内産業インタビュー（資金不足）

利益が薄いので研究開発にお金を掛けられないというのが現状だ。（国産ベンダ）

本当に画期的な技術は、資金を大きく投じないと開発できない。セキュリティ技術は常に予期し

ない脅威を追いかける必要があり、大きな資金のプロジェクトが必要。（国産ベンダ）

SI が中心の業務形態であり本来必要な「研究開発予算」がなかなかとれない。（システムインテ

グレータ）

システムインテグレーションが中心のビジネス形態だが、技術のキャッチアップには専任の技術

者が必要、製品開発も必要。顧客要請に伴う開発予算が多く必要。リリース前の検証等があり開

発経費がかかる。（システムインテグレータ・複数）

国内産業インタビュー（研究開発実施実態）

自社での製品開発ではコア技術・ドライバ技術などを必要としているが、自社開発要員で行ってい

る。自社の研究組織を持ち、研究組織に事業部門から研究資金を提供して基礎技術研究を行ってい

る（国産ベンダ複数）

研究開発はほとんど自社のリソース。一部海外技術を M&A で買うこともした。（国産ベンダ）

システムインテグレーションにおいても技術キャッチアップのためや、顧客要請に伴う開発が必要。

専任の研究者をおいている。（システムインテグレータ複数）

サイバー防衛を得意分野としており、技術者の割合を増やしている。（サービスプロバイダ）

基本的には基礎研究、研究開発は「千三つ」の世界。経営者の判断で身の丈に応じて、失っても経

営が持ちこたえる範囲で行うべき。（国産ベンダ）

27

図表 2-17 日本企業国内における研究開発の課題（問 9(2)）

32.4%

2.7%

45.9%

16.2%

8.1%

16.2%

8.1%

13.5%

8.1%

5.4%

0.0%

45.9%

0% 20% 40% 60%

１．研究開発資金の調達および確保

２．研究開発に必要な設備の調達および確保

３．研究開発に携わる人材の調達および確保

４．研究開発に関する情報の入手

５．基礎技術力の不足

６．技術経営力の不足

７．技術開発力の不足

８．製品開発力の不足

９．公的機関や大学等との産官学連携への取組不足

１０．その他

１１．課題はない

無回答

n=37

米国企業における研究開発投資は日本に比べて積極的で充実している模様である。

経済産業省が独立行政法人日本貿易振興機構（以下 JETRO）に委託して行った「平成 20

年度海外技術動向調査18」によれば、米国企業においては、ガリバーといわれるソフトウェ

ア企業において、売上高比 15%程度を研究開発費に投じている。また、当該調査が実施し

たシマンテック社 CTO19（Mark Bregman 氏、当時）へのインタビューでは、「技術面での

優位性が企業の成功を導くと考えており、R&D への投資を重視している。このため R&D 拠

出は年々増加傾向にあり、2008 年度の R&D 費は売上の 15％」としており、「シマンテッ

ク社の 3 つのイノベーションアプローチ」として、①社内研究、②獲得（事業・技術確保

を目的とした買収）、③外部連携（大学との連携から企業・政府との連携も行うようにな

った。経験は浅いが増えている。増えた要因は米国連邦の政府施策で産学連携を促進して

いるから。）を挙げている。

2.2.2.2. 産業技術力

日本の製造業においては、製品開発、生産性向上、高品質の作りこみ等、産業技術力に

よる競争力がその活性と成長の源と認識されている。しかし、情報セキュリティ産業にお

いて、その点に対する自信や、産業技術力を強みとする認識はあまり見られていない。

18経済産業省委託 JETRO「平成 20 年度海外技術動向調査報告書-米州編-平成 21 年 3 月」

http://www.meti.go.jp/policy/tech_research/30_research/foreigncountries-research/h20fy/h20fy_america.pdf 19 CTO:Chief Technical Officer

28

産業競争力を高める要素として、コアとなる要素技術を持っていることは非常に重要で

ある。製品の物理的機能で勝負する自動車や家電の世界では、製品開発、生産性向上、高

品質の作りこみといった産業技術力が競争の鍵を握るが、現在、情報セキュリティ製品の

ようにコンピューティングとネットワークの機能が主である世界ではコア技術が左右する。

そのコア技術の多くは海外（主に米国）からもたらされているというのが実情である。暗

号化技術や、優秀な技術者の存在など、日本発の独自技術の例もあるが、広く製品化がな

されグローバルに広まる状況にはなっていない。

その理由としては、コンピューティングとネットワークの技術の大半が米国で開発され

育てられたという歴史的背景が上げられる。米国の国内市場規模が圧倒的に大きいという

競争優位もあって、米国と製品レベルで対等に渡り合う国産技術は限られたものとなって

いる。

また、産業技術力を高める鍵となる開発資金と人材についても、十分確保できていない

日本産業インタビュー（米国技術が主である状況）

基本のテクノロジーが米国にあり、セキュリティベンダに聞いてもコア技術が米国製である。米

国には R&D のプロフェッショナルがいるが、日本はほとんどいないと思う。（国産ベンダ複数）

日本に独自の技術が基本的にないと考えている。現在の基本技術が海外のものである。日本はチ

ューニングや運用を行うという状況。日本発の技術がない。（国産ベンダ、サービスプロバイダ

複数）

日本産業インタビュー（日本の技術力）

日本の有能な技術は、コンプライアンス、インベントリ、端末型など、ネットワーク対応技術で

ある。IPv6 は日本技術がベースになっているのに火がつかない。暗号化技術などは高い技術もあ

る。基礎力が低いわけではない。（外資ベンダ）、システムインテグレータ）

自社のコア・コンピタンスとなる技術分野では強化を図っており、侵入検知や暗号化等が注力分

野として考えられる。（国産ベンダ）

経営戦略により、技術中心の経営を行っている。他のベンダが手を出せないようなところにサー

ビスとプロダクトを投入する。技術的ハードルが高いものに挑戦するベンダとして知って貰い、

顧客やパートナーからもちかけられるようにする。（国産ベンダ）

日本産業インタビュー（製品において米国技術が日本技術より優勢である理由）

米国では国防関係の豊富な研究資金の成果として開発した重要インフラの派生技術、軍用の転用

技術がある。日本では実現が難しいかもしれない。（外資ベンダ複数）

日本発の要素技術はかなり難しい。また要素技術がでてもビジネスモデルへの組込みがないと成

功しないが、日本はビジネスの構想力が弱いと感じている。（外資ベンダ）

要素技術が現状、ほとんど存在しない。大学発の技術は実用性に乏しく、米国ほど開発費がつか

ない。いい技術が出てくるためには、数が出てくるようにしなければだめだと思うが、日本はそ

のような状況にはない。（国産ベンダ）

日本にコア技術がない状況で利益が薄くては研究開発にお金を掛けられない。（国産ベンダ）

日本発のオープンソースがなく、調べてゆくと欧米になる。もっと公的機関の成果のオープンソ

ース化があってもよいのでは。（国産ベンダ）

ソフト、IT の分野で日本発の技術がない。バグなどが有っても出すなどの視点がいるのかもしれ

ない。（サービスプロバイダ）

29

ことが指摘されており、産業技術力において十分強力になれない要因となっていると言え

る。人材不足の課題については、次項に述べるように、人材育成による解決が必要である

が、地域的連携、産官学連携、産業クラスターの有効活用による人材不足の解消が期待で

きる。また、研究開発のオフショア立地の検討、海外のβ版ユーザの活用など、国内で人

材が確保できないのであれば、優秀な人材や研究開発の機会を外に求めることも重要にな

る。

2.2.3. 人材の確保と育成

2.2.3.1. 日本の情報セキュリティ事業者における人材の状況

日本の情報セキュリティ事業者においては人材が量的にも質的にも不足している。本調

査における国内情報セキュリティ産業対象のアンケート調査において、人材の数、専門性、

育成手段のいずれについても、不足感が多く回答されている（図表 2-18、2-19）。特に、研

究開発を担う人材の専門性について 73％の企業が課題として挙げている。

図表 2-18 日本企業情報セキュリティ分野における人材の課題（問 12(1)）

56.8%

73.0%

43.2%

21.6%

2.7%

2.7%

2.7%

54.1%

64.9%

43.2%

13.5%

2.7%

2.7%

5.4%

0% 20% 40% 60% 80%

１．人材の人数が不足している

２．人材の専門性が不足している

３．人材を育成する手段が不足して

いる

４．人材を育成する資金が不足して

いる

５．その他

６．特に課題はない

無回答

開発・技術人材販売人材n=37

30

図表 2-19 日本企業人材に関する具体的な課題（問 13）

13.5%

13.5%

56.8%

13.5%

62.2%

0.0%

21.6%

8.1%

10.8%

5.4%

5.4%

0% 20% 40% 60% 80%

１．人材を育成しても辞めてしまう

２．鍛えがいのある人材が集まらない

３．指導する人材が不足している

４．育成を行うための金銭的余裕がない

５．人材育成を行う時間がない

６．人材育成の方法がわからない

７．外部の適切な教育訓練機関がない

８．技術革新や業務変更が頻繁なた…

９．その他

１０．特に問題はない

無回答

n=37

人数不足を解決するための手段は採用であり、専門性についての充足手段は採用と育成

の双方である。以降、日本の情報セキュリティ事業者の人材に関する「採用」と「育成」

について、それぞれ見ていく。

2.2.3.1.1. 人材採用

図表 2-20 に見るように、人材採用手段として最も多くの企業が挙げている回答が情報セ

キュリティ関連の経験者採用である。

図表 2-20 日本企業情報セキュリティ分野における人材の主な採用手段（問 11）

27.0%

45.9%

62.2%

18.9%

5.4%

0.0%

10.8%

40.5%

67.6%

35.1%

8.1%

2.7%

0% 20% 40% 60% 80%

１．情報セキュリティ関連専攻の学部もしくは大学院の新卒採用

２．情報セキュリティ関連専攻以外の学部・大学院の新卒採用(※情報・通信専攻の場合はこちらに含

みます）

３．情報セキュリティ関連の部門経験者の中途採用

４．情報セキュリティ関連の部門未経験者の中途採用

５．その他　

無回答


31

中小・ベンチャー企業からは、新卒人材の教育に時間や費用をかける余裕がないという

声が聞かれた。一部中小・ベンチャー企業においては、積極的に中途採用を行うというよ

りは、「新卒理系が大企業指向のため、人材確保に苦労する」との理由で優秀な人材が採

れないとの指摘もあった。

中途採用に続くのは情報セキュリティ専攻以外の新卒採用となっており、情報セキュリ

ティ専攻の新卒採用を上回っている。これは社内教育を重視する意味よりは、情報セキュ

リティ専攻の新卒者の供給が限られているためと考えられる。

なお、本調査の日本産業インタビューでは、オフショア開発を活用しての人材育成や、

海外人材の採用の事例が聞かれた。今後、グローバルに人材を確保し採用することも、グ

ローバル化対応のための手段として有効であると考えられる。

日本産業インタビュー（新卒を主とする事情）

新卒重視。最近の人材マーケットでは中途は優秀な人材が来ないため。新卒でも、ソフトウェア

の全くの無経験者はない。（国産ベンダ）

日本産業インタビュー（中途採用を主とする理由）

新卒は教育に時間がかかるので中途採用が多い。（国産ベンダ、システムインテグレータ、サー

ビスプロバイダ複数））

中途採用がほとんどである。セキュリティの市場は小さく、人材は効率よく。新卒育成にコスト

をかけられるほど余裕がない。（国産ベンダ）

新卒のスキルでは、技術・開発も、販売も難しい。ビジネスマナーなど社会人としての基礎教育

の必要もある。教育コストがかかるため、社会人としての基礎ができた段階で採用したい。（国

産ベンダ、システムインテグレータ、サービスプロバイダ複数）

中途採用者を選択している理由は、情報セキュリティ分野は知識・技術の情報システムを知って

いないといけないが、そこから教育するコストがかかるため。（システムインテグレータ複数）

中途採用中心。情報セキュリティの分野というよりソフト開発経験者を採用している。システム

エンジニアのベースがあれば育成が早い。（システムインテグレータ複数）

日本産業インタビュー（新卒も欲しいが、中途を主とする事情）

新卒・技術系の人材もほしい。採用したい技術を持った学生もいる。しかし、学生は大手指向で

あり、大手企業の一括採用に対抗するにはコストもかかるため中小が不利。（国産ベンダ複数）

中途採用のみでは、社内の年齢階層に偏りが出る。また社風・文化・制度を形成できないデメリ

ットもあるがやむを得ない。（サービスプロバイダ複数）

中途採用を主としているが、昨年からは新卒も開始した。（サービスプロバイダ）

日本産業インタビュー（海外人材の活用例）

アジア人材は、流動性が高いことや管理コストがかかるなどの点もあるが、人件費を抑えられ、

また、外国の中でも近いためアジアオフショア開発は重要な手段である。（国産ベンダ）

中国オフショアサイトでは中国人技術者を採用し、技術開発もしている。（国産ベンダ）

フィリピンでは大学生アルバイトから優秀な人材を中心に採用する。（国産ベンダ）

米国に留学中の日本人留学生を採用する方法もある。（国産ベンダ）

優秀なアジアの人材を採用する。例えばフィリピンで学生アルバイトを大量に採用し、そこから

優秀な人材を引き抜くといった採用方法等を行っている。日本に比べて人件費も押さえることが

でき、優秀な人材が獲得できている。日本人技術者も一定程度必要であるが、大量に必要という

ほどでもなく、採用については特に困っているということはない。（国産ベンダ）

32

2.2.3.1.2. 人材育成

人材に関する大きなテーマの２つ目である「育成」に関しては「人材育成」に課題があ

るとした企業が具体的に何が不足しているのかを聞いた結果が図表 2-21 である。

このグラフから読みとれることは、「人材育成において「自己啓発」が重要なのだが、

できていない」と自己評価している事業者が多いということである。また、開発・技術人

材については社外のプログラムを多く活用したいとの意向が読みとれる。

人材育成手段として、日本では公的機関が果たす役割に期待が寄せられる結果となった

（図表 2-22）。情報セキュリティの専門性を持った人材育成が課題とされる中で、「高等

教育機関における情報セキュリティ関連学科、専攻の新増設」が有効であるという意見が

見られた。

図表 2-21 日本企業人材育成上の課題（問 12(2)）

55.0%

40.0%

75.0%

60.0%

60.0%

25.0%

75.0%

45.0%

0% 20% 40% 60% 80% 100%

１．自己啓発が不足している

２．ＯＪＴが不足している

３．社内の研修プログラムが不足している

４．社外の研修プログラムが不足している


(問12で開発・技術人材及び販売人材について

3と回答した企業を対象に集計)

日本産業インタビュー

会社の外部に高度な専門家が養成できるコースが欲しい。現在は、育成・教育機関自体が尐ないと

思う。人材教育は、一過性ではなく恒常的な提供が必要。（国産ベンダ複数、システムインテグレ

ータ複数）

ベンチャーには育成の 30 万円～40 万円の負担は大きい。（国産ベンダ）

専門学校を卒業した方のほうが、大学の新卒者よりより実践的な勉強をしていることから採用対象

者としてはよいと思う。現状では情報に強い大学が尐ないのではないか。（国産ベンダ）

「講師」も不足している。講師の育成も必要。また、企業の傍ら教える、というよりは教育のプロ

を育成する必要性を感じる。（システムインテグレータ）

33

図表 2-22 日本企業人材育成に関する施策・公的支援への意見（問 14）20

56.8%

32.4%

70.3%

62.2%

10.8%

8.1%

2.7%

18.9%

21.6%

73.0%

51.4%

5.4%

0.0%

18.9%

0% 20% 40% 60% 80%

１．高等教育機関における情報セキュリティ関連学科、専攻の新増設

２．公的機関の認定資格の拡充

３．情報セキュリティ専門研修に対する企業への補助金(※1)

４．情報セキュリティ専門研修に対する教育機関への補助金(※2)

　　　　　　　　　　　５．公共職業訓練における情報セキュリティ専門研修

のコースの提供あるいは充実

６．その他

無回答

有効であると考える施策活用したいと考える施策n=37

2.2.3.2. 日本の情報セキュリティユーザ企業における人材の状況

日本の情報セキュリティユーザ企業においても IT 人材・情報セキュリティ人材が不足し

ている状況については、「2.2.1.3.2 日本のユーザ企業の製品選択における意思決定」におい

て述べた。ユーザ企業の情報セキュリティ担当者のスキルが不十分であれば、情報セキュ

リティリスクが正しく把握されず、十分な対策がなされないまま放置される恐れがあり、

日本の情報セキュリティ産業全体にも悪影響を及ぼす。

このような状況に対しては、経済産業省施策「情報システムユーザースキル標準」（以

下 UISS）により、ユーザ企業のセキュリティに必要なスキルを持った人材像として「セキ

ュリティアドミニストレータ」が定義され、ユーザ企業での活用を図っている。JUAS およ

び IPA において現在 Ver.2.1 を公開し、普及と導入指南を行っている21ところである。

しかしながら、IT 人材白書 2011 が「ユーザー企業における UISS については、徐々に普

及が拡大しつつあるが、最も導入活用されている従業員数 1,001 名以上のユーザー企業でも

15.9％にとどまっている。また、中小のユーザー企業においても ITSS 同様に「わかりにく

い」、「難しい」、「導入方法がわからない」などの意見が多い。また、UISS の場合は首

都圏における導入が中心で、地方における認知度がまだ低いのが現状である。普及の状況

を見据えながら、導入における課題などを分析し、効果的な施策を展開することが求めら

れている。」と述べているように、ユーザ側において情報セキュリティ人材に対する認知

が浸透しているとは考え難い状況である。

情報セキュリティ教育事業者連絡会（ISEPA）22は、このような状況に対する危機感に基

づき、2009 年 8 月、「情報セキュリティ人財アーキテクチャガイドブック」を発行してい

20 (※1)（社員研修の企業側の金銭的負担の軽減）、(※2)（個人・企業向けの教育コースが安価になる） 21 http://www.ipa.go.jp/jinzai/itss/activity/activity2.html （Ver.2.1 は 2009 年 3 月 31 日公開） 22

http://www.jnsa.org/isepa/index.html

34

る23。同書では作成の背景として「情報セキュリティに係る人材育成・確保に関する施策の

ニーズや問題点は、依然、多く存在する。例えば、政府機関においては情報セキュリティ

に携わる人員の不足や、短期のローテーションによって政府機関内部における知見が蓄積

されない等の問題が指摘されている。

また、情報セキュリティ業務に携わっていく上での明確なキャリアパスが見えないと言

った指摘も存在する。

情報セキュリティに携わる人材が保有するスキルを業務の上で明確に位置付けることが

できず、情報セキュリティ業務に対して、適切な人材を配置することが難しくなる可能性

もある。」と指摘し、32 の情報セキュリティ職種を定義してスキルマッピングを行うとと

もに、供給側・需要側双方におけるキャリアパスモデルも示している。

しかし、この情報も広く企業に浸透し共通理解となるには至っていないのが実情である

と関係者および有識者からの指摘もあり、ユーザ企業において経営的レベルで情報セキュ

リティ対策の位置付けが定着しないこともその背景にあると推測される。

2.2.3.3. 米国・欧州・韓国の情報セキュリティ事業者における人材の状況

2.2.3.3.1. 米国企業の人材の確保と育成

米国においては、新卒者は人材確保の手段としてはほとんど評価されていない模様であ

る。人材の流動性が高いことを背景に、経験者採用が一般的な人材確保手段となっている

（図表 2-23 参照）。

米国においては、IT 技術者への就職意欲が高く、CNN money24が毎年発表している「BEST

JOBS IN AMERICA」では、2010 年度においても IT 技術者が第１位であった25。これは

payscale.com26による職業データを特集した記事で、2010 年 11 月データでは 2～7 年の業務

経験がある経験者採用の年収中央値が 119,000 ドル（約 1,060 万円）27と紹介している。

23

http://www.jnsa.org/isepa/images/outputs/jinzai_arch_2009.pdf 24 http://money.cnn.com/ CNN の経済・金融関連サイト。 25 http://money.cnn.com/magazines/moneymag/bestjobs/2010/snapshots/1.html 26 http://www.payscale.com/ 米国シアトルにある PayScale, Inc.が運営するグローバルキャリア情報サイト。 27為替レート東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 1 ドル 88.71 円を使用。

有識者インタビュー

ユーザ企業にセキュリティを担当する人材がいて初めてセキュリティ産業が必要とされる。、ユ

ーザ企業の社員にセキュリティ担当者となる教育と任務をを与えることが肝要であり、ユーザ側

に対しても政策による支援が必要になる。

35

図表 2-23 米国企業情報セキュリティ分野における人材の主な採用手段（問 6）

25.0%

5.0%

75.0%

20.0%

0.0%

0.0%

0.0%

65.0%

40.0%

0.0%

0.0%

0.0%

65.0%

40.0%

0.0%

0% 20% 40% 60% 80%

　　　　　　　　１．情報セキュリティ関連専攻の学部もしくは大学院の新卒採用

　　　　　　　２．情報セキュリティ関連専攻以外の学部・大学院の新卒採用（※）

３．情報セキュリティ関連の部門経験者の中途採用

４．情報セキュリティ関連の部門未経験者の中途採用

５．その他

開発・技術人材販売人材マーケティング人材n=20

さらに、人材に関する課題についての設問については、図表 2-24 に示すとおり、半数が

「特に課題はない」と回答しているものの、開発･技術人材の不足を課題とする事業者が

35.0％となった。

図表 2-24 米国企業情報セキュリティ分野における人材の主な採用手段（問 6）

35.0%

10.0%

0.0%

5.0%

5.0%

50.0%

15.0%

0.0%

0.0%

0.0%

5.0%

80.0%

10.0%

0.0%

0.0%

0.0%

5.0%

85.0%

0% 20% 40% 60% 80% 100%

１．人材の人数が不足している

２．人材の専門性が不足している

３．人材を育成する手段が不足している

４．人材を育成する資金が不足している

５．その他

６．特に課題はない

開発・技術人材販売人材マーケティング人材n=20

36

米国においても人材の供給不足については、懸念される状況を指摘するレポートがある。

CSIS28（米国国際戦略問題研究所：Center for Strategic and International Studies）が 2010 年 7

月に発表したレポート「A Human Capital Crisis in Cybersecurity29」においては、連邦政府だ

けでも膨大な需要があり民間企業との奪い合いになるほどの深刻な人材不足に陥るとの指

摘がなされており、そのための施策として、更なる教育の充実や基金の設立、資格制度の

充実や高度な技術者のキャリアパスの確立を提言している。

また、「3.3.3. 米国における人材育成施策」に見るように、国家プロジェクトとして情

報セキュリティ教育ならびに人材育成への取組みが進められている。

このような状況から考えると、米国の情報セキュリティ事業者の人材市場においては、

今後も高い雇用条件の下で専門性が高くモチベーションが維持された人員が集積する状況

がつづくことが予想される。

2.2.3.3.2. 欧州企業における人材の確保と育成

欧州企業から聞かれた人材に関する指摘は、以下のように集約される。

グローバル展開をしている企業においては、グローバルに採用を行っている。また、

グローバルレベルでの社内育成機能・社内育成制度を持っている。

グローバル採用をする理由は、進出先だけで人材確保することには限界がある、言

語（英語）で意思疎通できれば出身国は関係ないなどである。

英国では情報セキュリティ技術者向けのトレーニング機関（民間非営利団体の

CREST（The Council for Registered Ethical Security Testers30）での教育が行われている

ところであるが、教育側の人材確保と、企業や学生などの活用意欲を高めることが

課題である。

2.2.3.3.3. 韓国企業における人材の確保と育成

韓国の企業や公的機関から得られた韓国における人材と採用、資格制度に関する情報は、

28

http://csis.org/ 29

http://csis.org/files/publication/100720_Lewis_HumanCapital_WEB_BlkWhteVersion.pdf 30侵入検査技術などのセキュリティ技術のトレーニングを行う英国の民間非営利団体。

http://www.crest-approved.org/

欧州企業インタビュー

採用はグローバルに行っており、人材育成もグローバルなカリキュラムを用意している。進出地域

のみの採用では優秀な人材を確保できない。（フランス資本・英国ベンダ）

日本の新卒者は大学で身につけたスキルが役に立たないため、「セキュリティ」に対する熱意や興

味がある者を採用している。域内のみで人材を採用することはどの地域においても難しい。グロー

バルに人材を見つけていくのが情報セキュリティ産業として力を付けるカギになると考える。（フ

ランス資本・英国ベンダ）

セキュリティに限らないが、社内大学を持っている。インターンシップも充実させている。（フラ

ンス資本・英国ベンダ）

グローバル採用を行っており、社内公用語は英語である。英語ができれば、どの国の人材であろう

と入社が可能である。（北欧・ベンダ）

37

以下のように集約される。

韓国政府が政策として IT 産業（情報セキュリティ産業）を重視し、優遇策をとって

きていた。

情報セキュリティに限らず韓国国民は資格取得への熱意が高い。また、資格保有者

は処遇に反映される企業もある。

そのため、個人で資格取得に取り組むなど、個人における教育投資意欲が旺盛であ

る。

2.2.3.4. 日本の情報セキュリティ産業における人材の課題

以上見てきたところに基づき、日本の情報セキュリティ産業における人材の課題を整理

すると、以下のようになる。

高等教育機関において情報セキュリティ専攻の教育を受けた新卒人材の供給は限

定的である。

従い、優秀な新卒人材の供給環境を整備することが重要である。即ち、大学・専門

学校において、情報システム構築全般に関する基礎スキルや情報セキュリティに関

する基本的な知識、ビジネス知識（例えば、様々な業界に関する知識など）を提供

することなどが考えられる。

次に、そのような教育コースに多くの学生が魅力を感じる必要がある。そのために

は、情報セキュリティ産業が学生側からみて「魅力ある就職先」となることも重要

である。

そのための重要な要素として、情報セキュリティ分野におけるキャリアパスが見え、

自分の将来像が描けること、それが収入や社会的地位の面で十分魅力的であること

が必要となる。

韓国ベンダ等インタビュー

人材の層は厚くはない。セキュリティに関心のある若い人は多いが、学卒者にとって、セキュリテ

ィ分野のキャリアパスは魅力が低い。（日系サービスプロバイダ）

しかし、IT 分野自体は人気があるし、セキュリティの資格取得者はとても多い。韓国では資格を評

価する風土があり、処遇にも反映される。個人でも多くの人が取得を目指し、独学で取得する人も

かなりいる。（日系サービスプロバイダ）

兵役免除特例：IT 部門の重要企業と認定された企業に３年勤続すると兵役免除（通常 20-30 歳の間

に 2 年間の義務あり）される。当社は認定企業であり、毎年 1-2 名が免除されている。これが当社

への就職に人気がある理由のひとつ。IT 以外では国防関係の研究所程度。（韓国ベンダ）

新卒採用は特に条件はなく通常の採用を行う。中途採用は、実務経験を重視している。なお、資格

取得技術を教える塾が多く、有資格者＝実力者ということにはならないと考えている。（韓国ベン

ダ）

韓国公的機関インタビュー

資格保有者は就職について優遇される。我々も優先採用する。ただし、処遇に直接反映される程度

はそれほど大きくない。情報セキュリティ監査企業認定制度では資格者を抱える企業には条件面で

メリットがあるため、企業が有資格者を優遇するようになる。（韓国公的機関）

38

一般には応募者が集まりにくいとされる中小・ベンチャー企業においても、自社の

技術の特色をアピールし、自社で築けるキャリアとやりがいを明確に打ち出してい

る企業においては、自社が求めるスキルを有する、優秀な学生を獲得できていると

の事例がある。

社会的に情報セキュリティに対する認知が高まり、その職務に対する評価が高まら

なければならない。

次に、経験者人材が情報セキュリティ産業に流入する環境を整える必要がある。キ

ャリアパスの魅力は上述のとおりであるが、中途採用でも知識を身につけ、スキル

を磨ける環境が整わなければ、この分野を目指す人材の確保も容易ではない。社会

人教育の機会も重要である。

その一環として、情報セキュリティ関連の資格制度の充実がテーマとして上げられ

る。資格制度と連動性を持たせたキャリアパスが見えるとか、資格保有者を情報セ

キュリティの専門家として活用する事例が増える等の環境が整うことが望まれる。

そして、グローバルな人材の活用については優秀な人材を確保するための１つの手

段として、企業にとって現実味を帯びたものにしていく必要がある。外国の優秀な

人材を発掘できる環境、海外からの就職者が滞在し働きやすい環境の充実が期待さ

れるところである。

2.2.4. 起業家とベンチャーキャピタル

産業活性化において、ベンチャーや中小企業が力を付け、規模を大きくしていくことは

非常に重要な活性化要素である。情報セキュリティ産業に限らず、産業クラスター議論や

地域活性化とも連携した、産業活性化のための中小・ベンチャー企業の育成策は多く議論

されている。

しかしながら、そのような取組みがなされているにもかかわらず、日本企業においては、

情報セキュリティ分野に限らず、特にベンチャー企業が生まれにくい（起業が容易ではな

い）、ベンチャーキャピタル等による産業育成機能が不十分である、との指摘がなされて

いる。本調査ではそのような指摘を踏まえ、ベンチャーキャピタル等による資金供給がな

されやすいとされる米国との比較を行い、産業の活性化と技術力・競争力の向上を担う起

業家の輩出・育成や、ベンチャーキャピタル等の課題を探った。

2.2.4.1. 日本の情報通信産業における起業の状況

2007 年 3 月に総務省情報通信政策局総合政策課情報通信経済室が報告書を公表した「ICT

ベンチャーの実態把握と成長に関する調査研究」31は、情報セキュリティに限定していない

が、情報通信産業に関するベンチャーの実態（経営状況、成長性など）を把握し、ICT 産業

の発展に向けた政策的課題を検討するために行われた調査である。

31

平成 19 年 3 月 http://www.soumu.go.jp/johotsusintokei/linkdata/other015_200707_hokoku.pdf

39

同調査によれば、日本においては 1994 年から 2006 年までの調査期間中 185 社が ICT ベ

ンチャー32として上場を果たしており、2002 年を除いて上場件数および 185 社の売上規模・

従業員規模は増える傾向にあり、順調に発展してきていたと結論づけている。同報告書は、

2008 年のいわゆるリーマンショックと言われる経済危機以前のデータであるため、現在も

このままの成長が見込めているわけではないが、一定の経済環境が整っているのであれば、

ICT ベンチャーが上場し成長することが可能であることを示している。

さらに、日本のベンチャー輩出に関する調査については、経済産業省が 2011 年 3 月に公

表した「平成 22 年度アジア各国のベンチャー企業投資事例調査～アジアからの持続的なイ

ノベーション創出とベンチャーファイナンス～」33がある。そこではリーマンショック以後

の新規上場案件の激減と出資が困難で低迷している状況をとりあげて「シリコンバレーの

近似モデルの構築によって 2000 年代初頭に一つの完成形を見たかに思えた我が国のベン

チャー輩出やイノベーション創出に関する循環モデルは、時代や環境の変遷に合わせて再

構築すべき段階に至っていると考えられる。」と評価している。

このように、日本においては、産業活性化のために起業を促す仕組みを主に行政が中心

となって整備しているものの、米国などのように起業が一般的となる土壌が育っていない

との評価がある。日本において起業を促し産業活性化に繋げるためには、起業家を育て増

やしていくことが必要であるが、そのための施策が試行錯誤の段階にとどまっている状況

であると言える。

一方、日本においてはマインドの面で起業家が育っていないとの指摘もある。独立行政

法人情報通信研究機構（National Institute of Information and Communications Technology ：

NICT）の事業である「情報通信ベンチャー支援センター」34では、シーズ発掘段階から、

起業・スタート段階、事業拡大段階それぞれへの研究開発支援、情報提供、経営指導、助

成金や利子補給などの様々なタイプの資金提供を行っている。その事業に関連して、2008

年に「情報通信分野における経営者実態調査」35を実施し、情報通信分野の中小企業経営者

213 名に対して、アンケート調査をして結果を取りまとめている。その中で、経営者になっ

た時点における準備状況については「十分に計画して起業・独立した」53.1%に対して、「な

んとなく起業・独立した」32.9%、失職などの事情により必要に迫られて起業した」14.0%

という回答分布であった。これらの経営者が、後輩に起業を勧めるか、との問に対しては、

「起業したいと思えばどんどん起業すべし」が 37.6%、「慎重に検討し、起業すべし」が

54.0%、「起業はすすめない」が 7.0%との結果であったと報告している。意図と目的を持っ

て起業した経営者が半数強、その経験を経て後輩に起業を勧めるとする経営者は 3 分の 1

32

「ICT ベンチャー企業」の定義は同報告書 3p で「1994 年以降に設立され、1999 年以降に上場した企業

をベンチャー企業と定義し（中略）、東証 1 部、2 部、マザーズ、ヘラクレス、JASDAQ に上場した全業

種の企業を抽出し、これらの企業の業務内容を各社のウェブサイトや有価証券報告書などを基にして精査

し、ICT 企業であることを確認して、ICT ベンチャー企業リストを作成した。」としている。 33

http://www.meti.go.jp/meti_lib/report/2011fy/E001468.pdf 34

http://www.venture.nict.go.jp/ 35

http://www.venture.nict.go.jp/venture/node_2672/node_2795/node_20188

40

強に減る、という状況から、そのような指摘がされていると考えられる。しかし、この後

に見る日本におけるベンチャーキャピタルのビヘイビアを考慮に入れると、日本における

ベンチャー企業育成の環境が貧弱である結果、起業経験者が更なる起業に積極的になれな

い状況にある可能性もある。

2.2.4.2. 日本のベンチャーキャピタル等の状況

日本において、ベンチャーなどスタートアップ企業36が事業資金（研究開発資金を含む）

を得るためには、一般に以下の調達手段がある。

ベンチャーキャピタル等による出資

金融機関等による融資

公的機関、産学連携による共同開発事業、研究開発資金や設備等の提供

政府、地方自治体、公的機関等からの各種補助金や出資

このなかで、政府、地方自治体、公的機関からの補助金については日本においては様々

な選択肢があり、他国に比しても多い。中小企業庁の中小企業経営支援、景気対策目的や

地域活性化を目的とした、地方経済産業局や地方自治体等からの中小企業支援などの公的

に活用できる補助金等施策が時限立法や有期の支援策も含め、多く提示されている。

特に、独立行政法人中小企業基整備機構は 1998 年度から中小企業へのファンド事業を行

っており、現在は、「起業支援ファンド」「中小企業成長支援ファンド」「中小企業再生

支援ファンド」の 3 つのファンドを運営している37。

また、株式会社産業革新機構38は「産業活力の再生及び産業活動の革新に関する特別措置

法（平成 11 年法律第 131 号）（平成 21 年改正）」に基づいて設立され「オープンイノベ

ーションを通じた次世代産業の育成による国富の増大」を組織ミッションとして負ってい

る。2011 年 3 月現在の出資額は 1,020 億 1 千万円（政府出資 920 億円、政策投資銀行を含

む民間出資 100 億 1 千万円）で、幅広い事業に投資している。

民間においては、銀行系、金融系（生保、損保、証券）、商社系、独立系等様々な出自

のベンチャーキャピタルがあるが、一般社団法人日本ベンチャーキャピタル協会39に参加し

ている会員企業は賛助会員も含め現在 100 社を超えている。また、起業間もない段階では、

個人投資家が小規模に投資する「エンジェル」が有効といわれているが、そのような個人

投資家の存在もある。「エンジェル」の活性化策としては「エンジェル税制」が行われて

おり、一定の要件を満たした企業に対して、個人が投資を行った場合、投資時点と売却時

36

スタートアップ企業：事業を開始したばかりの若い企業で、特に意欲的に出資等を求め事業拡大指向が

ある企業を指す。 37ファンドの詳細については、同機構が中小企業の経営サポートのために運営しているポータルサイト

「J-Net21」を参照されたい。http://j-net21.smrj.go.jp/index.html 38株式会社産業革新機構：平成 11 年「産業活力の再生及び産業活動の革新に関する特別措置法」（平成 11

年法律第 131 号）に基づき、オープンイノベーションを実現するための支援機関として設立された官民出

資の投資ファンド。出資金 1,020 億 1,000 万円（平成 23 年 1 月現在）。http://www.incj.co.jp/ 39

http://jvca.jp/

41

点で税制上の優遇措置が受けられるようになっている40。

日本においては、ベンチャーキャピタルが機能していない、との問題意識があるものの、

上に見た事例からは、実際には公的機関によるベンチャーキャピタルや、多くの民間のベ

ンチャーキャピタルが存在し、様々な投資活動が行われていること、また、エンジェルに

ついても優遇税制があることから、制度としては整備されてきていると言える。問題はそ

れが実際のところ産業育成に有効に機能しているかである。

先述の総務省調査報告「ICT ベンチャーの実態把握と成長に関する調査研究」において

は、2000 年から 2006 年までの日本と米国とのベンチャーキャピタルの投資額比較を行って

おり、米国のベンチャーキャピタル投資が 2000 年に 11 兆円を超えており、その後大きく

減じることとなっても 2 兆円で推移している米国に対し、2001 年～2006 年まで日本が 2000

億円台であることに触れ「アメリカの VC 投資額の 10 分の 1 程度のリスクマネーしか VC

経由でベンチャー企業に流入していない。また、データの特性から、アメリカの場合は VC

投資のみ、かつアメリカ国内への投資しか反映していないのに対し、日本の場合は海外投

資も含む投資額であることを考慮すると、日米の格差はこのグラフに反映されている以上

に大きいと考えられる」と報告している。さらに、同報告書では 2000 年～2003 年の GDP

比での国際比較も行っているが、米国が対 GDP 比 0.37%であるのに対し、韓国 0.27%、英

国 0.22%、EU 全体 0.13%、フランス 0.11%、ドイツ 0.10％、日本が 0.03%となっている41。

なお、日本のベンチャーキャピタル投資額について、その後の動向を同報告書のデータ

ソースである財団法人ベンチャーエンタープライズセンター42 ベンチャービジネス動向

調査研究会発表の 2010 年の数値43を確認した。2007 年 3 月期に 2,780 億円投資されたのを

ピークに、リーマンショックの影響を受ける中で、2008 年 3 月期 1,933 億円、2009 年 3 月

期 1,366 億円、2010 年 3 月期で 875 億円と大きく減尐している。日本のベンチャーキャピ

タルの投資額が決して多くない状況は、改善していないどころか、経済環境の影響も伺え

るが、急速に悪化していることが分かる。

2.2.4.3. 日本のベンチャーキャピタルにとっての情報セキュリティ産業

そのような状況において、2010 年の経済環境における日本の情報セキュリティ産業の投

資対象としての評価を確認する観点から、日本の複数のベンチャーキャピタルに対しイン

タビューを行った。インタビューで判明した日本のベンチャーキャピタルの投資行動と情

報セキュリティ産業への投資状況をまとめると以下のようになる。

リーマンショック後、2010 年現在、日本の金融市場自体が冷え込んでおり、上場

40

「エンジェル税制（ベンチャー企業投資促進税制）」の政策詳細は経済産業省ホームページ参照。

http://www.meti.go.jp/policy/newbusiness/angel/index.html 41

同報告書 15p～17p 参照。 42

1975 年に設立された財団法人。http://www.vec.or.jp/ 43

2010 年 10 月に速報値が発表されている。http://www.vec.or.jp/2010/10/20/sokuhou/

42

を企図する企業自体が減っている。特に情報セキュリティ関係は「IT バブル44」の

イメージがマイナスとなって残っており、投資家も、金融機関も積極的ではない

状況である。

しかし、投資先として魅力がない産業という評価が定着している、ということで

はない。情報セキュリティ産業については「情報システム産業」あるいは「情報

通信産業」の一部として認識されており、その点からは将来性がある分野と考え

られている。

米国と異なり、ベンチャーキャピタル投資を困難にしている投資環境の違いがあ

る。

日本においては「エンジェル」の段階で支援する仕組みが整ってないため、ベ

ンチャーキャピタルがシーズから上場までの長いスパンで投資する構造にな

っている。そのため、米国に比して投資サイクルが長期で、大規模な企業の段

階まで投資することが前提となり、身軽に投資することが難しい状況である。

ベンチャーが育った後の「出口（Exit）45」が上場しかない状況も、投資サイク

ルを長期化させ、資金提供を難しくしている。大企業に M&A されるなどの出

口もあれば、ベンチャーキャピタルの出資がしやすくなる46。

日本の場合は、ベンチャー企業を買収するというよりは、大企業の自前指向が

強い。似た技術・似た製品を開発して市場に出せるため、ベンチャーを買収し

て事業拡大を図るという経営方針を取るケースが尐ない。またベンチャーの輩

出・企業を困難にする方向に作用している。

主に銀行系のベンチャーキャピタルに見られる投資戦略としては、安全性の観点

から、分散投資・尐額投資の傾向がある。その場合、ベンチャー企業に経営者を

派遣することが困難であることや、あくまで尐額投資であることから、ベンチャ

ー企業に経営影響力を与えるような手法は取らない。

ハンズオン型47の大手金融系ベンチャーキャピタルがないわけではないが、投資サ

イクルが長くなり、人的コストも多くかかることから、１企業あたり大きな投資

成果が必要であり、日本の投資回収手段が上場に限定される状況下では、その役

割を多く期待することは極めて困難である。

本調査における日本の情報セキュリティ事業者に対するアンケートおよびインタビュー

44

1990 年代後半からのインターネット関連企業が投資対象として大きく注目されブームとなったこと。日

本においても関連ベンチャーの上場が相次いだ。 45

投資回収機会のこと。 46

ベンチャー企業投資の出口として大企業による買収がないことが今後の解決すべき課題であることは、

2008 年 4 月経済産業省「ベンチャー企業の創出・成長に関する研究会最終報告書」において触れられてい

るが（http://www.meti.go.jp/press/20080430004/080430_houkokusho.pdf）、特に ICT 産業における出口戦略の

必要性として、富士通総研経済研究所研究レポート No.365 January 2011「大手 ICT 企業がベンチャー企

業を活用するべき理由」（同研究所主任研究員湯川抗氏・2011 年１月）において述べられている。同レポ

ート全文は http://jp.fujitsu.com/group/fri/report/research/2011/report-365.html 参照。 47

ベンチャー企業の経営に大きく影響力を与える、投資育成型。

43

調査では、産業の活性化に必要な環境についての回答は図表 2-25 に示すような結果となっ

た。「アイディアから起業、製品化・事業化まで企業の成長を支える資金供給の仕組み」

については、「特に有効」とされている割合が僅差で 2 番目であり、また「有効な施策」

としての回答は第１位である。

インタビュー調査においては、公的機関への期待として、ベンチャーキャピタルなどが

機能するためにも交流の場の提供が必要である、という意見があった。日本のベンチャー

キャピタルが米国のそれに比して同レベルの役割を果たせていない要因には、継続的な情

報交換等、人も含めた交流の機会の欠如があることに着目した意見である。また、公的資

金にベンチャーキャピタルとしての役割を期待する意見もあった。これについては、株式

会社産業革新機構や、独立行政法人中小企業基盤整備機構がその機能を担っているが、ど

こまでの役割を果たせているのか、検証が待たれるところである。

図表 2-25 日本企業日本の情報セキュリティ産業の活性化に必要な環境（問 17）

24.3%

10.8%

27.0%

5.4%

8.1%

5.4%

18.9%

45.9%

21.6%

43.2%

32.4%

27.0%

5.4%

8.1%

0% 20% 40% 60% 80%

　　　　　　　　１．アイディアから起業、製品化・事業化まで、企業の成長を支える資金供給の仕組み

２．ベンチャキャピタルによる企業育成資金の供給や経営指導

３．情報セキュリティに関する公的な研究開発成果の提供と開放

４．中小企業の技術開発支援制度

５．同業者や異業種での情報交換の場や仕組みの提供

６．その他

無回答

特に有効な施策(単数回答) 有効な施策(複数回答)n=37

日本産業インタビュー（公的機関に期待すること）

政府では産業振興のために補助金や開発援助が行われてきたが、むしろマーケティング的な支援

が必要である。（外資ベンダ）

日本でのベンチャー育成においては、アイディアがあっても資金がない状況もある。ただ、ベン

チャーキャピタルに「晴れの日には傘は貸すが､雨の日には貸さない」傾向があり、最も資金援助

が欲しいときに得られないという状況はよく聞く。ここに公的な資金や仕組みがあれば有効と思

う。（外資ベンダ）

情報交換の場があれば､救いの手が見つかることもある。但し、場を作った場合は意思と資金のあ

る者が長期に渡り責任を持って場を継続する必要がある。（外資ベンダ）

44

2.2.4.4. 米国における情報セキュリティ産業の事業環境に対する評価

本調査の米国情報セキュリティ事業者に対するアンケート調査において、エンジェルや

ベンチャーキャピタルからの事業資金の提供等の評価を得ることも目的として、情報セキ

ュリティ事業者を取り巻く環境について「整っている」と考えている項目について調査し

たところ、図表 2-26 のような結果となった。

米国企業アンケートでは、「起業から製品化・事業化まで、企業の成長を支える資金供

給の仕組みが整っている」については「そう感じる」を選択した企業は 0 であった。「ど

ちらでもない」が大半であり、その一方で「ベンチャーキャピタルによる企業育成資金の

供給や経営指導が充実している」については「そう感じる」が 75%に至った。

図表 2-26 米国企業米国の情報セキュリティ産業の事業環境（問 11）

10.0%

5.0%

15.0%

0.0%

25.0%

15.0%

0.0%

20.0%

25.0%

45.0%

90.0%

20.0%

70.0%

100.0%

15.0%

35.0%

20.0%

45.0%

50.0%

55.0%

0.0%

75.0%

15.0%

0.0%

60.0%

50.0%

80.0%

35.0%

25.0%

0.0%

0% 20% 40% 60% 80% 100%

１．アイディアから起業、製品化・事業化まで、企業の成長を支える資金供給の仕組みが整っている

２．ベンチャーキャピタルによる企業育成資金の供給や経営指導が充実している

３．情報セキュリティに関する公的な研究開発成果の提供と開放が充実している

４．技術開発支援制度が整っている

　　　　　　　　　　　　５．情報セキュリティビジネスに関する情報交換の場や仕組みの提供が充実している

６．情報セキュリティに関する政府の調達基準が、需要喚起につながっている

７．企業の活発な情報セキュリティ投資が、需要拡大を支えている

８．政府の情報セキュリティ対策の充実が、大きな需要を形成している

９．政府の積極的な情報セキュリティ対策が、民間の対策を促進している

１０．情報セキュリティ人材の供給が豊かで、事業拡大が容易である

そう感じないどちらでもないそう感じるn=20

選択肢の前者と後者について企業の受け止め方に差が出た要因としては、前者について

は「事業のライフサイクル全般に対する資金供給のメカニズムが整っている」という点に

対して反応がなく、後者については「新興企業の立ち上げを支援するベンチャーキャピタ

ルが充実している」という点に対して同意が多かったものと考えられる。この意味すると

日本産業インタビュー（大手企業の事業買収への期待）

日本の大手は「自前開発主義」であり、ベンチャーの技術を買うことはしないがそれを払拭して

欲しい。ベンチャーが開発しても、大手が追随開発してしまい市場をとられる。先行開発者が世

間（市場）において知らしめられ、高く評価され、商売につながる仕組みが必要である。（国産

ベンダ）

技術を買うよりも効率的、とセキュリティ企業を買収・合併し、知名度が高いその会社のブラン

ドを使っているが、そのような動きが日本ではあまり無い。（外資ベンダ）

45

ころは、社会全体の制度やメカニズムが整備されているという実感はないが、個々のベン

チャーキャピタル等に接している中で経営指導が充実していることの実感を得ているとい

うことではないかと考えられる。

さらに、「情報セキュリティビジネスに関する情報交換の場や仕組みの提供が充実して

いる」について「そう感じる」を選択した企業が 60%を占めた。このような感じ方を裏付

ける根拠としては、シリコンバレーの成功要因としてよく挙げられる要素がある。シリコ

ンバレーの成功は、産業、研究機関（大学等）、エンジェル・ベンチャーキャピタルなど

事業資金の提供者や、経営コンサルタントなどの経営プロフェッショナルなどの「産業集

積」により、資金、人材、情報が流通した成果であるとの分析がある48。

2.2.4.5. 日本の情報セキュリティ事業者をとりまくベンチャーキャピタル等の状況

ベンチャーキャピタルの日本と米国との比較では、日本では絶対的な投資額が尐ないこ

とが挙げられる。さらに、ベンチャーキャピタルの投資のリターンを得る方法において、

米国と日本の相違がある。米国においては、上場以外にも M&A が主な投資回収手段である

が、日本においてはほぼ上場しかない。このような状況では、ベンチャーキャピタルは上

場により回収可能な案件にしか投資できなくなる。また、米国では「ベンチャーキャピタ

ルの経営指導が充実している」と感じられている一方で、日本では経営者派遣や経営指導

等は行わない小規模分散投資型（資金のみの供給）ベンチャーキャピタルも多い。

日本の情報セキュリティ事業者に対するアンケート調査では、日本においても米国のよ

うなベンチャーキャピタルに期待する、あるいは公的資金にベンチャーキャピタル的な役

割を期待する声がある。しかし、このように、米国とはベンチャーキャピタルの事業環境

が異なるため、米国におけるベンチャーキャピタルの役割をそのまま日本のベンチャーキ

ャピタルに期待することは妥当ではないと考えられる。

民間だけではなく、独立行政法人中小企業基盤整備機構や、株式会社産業革新機構がベ

ンチャーへの投資を行っているのは日本の強みである。前者は中小企業振興の観点から、

後者は「オープンイノベーションにより次世代の国富を担う産業を創出する」という観点

から、多くの投資を行っている。また、出資という形態ではないが、資金供給の観点から

は、独立行政法人中小企業基盤整備機構、景気対策を目的とした地方経済産業局、地方自

治体等、公的に活用できる補助金等の資金供給施策は多くみられる。

このような日本の事業環境をかんがみた上で、起業間もない企業への資金供給手段を豊

富にするという役割、そしてベンチャー企業から発出した技術から、製品化・事業化を多

く行うための資金供給手段を確保するという役割を、誰がどのように担うのか、どのよう

な仕組みなどが必要かなど、特に金融機関の役割について検討することが課題であると言

48

前述の富士通総研経済研究所研究レポート No.365 January 2011「大手 ICT 企業がベンチャー企業を活

用するべき理由」（同研究所主任研究員湯川抗氏・2011 年１月）において述べられている他、経済産業省

ベンチャー企業の創出・成長に関する研究会「ベンチャー企業の創出・成長に関する研究会最終報告書」

（2008 年 4 月）など。

46

える。

日本の情報セキュリティ事業者に対するインタビュー調査および日本のベンチャーキャ

ピタルに対するインタビュー調査において、日本の大企業の事業拡大や新分野展開を図る

時の「自前主義」が指摘されている。米国の場合は、有望な技術を持ったベンチャーを買

収するという手段が多用されるが、日本では、ニッチ市場であっても大企業が自前で技術

開発を行い進出する傾向があるため、ベンチャーでは太刀打ちできないとの指摘である。

このような風土においてベンチャー企業を育てる環境の整備ということは一朝一夕では

できないことであるが、ベンチャー企業が開発した技術を育成し活用する方向で機能する、

金融機関、技術移転機関・知財取引仲介機関、大企業等の役割を充実させていくことが今

後の課題であると言える。

2.2.5. 国際化と海外進出

日本の産業における主要企業は今やほとんど全てが国際展開を進めている。日本の情報

セキュリティ産業においては、顧客企業がどんどん海外進出・国外立地を進めており、需

要自体がグローバル化する状況となっている。IT 業界においては、オフショア開発ももは

や当然の選択肢となっている。この状況は、日本の情報セキュリティ事業者にとっては、

需要の所在自体が自動的に海外に出て行くことを意味し、ビジネスの国際化や、自身の海

外進出など様々な形態でグローバル化に対応せざるを得ない状況に直面することが予想さ

れる。この状況に照らして、日本の情報セキュリティ事業者のグローバル化への取組みに

ついて検証しておく必要がある。米国の情報セキュリティ事業者および近年日本進出が活

発に行われている韓国などの情報セキュリティ事業者の状況を検証し、日本企業の置かれ

ている立場を確認して、グローバル化環境における日本の情報セキュリティ事業者の課題

の抽出を試みる。

2.2.5.1. 日本の情報セキュリティ事業者における海外展開の意向

本調査における日本の情報セキュリティ事業者に対するアンケート調査において、そも

そもグローバル戦略をとっている企業が尐ないとの結果を得た。本調査では、企業が海外

市場をどのように捉えているか、海外進出の予定があるかについて調査した。その結果、

市場としての将来性をアジア地域に感じてはいるものの、積極的に進出する企業が多くあ

るわけではないという傾向が明らかとなった。

47

図表 2-27 日本企業現在進出している地域、将来性を感じる地域（問 4）49

100.0%

37.8%

32.4%

40.5%

18.9%

0.0%

8.1%

5.4%

2.7%

67.6%

0.0%

16.2%

0% 20% 40% 60% 80% 100%

１．日本

２．北米地域

３． EMEA地域(※1)

４． APAC地域(※2) （日本を除く）

５．その他の地域

無回答

進出している地域将来成長性を感じる地域n=37

図表 2-28 日本企業現在進出している地域、将来性を感じる地域名（問 4・自由回答）

２．北米地域

３．EMEA地域（※１）

５．その他の地域

アメリカ（１）

イギリス（３）、フランス（１）、スペイン（１）、ポーランド（１）

アメリカ（６）、カナダ（２）

４．APAC地域（※２）　　（日本を除く）

進出している地域（）内数値は回答数

中国（５）、韓国（３）、台湾（２）、シンガポール（２）、オーストラリア（１）、ベトナム（１）、マレーシア（１）、タイ（１）

将来成長性を感じる地域（）内数値は回答数

ロシア（１）

イギリス（１）

－

中国（１１）、インド（４）ベトナム（２）、タイ（１）、韓国（１）、オーストラリア（１）

図表 2-29 日本企業海外市場への進出の意向（問 5（1））

１．進出して　いる・進出　を予定して　いる　　50.0%

無回答3.3%

２．進出の　予定はな　い　　46.7%

１．進出している・進出を予定している

２．進出の予定はない

無回答

n=30

49

EMEA 地域：欧州・中東・アフリカ地域、APAC 地域：アジア太平洋地域

48

このような結果となった背景について、国内情報セキュリティ事業者に対するインタビ

ュー調査においては、「一般論として」海外の市場に成長性があると感じたり、優秀な人

材の供給源として魅力があると感じたりはするものの、自社の経営戦略として、海外市場

への輸出を拡大することや、海外拠点を作って進出することについては否定的である、あ

るいは機が熟していない、壁が厚い等の判断があるという説明を多く受けた。海外展開に

対して、その障碍となっている要素としては、製品のローカリゼーションの必要性など、

技術的対応を挙げる企業もあったが、商習慣の相違、法制度の相違、海外のパートナーに

ついて情報がない、会社設立をどうしたらよいか不明、等が海外展開を困難にする理由と

して多く挙げられた。

このように、海外展開に難しさを感じている状況であるが、本調査で実際に進出をして

いる・進出を検討している企業へのアンケート調査では「公的支援を活用している」「公

的支援の活用を予定している」はほとんどない結果となった。その理由をインタビュー調

査により確認したところ、「公的支援を知らない」「活用方法が分からない」という回答

が得られた。

日本産業インタビュー（海外展開を有望とする意見）

特にアジア地域は、経済規模の拡大や人件費の安さ、技術情報漏洩対策が必要であるという背景か

ら有望である。（国産ベンダ、外資ベンダ、システムインテグレータ複数）

フィリピン等日本に比して人件費が安い国で、優秀な技術者を獲得する。（外資ベンダ）

日本産業インタビュー海外展開の困難を挙げる意見

既に英国に進出している。一方、アジア地域は商習慣についても難しい一面があると聞いており、

中小企業である当社には難しいと思っている。（国産ベンダ）

アジア市場は情報セキュリティに関する文化的背景や、そもそも商慣習が違うため、積極的な進出

が難しい。（国産ベンダ複数）

将来的には海外展開もしたいが、現在の企業体力からは時期尚早と思っている。（国産ベンダ）

優秀なパートナー、有能な拠点の責任者を見つけることが成功するために重要であるが、それがで

きるかどうか。（外資ベンダ複数）

日本発製品を海外に売るためにはローカリゼーションが課題である。（国産ベンダ）

49

図表 2-30 日本企業海外市場への進出時の公的支援活用の意向（問 5（2））

無回答,46.7%

２．活用の　予定はな　い, 　50.0%

１．活用して　いる・活用　を予定して　いる, 　　3.3%

１．活用している・活用を予定している

２．活用の予定はない

無回答

n=30

これらのデータからは、日本企業は、海外展開が一般論としては望ましいと考えてはい

るものの、技術的問題、営業的問題、企業体力などの自社の課題や、海外事業に関わる情

報不足、支援情報の不足等の障碍のために海外展開に積極的な戦略をとっていないという

状況がうかがえる。

2.2.5.2. 日本以外の各国の海外進出状況

2.2.5.2.1. 米国企業の海外進出状況

米国情報セキュリティ事業者の国外展開（特に北米地域以外への展開）については、第

一次産業構造調査において、グローバルに活発な活動を行っていることが確認されている。

また、本調査においては、米国情報セキュリティ事業者に対するアンケート調査におい

ても、多くの企業が国外拠点を有しているとの結果になった。「国外拠点無し」と回答し

た 5 社のうち、従業員規模が 100 人までの企業が 3 社であったが、一方で「国外拠点を有

している」と回答した企業のうち、50 人～100 名の従業員規模である企業が 4 社ある。企

業規模の大小によって国外拠点数も多い・尐ないの差があるが、なんらかの形で国外に拠

点を設け、事業を展開している企業があることが分かる。


中国進出時に、JETRO から多くの情報提供をいただいた。しかし、大きな調査の場合出来高払い

であるなど、利用しやすさについて改善いただきたい部分もある。（国産ベンダ）

JETRO が、日本のソフトウェアの海外進出を積極的に支援しているのか分からない。二の足を踏

んでいるように見える。（国産ベンダ）

海外進出に関してはグループ企業からの情報による。公的機関の支援がどのようなものか知らな

い。（国産ベンダ）

50

図表 2-31 米国企業本アンケート回答者データ（問 13）

米国企業　アンケート調査　海外拠点の有無

有り, 15社, 75%

無し, 5社, 25%

有

無

n=20

内　従業員数50名～100名　4社

内　従業員数50名～100名　3社

図表 2-32 米国企業本アンケート回答者データの内訳（問 13）

国内拠点国外拠点数回答社数国外拠点が

0の企業

従業員数1000人以上 1～39ヵ所 7～169ヵ所 6社 1社

100人～999人１～10ヵ所 1～20以上ヵ所 9社 3社

～99人 2ヵ所 2～3ヵ所 5社 1社

2.2.5.2.2. 欧州企業の海外進出状況

「2.2.1 市場と顧客」において述べたように、欧州域内においては、欧州ベンダ企業が数

多く展開しているものの、市場シェアが高いと目されるのは米国企業である。欧州基盤の

情報セキュリティ事業者の中で業績を公開している企業についてみると、欧州域外の地域

に売上を多く依存する企業としては、Sophosが 2010年度の収益に占める北米の割合が高く、

北米 39.9%、英国 15.2%、英国以外の欧州が 30.2%と、北米が英国以外の欧州域内からの収

益を上回っている50。

北欧企業、特にフィンランド企業の国外展開においては、「ボーン・グローバル」とい

うキーワードがよく聞かれる。「ボーン・グローバル」とは、国内国外市場を区別せず、

50

http://www.sophos.com/sophos/docs/eng/marketing_material/sophos-statutory-accounts-2010.pdf

欧州企業インタビュー（アジア市場への進出について）

日本市場は有望であると考え、長期的な視点で進出してきている。日本で有力なパートナーを見

つけ日本の政府調達にも参加している。各国地域のローカルに根ざした活動が重要であると考え

ている。（フランス）。

地域のローカルに根付くことが重要である。現地法人格があることを重要視している。地域の会

社として振る舞うことで定着し、コアに食い込む営業戦略をとる。（フランス）

51

会社設立当初から国外への参入を想定し人的資源、物的資源を投入する経営戦略を取るこ

とをいう51。これは NOKIA などの ICT 企業や情報セキュリティに限らない傾向であり、国

内市場が小さいことを理由として、北欧諸国においては、業種を問わずグローバル企業を

目指す企業が多いとされる52。北欧企業の特徴として、ベンチャー企業も含め、設立当初よ

り積極的にグローバル経営を目指す姿が、際立っていると言える。

情報セキュリティ産業に関しては、北欧諸国は、IT 先進国としてのイメージが定着して

おり、情報セキュリティへの取組みが他の欧州諸国よりも進んでいるとの評価を受けてい

る。欧州統計局（Eurostat）によれば、企業の情報セキュリティ取組みについても、例えば、

ICT セキュリティ戦略の策定や、従業員への周知等の取組みが行われている割合は、北欧各

国平均は欧州平均に比べて総じて高い53。なお、北欧の情報セキュリティ事業者へのインタ

ビューにおいては、国内市場よりも欧州市場からの収益が多く、市場認識も「北欧諸国、

西欧、その他欧州、北米、中南米、アジア、オセアニア」という地域区分をとっており、

自国製品・自国人材に拘らない戦略をとっているとの意見が聞かれた。

2.2.5.2.3. 韓国企業の海外進出状況

韓国企業については、製造業を中心に、活動が全世界にわたって展開される姿が見られ

る。これらの動きは主に財閥系の製造業の企業で見られるが、最近は欧州を足がかりにア

フリカを商圏とする動きが活発になってきたとの情報もある。

韓国の情報セキュリティ産業についても、他産業と同様に国外への展開が活発であり、

日本への進出に意欲的である点が特徴的である。第一次産業構造調査では「韓国の主要な

セキュリティベンダは、韓国の情報セキュリティ市場が世界のわずか 1%程度に過ぎないた

め、企業成長のためにはグローバルを視野に入れた展開が必要と認識して」おり、地理的

に近い日本への進出が活発であるが「ベンダに求めるサービス品質が非常に高い傾向があ

ることから、製品の改良、サポート体制の充実など、韓国のセキュリティベンダにとって

51典型的な成功例としては NOKIA である。2008 年 4 月に公表された総務省「ＩＣＴベンチャー・リーダ

ーシップ・プログラム」においても授業計画内で紹介されている。

http://www.soumu.go.jp/menu_news/s-news/2008/080408_1.html 52

JETRO 作成ユーロトレンド 2010.10 では、北欧企業の日本進出への取組みを特集し「国内市場が小さい

北欧諸国の企業にとって輸出努力は不可欠で、設立と同時に、または 2～3 年以内にグローバル展開を目指

す企業が多い。こういった企業を北欧諸国では「ボーン・グローバル企業」と呼ぶ」と紹介し、フィンラ

ンド・従業員 15 人の web 広告ソフト企業が特許取得ソフトを活用し、海外大手通信社と取引するなどグロ

ーバル展開している例を掲載している。http://www.jetro.go.jp/jfile/report/07000394/eurotrand_201010_R2.pdf 53

http://epp.eurostat.ec.europa.eu/portal/page/portal/product_details/publication?p_product_code=KS-SF-11-007


国内市場より欧州のある 1 カ国からの収益の方が多い。欧州域外のグローバル戦略が前提。（北欧）。

成長率が低い市場でシェアを食い合うと価格競争で疲弊し、開発予算がとれなくなる。新しい地域

や分野を目指していく方が合理的と考えている。（北欧）

北欧では 40 代後半以上と 40 代前半とでマインドに違いが見られ 40 代が国や企業を引っ張ってい

る。（北欧）

52

は解決すべき課題も多い」という状況を指摘している54。

韓国国内の情報セキュリティ市場については、KISA（Korea Internet & Security Agency

韓国インターネット振興院、以下 KISA）が、「2009 年国内の知識情報保安の産業市場及

び動向調査」において 2013 年には 2007 年の市場 3 兆 12 百億ウォン（約 2370 億円）55の約

6 倍、18 兆 4 千億ウォン（約 1 兆 4000 億円）に達するとの見通しを発表している56。韓国

の情報セキュリティ事業者においては、国内市場が大きく拡大する見通しはあるものの、

グローバル展開を視野に入れた動きを強めており、日本進出をその足がかりとして考えて

いることが特徴的である。

2.2.5.3. 日本企業と他地域企業との相違と、相違から見られる課題

日本の情報セキュリティ事業者においては、海外進出について、米国・欧州・韓国企業

に比して消極的な傾向にある。消極的である理由は、日本の国内市場の可能性を高く評価

して、ということよりは、むしろ海外進出や海外展開を行うことのリスクが多く挙げられ

ている。海外展開のリスクについては、第一にコスト面、（海外仕様製品の開発コスト、

パートナー等を見つけるためのコスト等）第二には海外に関する情報の不足や、法制度、

商慣習の違いによる困難などが挙げられた。

一方で、米国・欧州・韓国企業は、国内市場に軸足を置いていたり、最初からグローバ

ル展開を志したりなど、展開の方法や戦略は様々であるが、国外・域外に、なんらかの形

54

第一次産業構造調査報告書 44～45p 参照 55為替レート東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 100 ウォン 7.61 円を使用。

56 JNSA2011 年 1 月 25 日 Network Security Forum での KISIA 対外協力幹事である崔氏の発表資料による。

http://www.jnsa.org/seminar/nsf/2011/data/S3-1.pdf

韓国企業インタビュー

韓国企業は、自国の国内市場が小さいことを知っている。当初よりグローバル戦略をとっており、

その一環として日本市場の進出がある。（韓国ベンダ）

韓国企業にとって、日本市場は必ずしも大きいとは考えていないし、独特の難しさもあるが、一

旦入り込めば前例踏襲の慣行があり契約破棄の心配もないやりやすさもある（韓国ベンダ）。

韓国企業は人員等の規模が小さくても積極的に進出する。失敗する企業も多いが、失敗するかも

しれないといって進出しないことをしない。（韓国ベンダ）

活動は多いが、全部成功しているわけではない。撤退している企業も多い。しかし、失敗すれば

やり直せばいい、やめればいいと考える。（韓国ベンダ）

韓国国内市場が小さく国内市場で食べていけないことは、国も企業もみな危機感をもっている。

中小企業の輸出支援や進出支援など公的機関の支援を活用してどんどん進出する。（韓国ベンダ）


近年韓国企業の欧州進出はめざましく、アフリカ進出の拠点としての活動も積極的で目立つ。（欧

州 JETRO）

アジアの通貨危機を経て韓国は、政府・企業ともに変わった。「やってみて、ダメだったらやり

直す」「とりあえずやる」という意識で、政府・企業ともに国内市場ではなく国外を向いて活動

するようになった。韓国企業も政府も意思決定が早く、選択と集中も素早い。失敗も多いが成功

している企業もある。（KOTRA）

53

で製品やサービスを提供していこうという姿勢がある。今後、日本企業が海外市場を視野

に入れた時には、米・欧・韓からの先行進出組の企業が市場を占めている結果、それら地

域の企業に後れを取る可能性が懸念される。

日本企業の認識や、日本における施策を他国・地域と比較して考えた場合、グローバル

展開に関する課題として挙げられることは、海外展開に商機を見いだす意識の不足および、

海外展開に関する知識・情報の不足であるということになりそうである。

日本の情報セキュリティ市場は拡大の余地があるとはいえ、グローバルな市場展開は企

業の可能性を広げ、産業全体の活性化によい影響をもたらす。

韓国や北欧諸国では、自国の市場規模が小さいことを企業・政府ともに強く意識し、設

立当初より国外展開を想定した経営戦略をとるとともに、政府もそれを支援している。北

欧以外の欧州では、セキュリティの特性として防衛産業がその発祥であることが多いが、

国内を主としつつも域外展開を行うガリバー的大企業の存在や、まずは欧州域内に広く拠

点を築き、域外にも展開しようという情報セキュリティ専業企業もある。米国においては

国内市場規模が大きいが、現実に国外に拠点を持ち展開している企業も多く、国外チャネ

ルの開拓を行っている。

情報セキュリティ分野は、要素技術における言語障壁が尐ないことから、海外展開（輸

出）を企図した技術開発がしやすいという特徴がある。また、海外進出（国外拠点の展開）

にあたっても、建物や機械等設備投資が尐なくてすむことから、製造業に比して海外進出

がしやすい産業であると言える。経済状況の悪化で伸び悩む日本市場よりも、アジア地域

の経済成長性に着目し、新規市場を開拓する意思を持つことも有力な選択肢となる。その

ような意思を示す企業も一定程度見られた。また、海外での優秀な人材の確保や先進的ユ

ーザの獲得を進出の利点として挙げた企業もある。このような、海外展開の利点や意義を

見出していくことも必要である。

一方、海外展開を指向しない理由として、海外展開（輸出）にあたってのマーケティン

グ上の不安や、海外進出においても、日本の IT 産業や情報セキュリティ産業の成功事例が

極めて尐ないことが挙げられており、「進出した方がよいかもしれないが、進出に関わる

不安も多く、結果として特に具体的に検討していない」という企業が多い状況にある。

これらは、企業の側に海外展開に対する知識・情報が不足していることが原因である。

JETRO（Japan External Trade Organization 日本貿易振興機構以下 JETRO）等の支援がある

が、海外展開を予定していても、それらを活用している企業が尐ない。利用可能な制度や

機関・組織について、知識・情報を企業が得る必要がある。

また、日本の政府施策としての取組みも、JETRO による海外進出支援プログラム等、今

後成果が期待されているものもあるが、余り知られていないこともあって、活用が十分で

あるとはいえない。日本の産業活性化のためには、海外展開を考えている企業が海外に出

たくても出られない、ということがないように、公的機関の支援の充実に加えて、情報提

供機能が重要になる。

54

3. 情報セキュリティ産業に関わる政策・施策

－海外諸国の事例と比較を交えての分析－

情報セキュリティは国家安全保障に関わる要素がある他、経済社会や国民生活の基盤と

しても重要な意味を持つため、政策対応と不可分の領域である。このため政府の情報セキ

ュリティ政策が様々な面で展開されていると同時に、情報セキュリティ産業にとっての事

業環境にも政府の存在が大きな影響を与えている。

第一次産業構造調査では政府機関の動向に直接焦点を当てて調査を行った。本調査では、

情報セキュリティ産業や情報セキュリティのユーザ企業への調査の中で政府の影響を間接

的に探るアプローチをとった。

この章では、第 4 章における施策の検討のための情報整理として、政策種類別に各国の

状況を概観する。一部情報については第一次産業構造調査の調査結果を援用しつつ、産業

サイドやユーザサイドの視点を含めて整理を試みる。

3.1. 技術開発支援政策

3.1.1. 日本の情報セキュリティ関連技術開発支援政策

3.1.1.1. 公的機関による研究開発の実施

日本においては、情報セキュリティ技術の研究開発は、主として文部科学省、総務省、

経済産業省でなされている。文部科学省においては、科学技術研究費補助金（科研費）、

科学技術振興調整費（科振費）、独立行政法人科学技術振興機構（JST）傘下の社会技術研

究センター）が担っている。総務省においては、総務省直轄研究と独立行政法人情報通信

研究機構（NICT）が主なものとなる。経済産業省では、新世代情報セキュリティ技術研究

開発事業と独立行政法人産業総合研究所（AIST）における研究に分けられる。各々の概要

については、第一次産業構造調査報告書に記述している。ここでは、各独立行政法人の最

近の状況を概観する。（以下は、2011 年 6 月現在、各機関のホームページに掲載されてい

るデータによる。）

3.1.1.1.1. 独立行政法人産業総合研究所（AIST）

情報セキュリティ研究開発

独立行政法人産業総合研究所（以下産総研）は、2001 年、旧通商産業省工業技術院の 15

研究所と計量教習所が統合・再編され、経済産業省の所管として発足した。「基礎研究成

果を民間の製品化につなげることを見据えた基礎から製品化に至る連続的な研究」を「本

格研究」といい、イノベーションと産業活性化を組織の目標としている。

産総研において情報セキュリティを研究する組織としては「情報セキュリティ研究セン

55

ター」および「情報技術研究部門」がある。「情報技術研究部門」は情報セキュリティに

特化した部門ではなく、現在はセキュリティに関するテーマは多くはない。なお、研究セ

ンター・研究部門等の成果の民間移転については、産総研本部の技術移転室が全て担当し

ている。

独立行政法人産業総合研究所57

産総研 National Institute of Advanced Industrial Science and Technology (AIST)

全体予算産総研全体予算 808 億円（2010 年度）

研究開発の実施

体制

研究員は 2010 年 4 月現在 2,365 名、加えて招聘研究員およ

びポスドク約 560 名、テクニカルスタッフ約 1,600 名。

民間等との共同

研究

産総研全体の共同研究件数約 1500 件（2009 年度）。2001

年度の約 500 件から年々増加傾向にある。

産官学・官学連携等で連携研究体を組織する場合もある58。

関西センターの組込みシステム技術連携研究体では「連携検

証施設さつき59」を有料で提供している。

情報セキュリテ

ィ関連拠点の人

数・予算

つくば市・情報セキュリティ研究センター

（Research Center for Information Security （RCIS））

2010 年 7 月現在常勤研究員 36 名・事務職員 1 名。なお、招

聘研究員およびポスドク 12 名、テクニカルスタッフ 10 名、

顧問・外来研究員等 17 名の合計 76 名。

予算は非公表。

主な情報セキュ

リティの研究分

野

暗号・セキュリティ基盤技術分野

ハードウェア・量子情報セキュリティ分野

ソフトウェア分野

民間共同研究の例：2006 年よりヤフー株式会社との「インタ

ーネットにおけるセキュリティ強化に関する研究」60

学官連携例：2005 年に東京大学の基礎研究を引き継いだ

「Fail-Safe C: 安全な C 言語コンパイラ」プロジェクト61

57 産総研概要：http://www.aist.go.jp/aist_j/outline/affairs/index.html

RICS 概要：http://www.rcis.aist.go.jp/index-ja.html 58 http://www.aist.go.jp/aist_j/information/organization/index_special_division.html 59 http://cfv.jp/cvs/service/pdf/satuki_leaflet.pdf 60 http://www.rcis.aist.go.jp/project/internet-security-ja.html 61 http://www.rcis.aist.go.jp/project/FailSafeC-ja.html

56

成果の民間移転

担当部門

技術移転担当部門かつては TLO62センターを設けていた

が、現在は技術移転室。

産総研と大学・民間との連携による共同開発についても当該

部門のコーディネータがアレンジを行う。各都道府県の公設

試験研究所等と協力して、全国で中小企業による商品化支援

を行っている。

図表 3-1 産総研の行う産官学連携と成果の移転に関する模式図

（出所：産総研ホームページ「産総研の連携方針ならびに技術移転に関する基本方針」より）

http://www.aist.go.jp/aist_j/collab/policy/index.html

産総研全体での技術移転収入額は 2001 年度の約 1 億円から年々増加しており、2008 年

度には約 6.2 憶円となっている。

情報セキュリティ分野における技術移転のためのベンチャー設立事例としては、

BURSEC63株式会社があげられる。2010 年 4 月 1 日発足で、暗号鍵管理やパスワード認証に

関する技術「LR-AKE64」の商品化のためのベンチャー企業である。現在、パスワードマネ

ージャー、Web アプリケーションへの認証情報の記憶・入力、ファイルの暗号化保存の商

品化をリリース準備中65である。

3.1.1.1.2. 独立行政法人情報通信研究機構

総務省管轄においては、独立行政法人情報通信研究機構66(以下 NICT）が、主に情報セキ

ュリティに関する研究を行っている。2004 年、旧通信総合研究所と旧通信・放送機構が統 62 TLO：Technology Licensing Organization（技術移転機関） 63 http://www.bursec.com/ 64 http://www.rcis.aist.go.jp/project/LR-AKE/lrake.html 65 同社ホームページによる 66 http://www.nict.go.jp/about/index.html

57

合し、総務省所管として発足した。組織目的としては、情報通信技術の研究及び開発、高

度通信・放送研究開発を行う者に対する支援、通信・放送事業分野に属する事業の振興等

を総合的に行うとしている。

NICT において情報セキュリティを研究する組織としては「ネットワークセキュリティ研

究所」がある。成果の民間移転については、事業化・連携等それぞれ担当部門がある。

独立行政法人情報通信研究機構

National Institute of Information and Communications Technology（NICT）

全体予算 351 億円（2010 年度）

役職員数 443 名（2010 年 4 月 1 日現在）



数・予算

機構内のネットワークセキュリティ研究所が情報セキュリ

ティ関連の研究部門。サイバーセキュリティ研究室 13 名、

セキュリティ基盤研究室 9 名、セキュリティアーキテクチャ

研究室は人員非公開。予算規模はいずれも非公開。



野

・サイバーセキュリティ

・セキュリティアーキテクチャ

・セキュリティ基盤研究室

「セキュリティインシデント分析技術」67では、財団法人日

本データ通信協会テレコム・アイザック推進会議 68

（Telecom-ISAC Japan）および関連セキュリティベンダと連

携し、当該技術を社会に広めた実績がある。


にかかわる部門

社会還元促進部門成果知財展開室、技術移転推進室

産学連携部門連携研究推進室

産業振興部門事業化支援室、事業振興、成果融資管理室

情報セキュリティ分野における技術移転のためのベンチャー設立事例としては、株式会

社カオスウェア69があげられる。2003 年 8 月設立で、NICT と JST の共同出資のベンチャー

ビジネス。NICT として初のベンチャー設立事例である。統合的オフィス管理ツール、高速

暗号開発キット製品を取り扱う。

3.1.1.1.3. 独立行政法人科学技術振興機構（JST）

文部科学省管轄においては、独立行政法人科学技術振興機構70(以下 JST）が、情報セキュ

67 http://www.nict.go.jp/outcome/4otfsk000000qpft-att/4otfsk000000qphf.pdf 68 https://www.telecom-isac.jp/public/soshiki.html 69 http://www.chaosware.com/index.html 70 http://www.jst.go.jp/gaiyou.html

58

リティに関する研究を行っている。国家科学技術戦略目標の達成のための「ファンディン

グ（競争的研究資金の配分）」を行うことが主な組織目的である。戦略目標の達成のため

の研究領域を設定し、最適な研究プロジェクトを進めていく運営をしている。基礎研究へ

のファンディングや企業化支援の研究ファンディングなどが中心である。国の研究開発戦

略について提言を行う。ファンディングは主に大学向けを中心としている。

成果の民間移転については、事業化・連携等それぞれ担当部門がある。

独立行政法人科学技術振興機構

Japan Science and Technology Agency（JST）

全体予算 1,178 億円（50%が課題解決型基礎研究）（2011 年度）

役職員数 443 名（2010 年 4 月 1 日現在）



数・予算

研究開発戦略センター電子情報通信ユニット71

人員・予算規模はいずれも非公開。



野

「情報セキュリティの統合的研究推進－技術・法律・運用

管理の一体化－」72（2007 年 2 月）「報化社会の安全と信頼

を担保する情報技術体系の構築－ニュー・ディペンダビリ

ティを求めて－」73（2006 年 12 月）をまとめている。


にかかわる部門

知的財産戦略センターを中心に、「新技術の企業化開発」の

一環として産学連携・技術移転事業74を主要業務として行っ

ている。

3.1.1.2. 産業における公的研究資金の活用

産業における公的研究資金の活用は、上述のような公的研究機関と民間企業との契約に

よる形が主に行われている。補助金、交付金、委託費など、資金の性格により、適用範囲

や手続などが異なるが、概ね、以下のような流れで行われている。公的資金であることを

理由に制限がかけられる75。

① 公募テーマ設定：研究機関におけるテーマ設定。研究成果目標を定める。一度

公募のテーマが決まると、それらが変更されることはまれである。

② 事業者の選定：当該テーマに沿って事業者からの提案を募り、選定を行う。

71 http://crds.jst.go.jp/index.html 72 http://crds.jst.go.jp/output/pdf/06sp07.pdf 73 http://crds.jst.go.jp/output/pdf/06sp07.pdf 74

http://www.jst.go.jp/tt/ 75

「研究機関における公的研究費の管理・監査のガイドライン（実施基準）」への準拠および公的研究機

関との契約による制限。実施基準は文科省ホームページ参照。http://www.mext.go.jp/b_menu/shingi/chousa/gijyutu/008/houkoku/07020815.htm

59

③ 契約書の締結：公的機関との役割分担や、成果の帰属について定める。受託者

に成果を帰属させる契約（バイ・ドール制度の適用）の場合に、成果の帰属に

関する制約事項がある。

④ 研究費の用途に関する制限：費目を指定しての用途制限がなされる。

⑤ 単年度契約であることの制限：複数年次プロジェクトであっても、単年度で一

旦締め切られる。

⑥ 研究成果の用途に関する制限：成果の活用にあたっては、公的機関等において

の許諾が必要な場合がある。

このような制度については、情報セキュリティ事業者へのインタビューにおいては「使

い勝手が悪い」との表現が聞かれ、具体的には以下のような指摘があった76。

すなわち、開発すべき技術が日々変わる状況への対応の悪さ（融通が利かない）、資金

用途の限定、国等が指定する第三者への成果開示を拒否できないためノウハウを完全に秘

匿できない、などである。画期的な技術開発への大規模プロジェクトが必要だがそれがな

い、という指摘もある。さらに、技術力についても自社の方が上であるとの自負が複数の

ベンダやシステムインテグレータから聞かれ、共同開発することへのメリットが感じられ

ていない状況が指摘された。従って、民間のなかに既にある優れた技術を発掘し、それへ

の支援を行うべきではないかという意見もあった。

また、公的機関のみならず、大学との研究についても実施しているベンダ・システムイ

ンテグレータから概ね否定的な意見がきかれた。技術的に期待できることは尐なく、ビジ

ネス的にもスピード感が合わないという状況が指摘された。

76

文科省の行う検討会「研究機関における公的研究費の管理・監査に関する検討会」2007 年～においては、

研究費の適正使用に関する議論がなされており、その中のテーマの１つとして「効果的使用」「使い勝手」

が継続的に上がっている。http://www.mext.go.jp/b_menu/shingi/chousa/gijyutu/011/index.htm

日本産業インタビュー（資金規模および共同開発の制約に関し）

米国は防衛予算から多額の資金が出ていて、開発投資額が違う。（外資ベンダ、国産ベンダ、サ

ービスプロバイダ）

本当に画期的な技術は、資金を大きく投じないと開発できない。攻撃者の意図によって、攻撃方

法が変わり防御方法も変わってくる。予期できない危険は常にあるのがセキュリティ技術。それ

を追いかけるためには大きな資金のプロジェクトが必要。（システムインテグレータ）

共同開発の成果を民間帰属させるときに、基本的に特許権であれば公知となってしまうため、技

術を開示しなければならない。国などが利用権を確保するために、発注者が定める者に技術開示

の必要が生じる場合もあり、制度として使い勝手が良くない。企業にうまみがある、共同研究の

スキームを広げる必要がある、バラエティを持たせる必要がある。（国産ベンダ）

通常民間の共同開発時の条件は①知的財産権の非譲渡、②特許は共同出願、としている。公的研

究開発はこうはいかない。（国産ベンダ）

公的資金による研究開発では、開発名目が決められていることから、関連 IT 技術が開発期間に変

化した場合などに対応はできず、自由度がない。（サービスプロバイダ）

60

3.1.1.3. 日本の情報セキュリティ関連の公的予算規模

内閣官房情報セキュリティセンター（NISC）は 2011 年 6 月、「情報セキュリティ研究開

発戦略（案）」77を発表し、パブリックコメントの募集を行った。同戦略（案）によれば、

日本の情報セキュリティの研究開発予算と米国のそれとを比較して、以下のように述べて

いる。

「我が国の情報セキュリティ研究開発予算は、2006 年度は 91.2 億円であったが、2010 年度

は 48.6 億円となっており、この５年間に約 47％の大幅な減尐を示している。

一方、米国の研究開発予算は、2007 年度から 2011 年度まで増加傾向にあり、５年間で

91％程度増加し、2010 年度は 366 億円（4.07 億ドル）78である。

日米の予算を比較すると、2007 年度には、米国 192 億円（2.13 億ドル）、日本 77.1 億円

であり、GDP 比では日米ほぼ同程度の予算規模であったが、2010 年度には、米国は 366 億

円へと増加し、日本は 48.6 億円へと減尐しているため、GDP 比で比較すると 3.02 倍の格差

となっている。」

そして、「諸外国が情報セキュリティに係る研究開発に力を入れている中、我が国の状

況は、憂慮すべき状態にあると言わざるを得ない。」と強い危機感を示している。

3.1.1.4. 公的開発成果の技術移転制度

日本においては、政府等公的機関が開発した技術成果の移転は 1999 年の「日本版バイ・

ドール制度」79の導入によって実現している。しかしながら当初制度の対象が「委託研究契

約」にのみ限定されており80、「請負によるソフトウェア開発契約」は含まれていなかった

ことから、情報セキュリティ関連技術については非常に限定的な適用しか期待できなかっ

77 http://www.nisc.go.jp/active/kihon/pdf/kenkyu_kaihatsu_110601.pdf 78 NISC の同戦略（案）においては為替レート 1 ドル＝90 円を使用している。 79 日本版バイ・ドール制度：産業活力再生特別措置法に基づく。政府資金を供与して行う委託研究開発に

係る特許権等について、一定の条件を受託者が約する場合に、受託者に帰属させることを可能とする制度。 80 改正前の日本版バイ・ドール制度については、経済産業省の過去の説明資料参照。http://www.meti.go.jp/policy/innovation_policy/bayh-dole.pdf

日本産業インタビュー（提案・要望）

公的支援に関しては、ホームページのあちらこちらを調べるのではなく、支援一覧があると便利

だと思う。見える化を進めてほしい。（国産ベンダ）

もっと公的機関の成果のオープンソース化があってもよいのでは。（国産ベンダ）

日本にも三菱電機の暗号化技術を活かした秘文などは日本の優れた技術と思うが、このような技

術を見出し支援し広げてゆくような取組があってもいいのでは。（サービスプロバイダ）

日本産業インタビュー（公的機関、大学の技術力）

共同研究によってむしろ公的機関に対して技術を提供している方である。大学の研究室に委託さ

れてデータを売っているほどである。逆に支援を受けることはない。（国産ベンダ）

大学との共同研究は、時間がかかり、ビジネスのスピード感に合わない。（国産ベンダ）

大学との共同研究は、尐ないが行っている。しかし、技術・内容ともに自社の方が上。人脈のた

めに参加している。（システムインテグレータ）

61

た。平成 19 年度改正により、「請負によるソフトウェア開発契約」が対象となり、情報セ

キュリティ技術が開発された場合にも対象となることとなった。ただし、日本版バイ・ド

ール制度に基づき受託者に権利を帰属させる契約が可能ということであって、政府資金に

より開発された技術等の知的財産権は、政府に帰属するというのが政府契約の原則である。

無条件に受託者に権利を認める契約にはしていない。

また、政府や公的機関が開発した技術成果等を民間において製品化・事業化していくた

めの技術移転については、前項で述べたとおりマッチングなどの交流事業も含めて、JST や

産総研など、研究開発を行う独立行政法人が主に事業として行っている81が、技術成果を民

間で事業化させる取組みとしては端緒についたところであり、省庁が保有する開発成果の

移転については、特に窓口を設けている省庁はない。（米国連邦政府では、研究開発を所

管する省庁では技術移転窓口を持っている。82）

後述するように、米国・欧州では、このような技術移転の仕組みには 1940 年代から取り

組まれており、日本では制度が定まってまだ間もない。これらのことから、公的研究機関

や省庁等を含め、日本における事業化を目的とした民間への技術移転と活用に関する枠組

み整備は、途上であると言える。

3.1.2. 欧州の情報セキュリティ関連技術開発支援政策

3.1.2.1. 欧州委員会における FP7 の開発支援と技術移転の制度

FP7 の概要

FP783は「第 7 次枠組計画（The Seventh Framework Programme for research and technological

development）」の略称である。EU における主要な助成研究の仕組みのひとつで、現在の第

7 次計画は 2007 年から 2013 年までの事業である。「枠組計画」は 1984 年に始まり、欧州

域内だけではなく、欧州域外の学際研究や共同研究を促進する役割も担う。日本にも「BILAT

in Japan」という情報提供拠点84があり、日本の研究者の参画を募っている。

2007 年から 2013 年までの予算規模は 533 億ユーロ（約 6 兆 2000 億円）85。FP7 は、カテ

ゴリと称する 4 つの事業を行っている。BILAT in Japan のホームページによれば、その内容

は以下のとおりである。（第７次研究枠組計画：7th Framework Programme）：欧州委員会

が定める中期科学研究枠組み研究開発プログラム。そのうち「協力プログラム」は 2007 年

-2013 年で 324 億ユーロ（約 3 兆 7700 億円）の予算規模を持つ。

FP7 の構成は、下記 4 項目の計画で成り立っており、これら 4 項目は、欧州研究政策の

81 産総研の技術移転については過去は経済産業省認定 TLO である産総研イノベーションズ（財団法人日本

産業技術振興協会の独立事業部門）が行っていたが、2010 年 4 月より直接行っている。 82 米国連邦政府の技術移転の政府窓口の特徴や成果については、独立行政法人工業所有権情報研修館「米

国の技術移転市場に関する調査研究報告書」（2007 年 6 月）105～120p に詳しい。http://www.inpit.go.jp/blob/katsuyo/pdf/download/H18usa.pdf 83 http://cordis.europa.eu/fp7/home_en.html、予算額等は http://cordis.europa.eu/fp7/budget_en.html 84 http://www.j-bilat.eu/ 85本項の為替レート東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 1 ユーロ 116.39 円を使用。

62

4 大目標にそれぞれ対応している。

計画名

Programme

概要 2007～2013 年

予算

協力

Cooperation

産学共同プロジェクトを対象としている。EU 加盟国に

おける cooperation で実施される研究活動への助成が対

象だが、EU 外国がメンバーに加わることが推奨されて

おり、日本、米国等に情報提供機関がある。

324 億ユーロ

（約 3 兆 7700 億円）

アイディ

ア・構想

Ideas

「欧州研究評議会」を通じて、工学、社会科学、人文

科学なども含めた科学技術分野全般を助成する。研究

者主導の先端研究・基礎研究助成。

75 億ユーロ

（約 8730 億円）

人材

People

通称「マリー・キュリープログラム」EU 域内および第

三国の研究者の教育・トレーニング・キャリア支援。

48 億ユーロ

（約 5570 億円）

基盤整備・

競争力強化

Capacities

EU の研究インフラの整備を支援する。地域政策、中小

企業の伸張に資する研究や地域クラスターへの支援、

国際協力への支援を行う。

41 億ユーロ

（約 4770 億円）

原子力関係の研究「Euratom」実施分および JRC（共同研究センター：

Joint Research Centre）活動に関する予算

45 億ユーロ

（約 5240 億円）

合計 533 億ユーロ

（約 6 兆 2000 億円）

FP7 は、これら 4 つの計画を通じて、欧州において質の高い研究拠点を構築することを目

指すものである86。

この中で、産学官連携による大規模支援は「協力」に分類される。「協力」の分類で支

援される開発研究のテーマは、以下の 10 テーマである。この 10 のテーマのうち、情報セ

キュリティ分野の研究への支援が受けられるのは「情報通信技術（ICT）テーマ」（90.5 億

ユーロ（約 1 兆 500 億円））、「セキュリティ・安全保障（Security）テーマ」（14 億ユー

ロ（約 1630 億円）の２つのテーマである。

以下に、情報セキュリティ関係について、2007-13 年の予算枠を示す。テーマ別には、2007

年～2013 年の 7 年分の予算となっているが、個別の研究プロジェクトの募集テーマは約 2

年ごとに区切られており、テーマの中の配分も 7 年分が確定しているわけではない。

86

http://cordis.europa.eu/fp7/home_en.html。

テーマ Theme 2007～2013 年予算情報セキュ

リティ関連

1 Health 6100 百万ユーロ

（約 7100 億円）－

2 Food, Agriculture and Fisheries, and

Biotechnology

1935 百万ユーロ

（約 2252 億円）－

3 Information and Communication

Technologies


（約 1 兆 500 億円） ○

4

Nanosciences, Nanotechnologies,

Materials and new Production

Technologies


（約 4045 億円）－

63

現在実施中の研究プロジェクト 2011-2012 年では、情報セキュリティに関する研究開発に

ついては ICT テーマをさらに以下の 8 つの「Challenge」と「Future and Emerging Technologies」

の 9 つにカテゴリに分けた公募テーマの中の、「Challenge1:Pervasive and Trusted Network and

Service Infrastructures」（予算 6.25 億ユーロ）、さらにその中の「Objective1.4:TrustWorthy ICT」

（予算 0.8 億ユーロ）である。

ICT テーマの 8 つの Challenge

Challenge 1 - Pervasive and Trusted Network and Service Infrastructures

Challenge 2 - Cognitive Systems and Robotics

Challenge 3 - Alternative Paths to Components and Systems

Challenge 4 - Technologies for Digital Content and Languages

Challenge 5 - ICT for Health, Ageing Well, Inclusion and Governance

Challenge 6 - ICT for low carbon economy

Challenge 7 - ICT for the Enterprise and Manufacturing

Challenge 8 - ICT for Learning and Access to Cultural Resources

Future and Emerging Technologies （FET）

FP7 のプログラム運営

プロジェクトの推進方法は、テーマを設定し、提案を募集し、優れた提案をしたコンソ

ーシアムに開発委託を行うというものである。ICT テーマに関するプログラムの運営は、欧

州委員会の情報社会・メディア総局の管轄である。2 年程度のプロジェクト期間に区切って

公募を行う87。開発成果は請負ったコンソーシアムに帰属し、コンソーシアムに参加した企

業はそれを契約の内容に従って、自由に使うことができる。ただし、応募段階で、開発成

果の分配や活用について計画を提出し審査を受けなければならない。また、FP7 のプログラ

ムそのもので利益を出すことは禁止されている。助成される割合は 50～75％である。

87 http://cordis.europa.eu/fp7/ict/

5 Energy 2350 百万ユーロ

（約 2735 億円）－

6 Environment (including Climate Change) 1890 百万ユーロ

（約 2200 億円）－

7 Transport (including Aeronautics) 4160 百万ユーロ

（約 4840 億円）－

8 Socio-economic Sciences and the

Humanities

623 百万ユーロ

（約 725 億円）－

9 Space 1430 百万ユーロ

（約 1660 億円）－

10 Security 1400 百万ユーロ

（約 1630 億円） ○

64

提案主体となるコンソーシアムは、最低 3 ヵ国からの組織が参加しなければならない。

提案主体を募るために、また国際連携を支援するために、EU は加盟各国に相談窓口を設け

ている。相談窓口は相互にネットワークしており、それを通じて国際コンソーシアムとそ

の提案をまとめる。

テーマの選定は、各国からの代表者の会議により、各国の利害調整も含めて決定する。

学者、産業界等有識者の意見も求め、それを参考にして決める。提案審査も、有識者によ

る評価委員会を編成してその結果で決定する。開発成果の評価についても基本的に同じ枠

組みで実施する。評価の尺度としては、成果の重要度そのもの、それの実施効果および与

える影響の大きさが対象となる。

FP7 の代表的な情報セキュリティプロジェクト

FP7 の情報セキュリティに関連したプロジェクトでは、主なものとして以下がある。これ

らは、いずれも「ICT テーマ」で助成されているプロジェクトである。国際的な産学連携で

あり、開発期間 2～3 年間で FP7 による資金拠出規模が 350 万ユーロ（約 4 億 700 万円）88程

度のプロジェクトである。

ここでは、2010 年に完結したプロジェクトから、情報セキュリティに関連したいくつか

のプロジェクトを取り上げる。

Secure widespread identities for federated Telecommunications （SWIFT）89

プロジェクト名と

略称

Secure widespread identities for federated Telecommunications

（SWIFT）

プロジェクト内容インターネット上でのコミュニケーションにおいて、異

なるレイヤーの ID フレームワークにおいて、仮想 ID を

サポートし、個人が特定されない ID 管理を実現するた

めのデータ制御技術。

期間 2008/1/1-2010/6/30

全予算/FP7 拠出分 530 万ユーロ/348 万ユーロ（617 百万円/405 百万円）

参加者名およびそ

の国名

Fraunhofer IESE （ドイツ）

Instituto de Telecomunicacoes Aveiro（ポルトガル）

DRACOTIC S.L.（スペイン）

Alcatel－Lucent Bell NV（ベルギー）

NEC Europe LTD United（英国）

Portugal Telecom Inovacao SA（ポルトガル）

Deutsche Telekom AG（ドイツ）

Universidad de Murcia（スペイン）

Universitaet Stuttgart（ドイツ）

88 本項為替レート東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 1 ユーロ 116.39 円を使用。 89 SWIFT Project Overview による。http://www.ist-swift.org/component/option,com_docman/Itemid,37/task,doc_download/gid,1/

65

Computer Aided Cryptography Engineering （CACE）90


略称

Computer Aided Cryptography Engineering （CACE）

プロジェクト内容高品質の暗号化ソフトウェアの生産をサポートするツ

ールの開発

期間 2008/1/1-2010/12/30



の国名

Technikon Forschungs- und Planungsgesellschaft mbH,

(coordinator) （オーストリア）

Ruhr Universität Bochum, Horst Görtz Institute of IT Security,

(technical leader) （ドイツ）

University of Bristol, COMPSCI （英国）

TU Einhoven, （オランダ）

University of Minho （ポルトガル）

Bern University of Applied Sciences, Security Engineering Lab

（スイス）

Aarhus University, Dept. of Computer Science（デンマーク）

University of Haifa （イスラエル）

Sirrix AG Security Technologies （ドイツ）

Aalto University （フィンランド）

Nokia（フィンランド）

Alexandra Institute Ltd.（デンマーク）

Detecting known security vulnerabilities from within design and development tools

（SHIELDS）91


略称

Detecting known security vulnerabilities from within design

and development tools （SHIELDS）

プロジェクト内容セキュリティの専門家とソフトウェア開発者、ツール

等開発者における脆弱性情報共有データベースの仕組

み開発

期間 2008/1/1-2010/6/30



の国名

Linköping University （スウェーデン）

SINTEF （ノルウェー）

European Software Institute （スペイン）

Fraunhofer IESE （ドイツ）

Institut National des Télécommunications（フランス）

Montimage （フランス）

SEARCH-LAB （ハンガリー）

TXT e-Solutions （イタリア）

90 CACE leaflet による。http://www.cace-project.eu/downloads/CACE-leaflet-final.pdf 91 SHIELDS Brochure による。（http://www.shieldsproject.eu/files/docs/SHIELDS_brochure.pdf）

66

3.1.2.2. 英国の開発支援と技術移転政策

開発支援

英国においては、イノベーション強化の目的で開発支援および技術移転の各種施策に取

組んでいる。所管は、BIS（ビジネス・イノベーション・技能省：Department for Business,

Innovation and Skills 以下 BIS）であり、民間企業における研究開発投資額の伸張施策と、政

府からの研究開発補助などがある。

英国統計局の報告「UK gross domestic expenditure on research and development 2009」（2011

年 3 月公表）92によれば、英国国内の研究開発費総額は、1999 年の 170 億ポンド（約 2 兆

3000 億円93）から 2009 年の 259 億ポンド（約 3 兆 5100 億円）へと 52.3%増という大幅な伸

びを示したが、内訳をみると、政府資金の伸びは 1999 年の 27 億ポンド（約 3660 億円）か

ら 2009 年 32 億ポンド（約 4340 億円）で 18.5％の増に過ぎない。民間企業および高等教育

機関の資金が増えたことが寄与した結果である。民間企業における研究開発投資額の伸張

という政策目的が十分達せられているものと見られる。

研究開発に関する政府の資金援助施策は、「Solution for Business funded by governrment」94

という施策に含まれている。この施策はマーケティング支援など幅広い領域をカバーする

施策であり、対象とする企業も起業前段階の企業から、ベンチャー、中小企業、大企業ま

で幅広い。

また、研究開発促進税制については、2011 年 6 月現在、情報セキュリティ分野の技術開

発のみを対象としたものではないが、法人税の課税対象額から研究開発費（政府が認める

「研究開発適格費」）の一定割合を控除する制度95がある。この制度は、導入時の政策議論

においてハイテク中小企業への資金支援としての趣旨に基づきそれに適した制度が検討さ

れ導入された経緯がある96。

セキュリティ分野における公的な開発支援の仕組みの例として、SITC 97（The Security

92 http://www.statistics.gov.uk/pdfdir/gerd0311.pdf 93本項為替レート東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 1 ポンド 135.60 円を使用。 94 http://www.berr.gov.uk/files/file53913.pdf 95 http://www.bis.gov.uk/assets/biscore/corporate/docs/r/rd-tax-purposes 96 英国における研究開発税制の内容は、経済産業省「平成 21 年度英国における研究開発促進インセンテ

ィブに関する調査（平成 22 年 3 月）」（委託先：独立行政法人日本貿易振興機構（JETRO）に詳しい。

同報告書 27p 参照。政策議論の過程については、同報告書 41～42p 参照。http://www.meti.go.jp/policy/tech_research/30_research/report2009_1.pdf 97

http://www.securityintech.com/


開発には支援しないが、評価機関への資金提供・出資を行うことはある。ネットワークセキュリテ

ィ、ワークステーションのセキュリティ、情報セキュリティコンサルティング等について例がある。

（英国・ベンダ）

政府は開発への直接支援を止めて、標準に対する評価サービスを買う方向に動いている。その結果、

評価機関の数は増えてきている。（英国・ベンダ）

政府支援は、情報技術分野では、暗号技術など特定の技術だけが対象となっている。その他は、市

場で立証された技術を買うか、場合によっては政府が自ら開発するケースがある。（英国・ベンダ）

67

Innovation and Technology Consortium）がある。同組織へのインタビュー内容を以下に記す。

SITC の 4 つの目的は以下の通り

① 企業に行動に結びつく世界の市場情報の提供

② 英国南東地域の企業と国際的サプライチェーンとの協業のおぜん立て、

支援

③ 重要顧客と各企業または企業連携との引き合わせ

④ 地域の企業の活性化、企業間連携や事業展開過程に対する様々な支援

英国政府は、国を 4 つの地域に分けて、それぞれでセキュリティに関する事業開発

支援を行っている。対象は情報セキュリティだけでなく、物理セキュリティ等も。

（同社 Web サイトには以下の領域を列挙）

Cyber Security (Critical Infrastructure, ID Theft)

Business Continuity (The City, Corporate HQs)

Transport Security (Roads & Public Transport)

Border and Port Security (e-Borders, Customs)

Crisis Management (Police, Fire, Ambulance)

National Security (HMG, EMEA, US)

Counter Terrorism (Police, Security Services)

Airport Security (London’s Airports)

Supply Chain Security and Resilience

Major Event Security (2012 Olympics )

政府からの産業育成資金を配分することが仕事。

資金の出所は SEEDA（South East of England Development Agency）ただし、地域別に

Agency を分けて予算配分していたのはこの 3 月までで、これからは国から直接資金

が下りてくる。

配分の手段は、政府が開発の遅れを認識するテーマのリストに沿って予算をつけ、

それを受けて開発プロジェクトに参加する企業を公募し、選定して資金提供する。

また技術・製品開発支援だけでなく、商談会的な設定もして販売面の支援も行う。

輸出に対する支援も強く実施している。ただ、アメリカへの浸透はかなり大変。

基本的には SITC のメンバーからの募集だが、タダでだれでも登録できる。

また、資金の源は South East of England Development Agency だが、会員の立地はどこ

でもよく、全ヨーロッパから参加している。

大企業もいるが、中小企業の支援・育成が目的のひとつなので、中小企業が参加で

きるようにアレンジすることでサポートする。コンソーシアムや組合方式でプロジ

ェクトを編成したりする。

大企業の会員の例としては Thales, BAE Systems 等

68

年間予算規模という概念はなくて、プロジェクト・テーマごとに募集がかかる。

Web サイトに行けばどのようなテーマで何が実施されているかわかる。

SITC の会員数は 390。業種別内訳はわからない。6 つの SIG(Special Interest Group)

のどれに登録するかでしか管理していない。

6 つの SIG とは：

Transport Security, GRC（Governance, Risk and Compliance）, Sensors and Detectors,

Surveillance and Tracking, Information Assurance, Information Systems98

このように、政策的にかなり強く中小企業支援を実施している。しかも「セキュリティ」

領域に特化して実施していることは注目に値する。

技術移転

英国において、政府による開発成果の民間移転は一般的に行われている。1948 年に公的

資金による研究成果の民間による事業化を目的として、NRDC（National Research

Development Corporation）が設立され、1975 年に公営事業の民営化目的で設立された National

Enterprise Board と 1981 年に合併して BTG（British Technology Group）となった。この組織

は公的開発成果の技術移転、ライセンス、事業化を目的として活動したが、後に私企業と

なった。このように英国では伝統的に官から民への技術移転が政策として行われていると

見られる。大学発の技術移転機関も多く設立されており、盛んに民間移転が行われている99。

現在、BIS における技術移転方針では、広く大学や公的機関の研究成果を商業化することを

進めており、事例紹介などそれらの周知活動も行っている100。

3.1.2.3. ドイツの開発支援と技術移転施策

ドイツにおいては、IPA が提携関係にあるフラウンホーファー研究所が主要な公的研究開

発機関の一つである。1949 年設立のフラウンホーファー研究所が 1955 年に設置した特許部

門が、ドイツ国内での技術移転を手がけており、これがドイツで最初の技術移転機関であ

る101。

98 聴取日：2010 年 6 月 29 日聴取先：Laura-Jane Pirie, Project Manager, 聴取者：勝見勉(IPA)

99 英国・ドイツ等の技術移転については、独立行政法人工業所有権情報・研修館「西欧における技術移転

市場の動向に関する調査報告書（平成 21 年 3 月）」に詳細調査されている。 100 http://www.bis.gov.uk/policies/science/knowledge-transfer 101独立行政法人工業所有権情報・研修館「西欧における技術移転市場の動向に関する調査報告書」（平成

21 年 3 月）http://www.inpit.go.jp/blob/katsuyo/pdf/download/h19seio.pdf


国防省は大学の研究所を良く活用してきた。それを通じて産業に技術を伝播することを実施して

きた。政府の知財を民間に移転することは広く行われている。（英国・ベンダ）

69

フラウンホーファー研究所 Fraunhofer Institute

全体予算約 13 億ユーロ（約 1510 億円）102（2009 年）

研究開発の実施体

制

研究員約 1 万 8 千人。60 拠点に 80 ユニットを持つ。

情報セキュリティ

関連拠点の人数・

予算

ダルムシュタット及びザンクト・オーガスティンが情報セ

キュリティ関連研究の拠点。

2010 年 7 月現在 195 人、2009 年度予算は 9800 万ユーロ103

（114 億円）。

海外展開日本他アジア、米国、中東に拠点を有し、海外からの研究

者募集、国際提携による研究開発を支援する。


技術移転活動はフラウンホーファー研究所が伝統的に盛んに行っている。民間事業への

スピンアウトの仕組みは近年事業化の可能性が認められ作られた。1999 年から「フラウン

ホーファー・ベンチャーグループ104」が稼動し、研究員によるスピンオフ、産業とのマッ

チング、企業化活動を行っており、2010 年現在、約 150 のスピンオフ企業を持っている。

（出資は約 130 社）情報セキュリティに関しては、スピンオフした企業から発展した

SECUDE、SecunetAG が大きな成果を挙げた企業である。

民間移転の方法、受け皿会社の設立などがあるがまちまちで、以下の代表的な方法があ

る。

・ R&D の従事者がそのまま新会社に移籍する。

・研究機関が新会社に出資し、技術移転と同時に株主になる。

・新会社に技術供与し、ライセンス料を取る。一般的なライセンス料は 50%

新技術を事業化する成果移転の方法としては、プロトタイプの開発投資を基本的に新会

社の負担として、技術を権利化・特許化し、開発者に成果還元する仕組みを持つ。移転先

としては、どのような企業でも手を挙げることが出来、フラウンホーファーが移転先等を

決定する。

3.1.3. 米国の技術開発と民間移転の政策

米国の IT に関わる研究開発は、1991 年の HPC 法（高性能コンピュータ法）や 1998 年の

NGI 法（次世代インターネット法）などの頃から省庁横断型のプログラムが開始され、2001

年から NITRD（Networking and Information Technology Research and Development）プログラ

102

本項為替レート東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 1 ユーロ 116.39 円を使用。 103 http://www.sit.fraunhofer.de/en/the-institute/facts-figures.html 104 http://www.fraunhoferventure.de/en/index.jsp

70

ムが推進されている。

情報セキュリティ研究開発は、NITRD の構成要素 CSIA（Cyber Security and Information

Assurance）として実施されているものと、NITRD に参加しない DHS やエネルギー省などの

研究開発組織により実施されるものがある。米国政府は、IT に関わる研究開発を大統領レ

ベルの省庁横断プログラムとして総合調整を図り、省庁のミッションに応じた研究開発を

行いながら、省庁間の連携により効率的に研究開発を推進する体制を構築している。NITRD

に参加する省庁のうち、DARPA（防衛先端研究計画庁：Defence Advanced Research Projects

Agency 以下 DARPA）、NSF（全米科学財団：National Science Foundation 以下 NSF）、NASA

（米国航空宇宙局：The National Aeronautics and Space Administration 以下 NASA）、NIH（米

国国立衛生研究所：National Institutes of Health 以下 NIH）、DOE（教育省：Department of

Education 以下 DOE）等は外部に情報セキュリティ関連の研究開発資金を提供しており、う

ち、DARPA と NSF は公募型プロジェクトで支援する。DOJ（司法省：Department of Justice

以下 DOJ）、DOC（商務省：Department of Commerce 以下 DOC）は外部に拠出していない。

米国に特徴的な研究開発資金およびその成果の民間提供の仕組みに、FFRDC （Federally

Funded Research & Development Center）がある。FFRDC とは、米国連邦政府の研究開

発資金によって設立された研究機関であるが、その多くは、大学、非営利組織、民間企業

などの民間組織により運営される。そのような運営主体の代表的な存在に、IPA が SCAP（セ

キュリティ設定共通化手順：Security Content Automation Protocol）の研究や日本での展開に

際して連携している MITRE105がある。以下では、MITRE の事例により、米国連邦政府の研

究開発と、民間技術移転の仕組みを見ることとする。

マイター The MITRE Corporation

全体予算約 13 億ドル106（約 1150 億円）（2010 年収入額）

人員 7600 名 65%は修士または博士号取得者

開発拠点 The MITRE Corporation, 202 Burlington Road, Bedford, MA

The MITRE Corporation, 7515 Colshire Drive, McLean, VA

全 60 拠点

MITRE の成り立ち

MITRE は、米空軍の SAGE（半自動式防空管制組織：Semi-Automated Ground Environment）

プロジェクトを支援するために組織された会社である。「会社」組織をとっているが、非

営利の研究開発組織であり、そのため、以下の特徴がある。

利害関係のない客観的な立場からのアドバイスを行う。

非政府のため、政府に所属することを希望しない有能な科学者等の雇用。

105 http://www.mitre.org/ 106本項、為替レート東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 1 ドル 88.71 円で換算。

71

政府機関の情報へのアクセス許可。

公共の利益を目的。

政府機関との関係

政府機関との研究開発契約は「随意契約」である。（理論的には MITRE 以外にも発注可

能）現在、MITRE が運営している FFRDC（Federally Funded Research and Development Center）

は以下の 4 つである。

高度航空システム開発センター（CAASD）連邦航空局後援の FFRDC

米国防総省後援のコマンド、コントロール、コミュニケーション、インテリジ

ェンス（C3I）に関する FFRDC

財務省、内国歳入庁と退役軍人局が共同で後援する企業近代化センター（CEM）

の FFRDC

国土安全保障省が後援する国土安全保障システム工学開発研究所の FFRDC

4 つの FFRDC と 3 つの専門知識をもつチームがマトリックスに組織されている。専門知

識チームは以下の 3 種類である。

The Information Technology Center

The Information and Computing Technologies Center

The Information Security Center.

政府との契約および予算規模

MITRE は政府機関から直接資金を受け取っている。FFRDC において、各政府機関と

MITRE は契約を取り交わし、政府機関に対して実施する業務の範囲と、請求できる金額や

使途の範囲が定められている。基本的には各政府機関が予算限度額を確保しているため、

MITRE は限度額までの業務を行う。

2009 年 10 月までの事業年度においては、MITRE は 12 億ドル（約 1060 億円）以上の受

託事業を行っている。このうち、主体は陸軍・空軍であり、約 8.7 億ドル（約 771 億円）を

占めている。

このうち、研究開発費に充当する割合が契約において定められている。MITRE は資金の

詳細な使途を公開していないが、MITRE 内で実施する調査等については、研究開発費の割

合が高いものと推測される。

MITRE 自身や政府機関の決定により、民間企業、大学、その他の非営利団体等への外部

委託が行われることもある。

技術の民間移転

1999 年に技術移転室（Technology Transfer Office）を設置し、民間への直接の技術移転を

積極的に推進している。2000 年から 2009 年までの民間へのライセンス供与は累計 160 件、

72

公共部門、大学等へのライセンス供与やオープンソース化は累計 111 件である107。

米国のサイバーセキュリティにおける MITRE の役割

MITRE ではサイバーセキュリティのテーマを重視しており、連邦政府のサイバーセキュ

リティの強化に寄与している。

MITRE の主な活動は、先進性に関するリーダーシップ（thought leadership）を発揮し、サ

イバーセキュリティの高度な概念を開発し、会議、業界イベントへの参加を通じてその仕

事を公表していくことである。また、MITRE は、連邦政府の IT や人事に関するキーマンに

対し、最新のサイバーセキュリティに関する動向のアドバイスをすることにより、政府機

関のサイバーセキュリティ向上とともに、新興市場を活発化させるための調達実施にもつ

ながる。

3.1.4. 韓国の技術開発支援政策

韓国においては、ETRI（韓国電子通信技術研究院以下 ETRI）および KISA（韓国インタ

ーネット振興院以下 KISA）が、情報セキュリティに関する技術開発支援と技術移転に大

きな役割を果たしている。これらの二つの機関の機能と役割について概観する。

3.1.4.1. ETRI の開発支援と技術移転機能

ETRI の概要108

ETRI は 1985 年 3 月、韓国電子技術研究所と韓国電気通信研究所を統合して「韓国電子通

信研究所」として設立された政府研究機関である。1997 年に韓国電子通信研究院と名称を

変更し、現在に至っている。現在は知識経済部が管轄している。

情報、通信、電子、放送及び関連融・複合技術分野の新しい知識と技術を創造・開発し

てこれを提供・普及することと同時に情報通信分野の専門家を養成することで経済・社会

発展に寄与することを目的としている。

ETRI の持つ機能としては、次の 5 点が挙げられる。

情報、通信、電子、放送及び関連する融・複合技術分野の発展に必要な知識と

技術の創造・開発及び普及

情報、通信、電子、放送及び関連する融・複合技術の情報保護及び標準化研究

科学技術分野の専門家養成

情報、通信、電子、放送及び関連する融・複合技術分野の産業体に対する技術

指導及び技術情報の提供

情報、通信、電子、放送及び関連する融・複合技術に関する国内外の機関との

協力など

107 http://www.mitre.org/work/tech_transfer/pdf/TTO_summary_2009.pdf 108 ETRI 2010 Brochure（http://www.etri.re.kr/etri/filedown.etri?filename=ETRI BR guid 2010.pdf）

73

韓国政府が管轄する公的研究機関のうち、情報通信は予算規模、人員規模において第１

位の地位を占める。2010 年度の年間予算規模は約 6000 億ウォン（約 457 億円）109。組織構

成員約 1,900 人中、研究員は 1700 人以上が在籍している。プロジェクト件数は年間 440 件

以上で、年々増加している。2009 年度特許出願実績は、国内特許 2139 件・国際特許 1853

件であり、年々増加している。ETRI の存在意義として「事業化を目的とした技術開発」が

ある。事業化見込みが数年先であるとか、研究開発資金が多く必要であるなど、民間企業

では実施が困難な研究開発を行うための組織として位置づけられている。

ETRI の情報セキュリティ技術開発に関する役割

ETRI および知識経済部においては、情報セキュリティ技術は、情報通信技術のプラット

フォームと考えており、情報通信技術の進歩に欠かせない技術であるという位置づけで取

組んでいる。情報セキュリティの研究テーマとして主なものは、①認証技術、②暗号化技

術、③監視技術である。映像セキュリティ、融合110セキュリティに力を入れている。

ETRI の研究開発～成果移転スキーム

ETRI で行われている主な研究開発プロジェクトは 2 種類ある。政府予算による独自開発

プロジェクトと、民間企業との共同開発プロジェクトである。民間との共同開発プロジェ

クトの割合が高い。大企業との共同プロジェクトでは、企業が資金を出し ETRI に開発を委

託する。大企業が研究開発資金を分担する事例は多く、大企業は ETRI に技術開発、技術力、

ノウハウを期待している。政府予算による ETRI 独自のプロジェクトに、中小企業が共同開

発で入る場合もある。

ETRI が民間企業との共同開発を行う場合、民間資金による開発成果は全て民間に移転す

る。政府予算の場合は、製品化を希望する中小企業などに技術移転をする。移転先は製品

化が可能な民間企業とし、要望があればできるだけ移転するようにしている。

大学との共同プロジェクトはあまり行われていない。優秀な大学の研究者、教員に対し

て、開発プロジェクトへの参画要請をすることはある。

3.1.4.2. KISA（韓国インターネット振興院）の開発支援機能

KISA の概要

KISA は情報通信網利用促進及び情報保護などに関する法律第 52 条を根拠として、2009

年 7 月 23 日に、既存の韓国情報保護振興院、韓国インターネット振興院、情報通信国際協

力振興院が統合して設立された。現在、韓国放送通信委員会（Korea Communications

Commission 以下 KCC）111の下にある。組織の目的は、主に以下の３つである。

109為替レート東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 100 ウォン 7.61 円を使用。 110

韓国では映像監視等物理セキュリティに近い部分と IT セキュリティを統合的に取り扱おうとする意思

があり、「融合セキュリティ」と呼んでいる。 111 http://eng.kcc.go.kr/user/ehpMain.do

74

安全なユビキタス社会環境の造成

インターネットサービス活性化及び振興

放送通信における国際的な地位向上

また、ハッキング、ウイルス、個人情報侵害、不法スパムなどのインターネット侵害に

関係する相談を受け付ける全国共通の無料電話「118」を運営している。

KISA の開発支援・技術移転について

KISA の技術開発支援としては、事業化を目的とした技術開発を行っている。開発計画段

階でベンチャー企業の参加を募り、共同で開発する。

また、情報セキュリティ産業支援センターを持っており、産業支援策として、中小企業

では負担が大きい開発用資機材の提供を行っている。例えば、大規模テストベッドを用意

して、ベンチャーが開発品を持ち込んでテストできるテストラボなどがある。DDoS 対策製

品用には 10Gbps の負荷テストも可能なレベルである。

また、開発成果は参加したベンチャービジネスが事業化するほか、KISA において開発し

た成果を外出ししてベンチャービジネス化する事例もある。

3.1.5. 日本の情報セキュリティ関連技術開発支援政策に関する課題

各国の技術開発に関わる政策には、「開発支援」と「技術移転」の 2 つの形態がある。

さらに「開発支援」は、公的機関が行う研究開発と、民間が行う技術開発への資金等の支

援が考えられる。日本、欧州（欧州委員会・英国・ドイツ）、米国、韓国の技術開発に関

わる政策の特徴を整理すると、以下のようにまとめられる。

米国の NITRD（Networking Information Technology Research and Development）112の

ような省庁連携の国家的技術開発プログラム、大規模研究開発を民間委託し民間

の知恵と活力を生かして成果を上げつつ民間への波及をスムーズにするFFRDCの

ような仕組み、欧州の FP7113の ICT テーマに関する国際研究プロジェクト支援な

ど、米国や欧州には、情報セキュリティに関する技術を産官学連携で開発するこ

とに対する、大規模・複数年度の公的資金提供の枠組みがある。

米国、欧州委員会、英国、ドイツ、および韓国においては、公的資金による開発

成果を民間に移転することが一般的に行われている。事業化を前提とした民間へ

の成果移転の仕組みもある。米国は各省庁に技術移転部門がある。

日本では FP7 などと同様の複数年度・大規模予算・テーマの自由度が比較的高い

などの要素をもつ公的研究資金としては科研費や科振費があり、情報セキュリテ

ィをテーマとした研究へのファンディングも行われている。前者は基礎研究を中

心とした研究者へのファンディングが制度趣旨であり学術的要素が強いが、後者

1122001 年から推奨され推進されている連邦省庁横断型開発プログラム。 113 FP7 に関しては「3.1.2.1 欧州委員会における FP7 の開発支援と技術移転の制度」参照。

75

は、政府の科学技術政策における重要テーマについて 3 年または 5 年で実用的な

成果を出すことを意図する、政策誘導効果が高い資金であり、民間企業の提案も

評価されれば採択される。

日本ではその他にも省庁毎に実用化を前提とした公的資金による研究開発があり、

公募、受託、共同研究などの形で実施されている。しかしこれらの公的資金によ

る研究開発については、融通性・柔軟性のなさや契約条件の制約など民間企業に

とって使い勝手がよい制度とは言い難いとして、本調査の情報セキュリティ事業

者インタビューにおいても問題点が多く指摘されている。

日本では、公的資金による開発技術の成果の移転については、日本版バイ・ドー

ル制度に基づいて行われる研究開発を行った企業への移転と、研究開発の当事者

ではない民間企業などへの事業化を目的とした移転（ライセンス契約）がある。

しかし、これらの制度についても、権利上の制約などが強いとして問題点が事業

者から指摘されている。

これらより日本の情報セキュリティの技術開発支援政策に関する課題としては、以下の

ようにまとめられる。

開発支援の規模や自由度等に関する課題

産業における技術開発への資金提供という観点では日本では公的研究機関の公

募・委託・共同開発などがあるが、予算規模・テーマの自由度・技術革新のスピ

ード感などで、ビジネスに合わないなどの問題点が指摘されている114。一方で、

米国・欧州などでは産官学連携で、比較的自由度が高く、大規模予算の情報セキ

ュリティテーマの研究開発プロジェクトがあり、これらの制度を参考に、公的機

関の研究資金の提供のあり方を再検討する必要がある。

日本の情報セキュリティ研究開発予算が近年大きく減尐する傾向にある一方で、

米国では大きく増加しており、研究開発以外にもサイバーセキュリティ等の人材

育成に対しても予算がついている傾向にかんがみれば、大きな技術力の差となっ

て現れる恐れがある。欧州においても、FP7 では情報セキュリティテーマとする国

際研究開発プロジェクトに対する助成が１プロジェクトあたり約 2 年間で 4 億円

程度行われている状況である。日本における情報セキュリティ研究開発予算は他

国と比較した場合、貧弱であり、日本の情報セキュリティ対策の遅れが懸念され

る上に、日本の情報セキュリティ技術の务後化、日本の情報セキュリティ産業の

競争力の喪失という結果をもたらす恐れが強い。

114

日本の公的研究開発予算の使い勝手に関する指摘は、本調査日本企業インタビューや文部科学省等にお

ける議論がある。詳細は「3.1.1.2.産業における公的研究資金の活用」参照。

76

成果移転・技術移転に関する課題

米国、英国、ドイツにおいては、公的資金による開発成果を民間に移転すること

が 1970 年代後半から取り組まれており、現在では一般的に行われている115。欧州

委員会の FP7 の枠組みでは当初から開発成果の民間移転が制度に組み込まれてい

た。さらに、韓国においては法的整備こそ 2000 年代に入ってからとごく最近であ

るが、現在では活発な技術移転が試みられている116。

日本において公的機関の開発成果を民間に移転する制度は法律的に 1999 年から行

われているが、他国・地域に比して制約が強い。また、日本の公的開発成果の民

間移転については、ソフトウェアの請負が対象となるなど本格化したのが産業技

術力強化法の平成 19 年度改定（2007 年）からである117。平成 11 年（1999 年）に

旧産業活力再生特別措置法第 30 条で日本版バイ・ドール制度が導入されて以来、

まだ 10 年程度であることもあり、活発に行われているとはいえない。

これらのことから、日本においては、日本版バイ・ドール制度や、公的機関から

の技術移転の制度の活用をさらに活発化させる必要がある。そのためには、現在

それらの活用が進んでいない理由、特に、民間企業側から活用するメリットが感

じられない等の問題提起についてよく検証し、民間企業にとって使いたい、とい

う制度にしていく、制度見直しの取組みが必要であると考えられる。

3.2. 政府調達に関わる政策

政府調達については、調達そのものが情報セキュリティ産業の需要創出になると同時に、

政府機関の調達基準や情報セキュリティ対策の基準が民間等で参照されることにより、民

間の情報セキュリティ対策需要の喚起につながる。また政府調達基準に照らして合格もし

くは認証された製品は、民間等の対策実施に際して採用・製品選定の基準や指標として機

能する。

その意味で、情報セキュリティ産業の活性化を考える上で大きな意味を持つ。この視点

から、各国の政策の現状を調査し、日本との対比を試みる。

115米国でバイ・ドール法が成立したのが 1980 年であり、ドイツにおいてはフラウンホーファーが 1970 年

代から取組みをしている。独立行政法人工業所有権情報・研修館「西欧における技術移転市場の動向に関

する調査報告書」（2008 年 3 月） 129p 等参照。 116

韓国では 2000 年に技術移転促進法が制定されてから、産官学連携による技術移転の取組みが本格化し

た。JETRO「特許庁委託事業韓国知的財産政策レポート」（2011 年 3 月）28p 等参照。 117 日本版バイ・ドール制度は旧産業活力再生特別措置法第 30 条に規定された平成 11 年 10 月から施行さ

れており、産総研のホームページによれば、同機構の技術移転実績は、平成 13 年から 14 年にかけて、技

術移転収入が 1 億円から 3 倍の 3 億円となっており、平成 15 年から 19 年までは 4 億円強で推移している。

そして、平成 20 年に 6.2 億円となった。

77

3.2.1. 日本の情報セキュリティに関わる政府調達

日本政府において、情報セキュリティに関する政府機関統一の調達基準はない。その策

定については、2011 年 4 月、内閣官房情報セキュリティセンター（NISC）により「情報

システムに係る政府調達におけるセキュリティ要件策定マニュアル」が策定され公表され

た。

その狙いは、NISC の発表文によれば

「政府機関の情報システムにおいて適切に情報セキュリティ対策を講じるためには、情

報システムのライフサイクル（企画・設計・開発・運用・廃棄）において、上流の企画段

階から情報セキュリティ対策を考慮し、調達仕様にセキュリティ要件を適切に組み込むこ

とが求められます。しかしながら、セキュリティ要件は曖昧、過不足な調達となりやすく、

システムの特性に応じた調達となるよう注意が必要です。（略）

調達仕様におけるセキュリティ要件の曖昧さや過不足の発生は、特に仕様を作成する調

達側の政府職員の情報セキュリティに対する知見に依存し、「不公平な調達」、「過度な

セキュリティ対策」、運用開始後の「セキュリティ事故」を招かないようにする必要があ

ります。こうした課題を解決するために、情報システムの調達において調達側である政府

職員がシステムの調達仕様書を作成するにあたり、必要な情報セキュリティ要件を定型化

された作業によって導出できるよう支援するマニュアルを策定しました。

また、本マニュアルを供給側である民間事業者等も活用することで、システムのセキュ

リティ対策が相互により明確化されます。現状、全府省庁で約２０００存在する政府情報

システム全体の適切な情報セキュリティ対策につながっていくものと期待できます。」

となっている。

ここに示されている考え方は、政府機関は各々その必要とするところ（情報セキュリテ

ィポリシーに基づくことになる）に従って情報セキュリティ対策のための製品やサービス

を調達せよ、その際要件定義や仕様策定については、このマニュアルを参照するように、

という趣旨であり、日本政府においては、政府機関が情報セキュリティ対策をする場合に

どのような要件を満たすものを調達対象とするかは一律には規定されていない。しかし、

このマニュアルの付録となっている「対策要件集」においては、各対策項目における機能

要件が具体的に記述されており、政府機関における対策が具体的に備えるべき機能が初め

て具体的に定義されたものとして、画期的成果と捉えることができる。ただし、このよう

な記述もシステムが備えるべき要件の視点が基本になっており、セキュリティの製品やサ

ービスを提供する個別の事業者の事業機会に直接つながるものにはなっていないのではな

いかとの指摘も一部にはある。

本調査では、国内の情報セキュリティ事業者へのアンケート調査ならびにヒアリング調

査において、まだ上記策定マニュアルが策定される前の段階で政府調達およびその基準に

関する評価を聞いている。以下その結果の要点を記す。

日本においては、政府調達基準を明確に設定することによる効果として、「情報セキュ

78

リティユーザが政府調達基準を参考に調達を行うようになる」「国内の情報セキュリティ

産業の活性化に寄与する」といった理由で、政府調達基準の効果を期待する企業が４割程

度見られた。

ただし、自由記述回答からは、無条件で期待する、ということよりは、基準の内容や運

用によってはデメリットが生じる可能性があることを認識する必要があるとの意見が挙げ

られた。

図表 3-2 日本企業政府調達基準の設定で期待される効果（問 16(1)）

37.8%

8.1%

8.1%

40.5%

43.2%

37.8%

43.2%

8.1%

0% 10% 20% 30% 40% 50%

１．国内の情報セキュリティ事業者が政府調達に参加しやすくなる

２．国外の情報セキュリティ事業者が政府調達に参加しづらくなる

３．国内の情報セキュリティの技術が保護される

４．国内の情報セキュリティ産業の活性化に寄与する

5．国内で提供される情報セキュリティ製品・サービスの品質が高められる

６．日本の民間企業の情報セキュリティへの取組が促進される

７．日本の民間企業の情報セキュリティユーザが政府調達基準を参考に調

達を行う

無回答

n=37

日本産業アンケートの自由回答（政府調達基準導入の注意点）

グローバルスタンダードを越える長期な保守事項が設定されること。（外資ベンダ）

中小事業者にとっての参入障壁とならない工夫が必要。（サービスプロバイダ）

現在の政府統一基準は具体性に乏しく、基準解釈の自由度が極めて高いため、各省庁及び省庁内の部

署によってセキュリティレベルが大きく異なる可能性がある。例えば ISMS の適用宣言書の要求事項

にマッピングされた PCI DSS 遵守項目のように詳細な基準を設定すれば、基準解釈の曖昧さが排除

されセキュリティレベルの均一化すると考える。（サービスプロバイダ）

日本産業アンケートの自由回答（政府調達基準の策定のデメリット）

癒着による製品・サービス品質の低下を招き、産業の非活性化にもつながる。（外資ベンダ）

ISO15408 であれば、規模の小さなソフトハウスでは取得に関する費用負担が多く、同一製品をワ

ールドワイドで販売している外国大手企業の方が優位である。（国産ベンダ）

企画、提案内容の優位性が出しづらい。（国産ベンダ）

基準の内容によって製品・サービスが特定されてしまう可能性がある。（サービスプロバイダ）

国の戦略上どのような基準ができるのかわからない。（サービスプロバイダ）

79

このように、基準の明確化に対しては慎重な意見が聞かれた。特に、調達基準の明確化

がコスト増につながることと、そのコスト分の回収が可能かに対する懸念が見られる。ま

た、現在の政府調達が価格競争中心の評価となっていることにかんがみ、特に中小におい

ては、参入が益々厳しくなるという意見も聞かれた。

これらの懸念に関連する考察として、上記に引用した NISC の発表文にあるように、調

達仕様におけるセキュリティ要件の曖昧さや過不足の発生が「不公平な調達」、「過度な

セキュリティ対策」、運用開始後の「セキュリティ事故」と言った結果を招く可能性にも

言及しており、このような要素も意識したマニュアルとして意識されていることが分る。

機能要件が具体的に記述されたことは画期的であり、今後この策定マニュアルが政府機

関および民間のセキュリティ対策のレベルアップと調達の活発化・積極化に貢献すること

が期待される。

3.2.2. 欧州における政府調達基準と政府調達

欧州における政府調達基準については、EU 加盟国共通の基準はない。各国政府によって

定められる調達基準に従うことになる。主要国における政府調達の現況を以下に見る。

3.2.2.1. 英国

英国では、政府機関である CESG（Communications Electronics Security Group）118が中心と

なって、各種調達時の評価基準制度などを定めている。代表的なものとして以下のような

制度がある119。

SYS (System level evaluations)

英国防衛省向けの評価手法。2002年英国 ITセキュリティ評価基準制度(UK IT Security

Evaluation Criteria (ITSEC)method )として形式化された。

118

http://www.cesg.gov.uk/ 119 内閣官房情報セキュリティセンター（NISC）「各国における情報セキュリティに対する取組みに関す

る調査」（2009 年 3 月）27ｐ～29p 参照。


調達仕様の内容としてコスト負担が大きかったり、長期保守期間・損害賠償の記述が曖昧等応札し

にくい条件の場合がある。一般に合う仕様の運用の検討が必要。（外資ベンダ、国産ベンダ複数）

米国では政府調達方針と、方針を満たすツールとしての基準が結びついており、基準到達が購入に

直結する。そういう運用が、特に中小ベンダのために必要。（国産ベンダ）

調達における具体的基準の設定の実施は､マイナス効果はないと思う。中堅以下のユーザ企業もその

基準を参考にすると考える。（システムインテグレータ）

公共調達は、入札に稼動がかかりすぎることと価格破壊が起こっていることから現在積極的に応札

していない。（サービスプロバイダ・複数）

政府調達基準の明確化は、大手有利に働きベンチャーにとってマイナスになる可能性がある。（国

産ベンダ）

政府のセキュリティ予算の確保。結局、セキュリティ基準を具体的に満たすため事業者がコストだ

けはかかるが、入札は価格評価ではペイしない。（システムインテグレータ）

80

FTA (Fast-track assessments)

FTA は、小規模政府機関向けの評価手法。2001 年に CESG IA サービスとして運用

が開始された。

CHECK (IT security health checks)

ペネトレーションテストおよび脆弱性テストに関する基準。機密性が高いシステム

のインターネット接続に関わる全ての英国政府プロジェクトに対して、CHECK サー

ビスの実施が義務付けられる。1998 年に運用が開始されている。

CAPS (CESG Assisted Products Scheme)

暗号技術に関する製品の基準。ベンダは CAPS のガイドラインに従って政府調達製

品を開発し、当該製品を対象として CAPS 基準による評価・認定を受けることによ

り、政府調達品としての資格を得る。なお、CC による公式の評価に組み込み可能。

英国の調達に特徴的な仕組みとして、Framework Contract/Agreement120がある。英国政府

における調達の枠組みを管理する内閣府（Cabinet Office）傘下の調達庁（OGC：Office of

Government Commerce）が所管する。調達庁が政府調達の全分野について、契約の枠組み

「Framework Contract」を策定し、各対象製品・サービスの仕様や標準調達価格を決める。

情報セキュリティに関しても例外ではない。策定時には、関係企業からの提案の提出を求

め、仕様や価格について交渉し、政府として妥当な水準を取りまとめる。そして、各省庁

はこれを利用して調達する。認定された製品の供給業者は、Framework Supplier となり、個

別の調達ごとに入札手続きを経る必要がないので、調達プロセスが効率化するほか、あら

かじめ適合製品・サービスがリスト化されているので、低価格、低品質で落札する業者に

よる弊害も防止できる。「Framework Contract/Agreement」の利用は必須ではないが、各省

庁にとってはそれを利用することが便利であり、価格も妥当なものとなるので、使われる

確率は高い。

このように、調達プロセスを効率化するとともに透明化し、不必要な競争や異常なダン

ピングを防いで調達品の品質確保にも資する。日本でも参考にすべき仕組みだと言える。

3.2.2.2. フランス

フランスにおいては、政府機関の情報システムの安全性を所管するために、2001 年より

情報システム安全中央総局を設けていたが、2009 年 7 月に発展的に改組され、国家情報通

信システム安全庁（ANSSI:Agence Nationale de la Sécurité des Systèmes d'Information）として

再発足した。

フランスにおける情報セキュリティ製品、サービスの認証の枠組みを示したものとして、

「情報技術に関連した製品およびシステムによって提供される IT セキュリティの評価及

び認証に関する 2002 年 4 月 18 日付のデクレ第 2002-535 号（Décret n° 2002-535 du 18 avril

2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes

120 http://www.ogc.gov.uk/documents/guide_framework_agreements.pdf

81

des technologies de l'information）」がある。

認証はフランス首相の認可を受け、COFRAC によって認証された研究所（CESTI（Centres

d’Evaluation de la Sécurité des Technologies de l’Information）と呼ばれる）において、

ISO/IEC17025 の基準に従って行われる。ANSSI は認証を審査する責任を負っているが、そ

の評価は ANSSI の規格、基準に従って行われる121。

3.2.2.3. ドイツ

ドイツの行政は三つのレベルがある。連邦政府、州政府、地方自治体。政策レベルでは、

州の権限が強い。

連邦政府レベルでは、政府機関であるドイツ連邦情報セキュリティ庁（BSI：Bundesamtes

für Sicherheit in der Informationstechnik）が、製品・システムの評価・認証を行う際に用いる

基準を定め、また、それら認証の維持管理・周知・啓発も行っている。認証検査組織も有

している。

州政府の調達手続きは、まず金額区分で定められている。

・8000 ユーロ122以上（約 931 千円）：州レベルでの募集

・10000 ユーロ以上（約 116 万円）：国レベルでの募集

・20 万ユーロ以上（約 2330 万円）：EU 全域にアナウンス

供給元が 1 社に限られる場合は直接契約ができる。技術に関しては、技術基準やガイド

ラインが制定されている。例えば電子署名。CC 認証を採用基準にする場合もある。

IT セキュリティについては、技術基準がある。所管は内務省。BSI が基準を定める。例

えば ID カード、デジタルアーカイブなど。政府仕様を定めることも、民間標準を利用す

ることもある。証明の手続きについても規定がある。

国産ベンダと外資ベンダの間で、原則として差別はない。しかし、然るべき理由がある

場合は優遇措置が許される。また、基準には若干ゆとりがある。このような基準の運用面

では、フランスは保護主義的だが、ドイツはオープン。実質的に国産が有利になる面はあ

る場合がある。例えば言語の違いなど。

3.2.3. 米国における政府調達基準と政府調達

米国における情報セキュリティ関係の政府調達は、 GSA (US General Services

Administration) が所管している。連邦政府各省庁の共通調達窓口としての機能や、供給事業

者と包括契約を結ぶことで個別契約によるリスクや手間を回避すると言ったサービスも提

供している。

情報セキュリティ製品の政府調達については、政府認定製品を調達対象とするという原

則がある。政府による認定には、NIST (National Institute of Standards and Technology)の運用

121 ANSSI ホームページ（http://www.ssi.gouv.fr/fr/certification-qualification/cc/presentation-79.html） 122為替レート東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 1 ユーロ 116.39 円を使用。

82

するプログラムが行われている。

FIPS および SP-800 シリーズ123等に基づき、情報セキュリティに関わる製品の認定リスト

を作成する制度として以下のものがある。

・CMVP（暗号モジュール認定プログラム：Cryptographic Module Validation Program）

・NPIVP（NIST 個人認証検査プログラム：NIST Personal Identity Verification Program）

・CCEVS（コモンクライテリア評価認定スキーム：Common Criteria Evaluation and Validation

Scheme）

これらの制度では、NIST の製品検査機関を認定するプログラム NVLAP（National

Voluntary Laboratory Accreditation Program124）をベースとして、民間の第三者機関として検

査実施機関を選び、実際の製品の検査はこれら民間機関に委託している。その検査実施機

関が発行する検査報告書に基づき、NIST が製品認定書を発行し、同時に製品分野ごとに認

定製品リストを策定している。連邦政府機関はこれらの認定製品リストから製品調達を行

うことを義務付けられている。

情報セキュリティ分野における製品検査機関の認定は、NVLAP の下位プログラムである

CSTLAP(暗号セキュリティテスト機関認定プログラム：Cryptographic and Security Testing

Laboratory Accreditation Program)および CCTLAP(コモンクライテリア・テスト機関認定プロ

グラム：Common Criteria Testing Laboratory Accreditation Program)により行われている。認定

は、申請書類の提出、証拠書類に基づく評価、訪問調査等により審査が行われる。

NVLAP 関係者へのインタビューによれば、認定を受けることにより政府において選定さ

れやすくなるという効果もあるが、NVLAP の活動の主な目的はソフトウェアの品質を高め

ることであり、市場になんらかの影響を与えるという目的は重きを置いていない。セキュ

リティ製品のコストも下がっているため、認定制度が市場に大きな影響を与えることは尐

ないのではないか、という見方もある。米国では、民間は政府に対して独立の意識が強い

ので、政府調達基準が民間に直接影響を与える要素は限定的と考えられる。しかし、情報

セキュリティ技術においては民間の NIST に対する技術的求心力は強く、政府技術標準を通

じての間接的影響力は大きいと考えられる。

本調査における米国情報セキュリティ事業者に対するアンケート調査では、米国におい

ては、政府調達基準が需要喚起につながるとの意見が半数あった。しかし、需要喚起の要

因としての期待値は民間企業の積極的な投資に対するほうが強く、米国経済主体の民需重

視の風土がここでも確認された。

123

FIPS: Federal Information Processing Standard 連邦政府の情報セキュリティ標準。 SP: Special Publications

FIPS に基づき、情報セキュリティの管理や各技術要素に関するガイドライン、標準、ベストプラクティス

等を定めた文書体系。実質の連邦政府統一基準。800 シリーズが情報セキュリティ。 124 http://ts.nist.gov/standards/accreditation/index.cfm

83

図表 3-3 米国企業情報セキュリティを取り巻く環境（問 16(1)）

10.0%

5.0%

15.0%

0.0%

25.0%

15.0%

0.0%

20.0%

25.0%

45.0%

90.0%

20.0%

70.0%

100.0%

15.0%

35.0%

20.0%

45.0%

50.0%

55.0%

0.0%

75.0%

15.0%

0.0%

60.0%

50.0%

80.0%

35.0%

25.0%

0.0%

0% 20% 40% 60% 80% 100%

１．アイディアから起業、製品化・事業化まで、企業の成長を支える資金供給の仕組みが整っている

２．ベンチャーキャピタルによる企業育成資金の供給や経営指導が充実している

３．情報セキュリティに関する公的な研究開発成果の提供と開放が充実している

４．技術開発支援制度が整っている

　　　　　　　　　　　　５．情報セキュリティビジネスに関する情報交換の場や仕組みの提供が充実している

６．情報セキュリティに関する政府の調達基準が、需要喚起につながっている

７．企業の活発な情報セキュリティ投資が、需要拡大を支えている

８．政府の情報セキュリティ対策の充実が、大きな需要を形成している

９．政府の積極的な情報セキュリティ対策が、民間の対策を促進している

１０．情報セキュリティ人材の供給が豊かで、事業拡大が容易である

そう感じないどちらでもないそう感じるn=20

3.2.4. 韓国における政府調達基準と政府調達

韓国政府の調達基準

韓国政府の情報セキュリティ製品の調達に関しては、政府の行政機関用セキュリティ製

品評価・認証制度により認証を受ける必要があるが、2004 年以前は、韓国独自の基準と指

針に基づいて、KISA が評価を実施し、国家情報院（NIS）が認証を行う、いわゆる「K-シ

リーズ」の認証である必要があった。これは近年コモン・クライテリア(CC)に移行してい

る。「K-シリーズ」の認証は外国製品に門戸を閉ざすものではないが、申請手続きや必要

書類等で海外メーカは手間とコストがかかることになり、おのずから不利な立場になるも

のである、あるいは基準が不透明であるとして、批判もあった125。一方で CC は事業者にと

っては取得に高いコストや時間がかかるとして消極的であり、一部の輸出企業が輸出先の

要求に対応するために取得する程度であった。それが、2004 年以降、CC に順次移行するこ

ととなり、韓国企業においても CC の取得が広まってきている。

情報セキュリティに関わる調達

韓国政府の調達に大きな役割を果たしているのが、調達庁である。「組織ミッション」

として以下の３つを挙げている。中小企業産業育成と保護が政府調達のミッションとなっ

ている点が特徴的である。

①電子調達システムを通じて公正な調達を実現すること

②政府調達を通じて、中小企業産業育成と保護を実現すること

③技術を適正に評価した上での調達を実現すること

125

IPA「韓国における情報セキュリティ政策に関する調査」（2004 年 9 月）138～145p、224p 参照

84

情報通信・情報セキュリティの調達においては、技術の適正評価が重要視されている。IT

調達においては、原則、技術点・価格点評価を 80:20 としている126。技術点を評価する技術

審査委員会は、主要公共機関が IT 専門家として推薦する人物や、情報セキュリティに関す

る大学等研究者などで構成する。調達時の技術審査において適切な評価が行われるように

制度を整備している。

中小企業産業育成と保護については、一定の金額以下の入札は中小企業しか参加でき

ない措置をとる案件が多い。また、一定の金額以上であれば大企業と中小企業のコンソー

シアムでの提案に加点するなどで奨励策を取っている。1990 年代の国産化奨励政策で誕生

した中小企業が多数を占める韓国の情報セキュリティ産業では、この施策も産業活性化と

育成に貢献しているものと推測される。

3.2.5. 日本の政府調達基準・政府調達制度に関する課題

各国別の政策比較

日本、米国、欧州、韓国における政府調達基準と政府調達制度に関する状況を比較する

と以下のとおりである。

日米欧韓の情報セキュリティに関する政府調達基準においては、政府の情報セキ

ュリティ強化の観点から様々な基準が設定されており、詳細を定めている国・地

域もある一方で、コモンクライテリアに移行しつつある状況である。

欧州については、EU としての調達基準はないものの、各国が独自に情報セキュリ

ティに関わる調達基準を設定している。英国における Framework Contract /

Agreement127 の導入は、調達の透明性を高める一方で、参加しやすい仕組みづく

りが見受けられる。

韓国では、独自の認証基準によって政府調達を行っているが、コモンクライテリ

アへの移行が行われている。さらには、情報セキュリティ入札に関しては技術点

を重視するなど、技術力のある企業が評価される仕組みづくりがなされている。

情報セキュリティに限らず、中小企業の入札を促すこととしており政府調達の目

的の１つに中小企業支援を明確に掲げている。

126 一部日本国内報道では、技術点：価格点を「一部の情報セキュリティに関する調達は 90:10 で評価する

場合がある」としている。http://itpro.nikkeibp.co.jp/article/COLUMN/20081126/319871/ 127調達可能な製品を予め認証しておき、カタログ化する。カタログ掲載企業として登録されれば製品が発

注される等を指す。


技術を適正に評価することは情報通信・情報セキュリティにおいては非常に重要である。IT 調達に

おいては、原則、技術点・価格点評価を 80:20 としている。これは数年前に開始した。（調達庁）

情報セキュリティの技術審査委員会は、主要公共機関の IT 専門家として推薦する人物・情報セキ

ュリティに関する大学等研究者などが行う。（調達庁）

85

政府調達と産業活性化の関係

政府調達がイノベーションを促進するという考え方は存在する。第 3 期科学技術基本計

画128において「公的調達を通じた新技術の活用促進は、公的部門の活動の機能の充実や効

率性向上等のみならず、研究成果の社会還元の促進の観点からも重要である」として、以

下の内容が定められている。

イノベーションを生み出すシステムの強化③公的部門における新技術の活用促進。具

体的な内容については、以下の通り。

１）技術的要求度の高い新技術や市場規模が小さい段階にとどまっている新技術につ

いて新市場を形成し民間のイノベーションを刺激する。

２）総合評価落札方式等の技術力を重視する入札制度を活用すること等により、新技

術の現場への導入が拡大される。

３）研究開発型ベンチャーにとって、公的部門への調達は企業の信用力を高め、創業

時の収入確保になる。

４）安全に資する科学技術分野や先端的機器開発等の研究開発において、公的部門側

のニーズと開発側のシーズのマッチングや連携を促進する。

また、JST が 2007 年 8 月に発表した報告書「イノベーション指向型の公共調達にむけた

政策課題の検討：欧米との比較調査を踏まえて」129においては、現行の公共調達制度・慣

行のなかで特にイノベーションの促進を阻害している要素として「競争入札資格が、研究

開発型ベンチャー企業にとって非常に不利な仕組みであり、入札機会が著しく限定されて

いる。」と言及している。経済産業省経済産業政策局が 2007 年 3 月に公表した「ベンチャ

ー企業からの公的調達の促進に向けた研究会」報告書では「どのような商品、サービスを

提供するベンチャー企業がどこに所在しているか、調達機関の側で十分に把握できていな

いこと、性能や安全性など、ベンチャー企業が提供する商品等の信頼性が十分把握できな

いことが最大のネックである」との議論がなされたとしている。

このように、政府調達によってイノベーションが促進される、ベンチャー等への発注が

なされることで、ベンチャーによる産業活性化がなされる、という点について、様々な検

討が既になされている。政府調達の役割を、より積極的な見地から評価する必要があると

感じられる。

128 http://www8.cao.go.jp/cstp/kihonkeikaku/kihon3.html 129 同報告書 1p 参照。

86

3.3. 人材育成に関わる政策

情報セキュリティ対策の実施・充実の面でも、情報セキュリティ産業の育成・活性化の

面でも、高度教育を受けた人材の育成と確保は欠かせない。日本および各国の状況を、本

調査の範囲（一部第一次産業構造調査も参照）で確認した。

3.3.1. 日本における人材育成施策

日本における高度 IT および情報セキュリティ人材に関する施策としては、以下のような

ものがあげられる。

① 先導的ＩＴスペシャリスト育成推進プログラム（文部科学省）130

② 情報通信人材研修事業支援制度（総務省）131

③ 公認情報セキュリティ監査人資格制度（経済産業省）132

④ 情報処理技術者試験（経済産業省）133

⑤ IT スキル標準（経済産業省）134

⑥ セキュリティ＆プログラミングキャンプ（経済産業省）135

近年、大学・大学院等の高等教育において、情報セキュリティ関連学部・学科・専攻が

整備されてきた。主なものとしては以下のものがあげられる。

① 情報セキュリティ大学院大学136（2004 年開学）

② 中央大学博士課程情報セキュリティ科学専攻の設置（2007 年）、21 世紀 COE

プログラム「電子社会の信頼性向上と情報セキュリティ」申請拠点。

③ 奈良先端科学技術大学院大学、大阪大学、京都大学、北陸先端科学技術大学

院大学の 4 校による IT-Keys プロジェクト137

④ 産業技術大学院大学138（東京都公立大学法人・2006 年開学）に「情報アーキ

テクチャ専攻」情報セキュリティ専攻。

しかし、いまだ情報セキュリティ人材の供給量の充足感には程遠いことは「2.2.3 人材の

確保と育成」で見たとおりである。

130 http://www.mext.go.jp/a_menu/koutou/it/index.htm 131 http://www.soumu.go.jp/menu_news/s-news/090306_3.html

132 http://www.jasa.jp/qualification/about.html 133 http://www.jitec.jp/1_08gaiyou/_index_gaiyou.html

134 http://www.ipa.go.jp/jinzai/itss/index.html

135 2011 年度オフィシャルホームページ：http://www.ipa.go.jp/jinzai/renkei/spcamp2011/outline/index.html 136 http://www.iisec.ac.jp/index.html 137 http://it-keys.naist.jp/ 138 http://aiit.ac.jp/index.rbz

87

3.3.2. 欧州における人材育成施策

3.3.2.1. 英国における人材育成施策

英国においては、大学・大学院において、学位ではない情報セキュリティ教育カリキュ

ラムがあったり、一部には修士課程を設置するなどの高等教育におけるコース等が設置さ

れていたりするなどという状況である。

例えば、University of London139では、通信教育の情報セキュリティコースを設けており、

University of London International Programmes.を通じて受講し、修士学位を得ることができる

としている。その他にも、いくつかの大学で情報セキュリティコースを提供している。

CESG は、情報セキュリティのトレーニングについても提供している。以下にスキル表イ

メージを示す。このコースは、公共機関の職員向けに提供しているものである。また、民

間非営利の CREST では、企業パートナー等により、様々なトレーニングコースを提供して

いる。CESG、CREST 等が公的機関と連携して一定の情報セキュリティに関する専門的な知

識を提供し、なんらかの資格や証明として機能していることが特徴である。

図表 3-4 CESG が示す、Information Assurance スキル表

（出所：CESG http://www.cesg.gov.uk/products_services/training/index.shtml）

3.3.2.2. ドイツにおける人材育成施策

ドイツは連邦制国家であり、全ての大学を管轄する連邦政府の担当省はない。また、教

育や産業育成についても、連邦の施策だけではなく、各州や市の施策が独立して行われる

要素が強い。そのような中で、ヘッセン州（ダルムシュタット市が所在する州）は IT 産業

および情報セキュリティに注力した施策を持っている。ダルムシュタット工科大学

（University of Darmstadt of Technology）には情報セキュリティ学部があり、州政府が大学に

139 http://www.londoninternational.ac.uk/infosec/

88

対して公的資金を出している。

社会経験を経たものに対する情報セキュリティ教育の機会も提供されている。これは大

学卒業レベルプラス産業界または研究組織からの証明の組み合わせによる、単に座学だけ

でなく経験も加味した学位となる。現状、ドイツでは情報セキュリティの高等教育修了者

の供給量は足りている。しかし、スキルに見合う労働市場での評価という面ではまだ問題

はある。

3.3.3. 米国における人材育成施策

米国においては、名門大学・著名大学をはじめとして、情報セキュリティ専攻大学・大

学院が数多くカリキュラムを提供している状況である。中でも、カーネギーメロン大学や

MIT などが情報セキュリティに関する研究機関を有している。米国においては、常に IT 技

術者は専門性も高く年収も高い、学生の就職の人気が高い職種である。

オバマ政権は連邦政府のサイバーセキュリティ強化にも積極的な取組みを見せている。

ブッシュ政権下で策定された CNCI (Comprehensive National Cybersecurity Initiative) に対す

る 2009 年 5 月（オバマ政権下）の見直し（Cyberspace Policy Review）を経て、情報セキュ

リティ教育および人材育成の政策も具体化している。2010 年 5 月には、連邦政府のサイバ

ーセキュリティ人材の育成を目指す NICE（国家イニシアティブ：National Initiative for

Cybersecurity Education 以下 NICE）を発表した140。この取組みは、DHS（国土安全保障省：

Department of Homeland Security 以下 DOH）、DOE（教育省：Department of Education 以下

DOE）、OSTP（科学技術政策局：Office of Science and Technology Policy 以下 OSTP）、OPM

（人事局：Office of Personnel Management 以下 OPM）、DOD（国防省：Department of Defense

以下 DOD）、ODNI（国家情報長官室：Office of the Director of National Intelligence 以下 ODNI）

と NIST の連携によるプロジェクトで、幼年から大学院レベルのサイバーセキュリティ教育

のカリキュラム作成や、連邦政府機関のサイバーセキュリティ人材の資質・資格明確化、

US Cyber Challenge による人材育成および採用機会の拡大、指定大学・大学院に所属する一

部の学生を対象に、奨学金を提供するなどの計画を盛り込んでいる。これらは継続的に改

善され発展していく取組みとされ、2011 年 6 月現在、専用ホームページが開設141されてお

り、イニシアティブの内容に関する情報発信が行われている。

3.3.4. 韓国における人材育成施策

KISA と KISIA による資格制度の運用

韓国の情報セキュリティ人材育成政策は、知識経済部が所管している。知識経済部

（Ministry of Knowledge and Economy 以下 MKE）142は、産業・技術、貿易・投資、資源・エ

140 http://www.nist.gov/itl/csd/nice.cfm 141 http://csrc.nist.gov/nice/、国家レベルの人材育成については http://csrc.nist.gov/nice/training.htm 参照。 142 http://www.mke.go.kr/language/eng/index.jsp（英語）http://www.mke.go.kr/language/jap/index.jsp（日本語）、

他中国語もある。

89

ネルギー政策を所管している。MKE では「韓国経済を牽引する新成長エンジン」の政策テ

ーマの１つが「ソフトウェア」であり、その中にセキュリティがある。そして、デジタル

機器とソリューションの融合をキーワードとして、その分野の専門家を育成し、海外進出

を活性化することを政策目標においている。このように、人材育成を産業振興の一環とし

て明確に位置づけ、MKE が行うという枠組みは、産業振興と人材育成を一貫させた効果的

な取組みがしやすいと想像される。

また、KCC 所管下にある KISA と MKE 所管下にある韓国の情報セキュリティ業界団体で

ある KISIA（Knowledge Information Security Industry Association 韓国知識情報セキュリティ

産業協会、以下 KISIA）143は協力関係にある。KISA と KISIA が共同して資格制度を運営し

ており、その資格は以下のとおりである。

情報セキュリティ資格 SIS（Specialist for Information Security）

講習と試験がセットになった制度で受講は必須。期間は 2 週間。

2010 年は 2 回実施。1 回当り合格者数 30 名。合格率は約 10%。

一人当たりコスト米ドル換算で 800 ドル（約 7 万 1 千円）144程度。

2010 年は 5 つの地域（ソウル、釜山、大田、大邱、光州）で試験が実施

された。

資格取得の試験対策コースは KISIA が運営受託している。

なお、SIS 資格は認定国家資格であるが、エントリークラス向けの試験も開始したところ

である。これは 1 回当たり 700-800 名が受験し、合格率は 30-40%程度である。

3.3.5. 他国との比較における日本の人材育成施策上の課題

米国では、大学でのセキュリティコース、セキュリティ修士などの学位が充実し、

情報セキュリティ専攻が大学のアピールになっている。また、ステータスが高い

職業としての認知があり、給与も高い。

英国、ドイツ双方において、大学や専門学校等によるスキル教育に加え、大学院

等での学位教育も、古くから行われている。

143 韓国情報セキュリティの産業団体（特殊法人）。会員企業数：約 150 社。省庁再編に伴い、情報セキュ

リティ事業者だけではなくコンテンツ系事業者（物理・画像セキュリティ産業）も対象になった。 144為替レート東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 1 ドル 88.71 円を使用。


技術者に対する資格認定制度（SIS）を KISA で運用している。資格は国家資格として与えられ、KISA

が認定機関、KISIA が運用・実施機関となっている。（KISA）

合格率 10%、CISSP（セキュリティプロフェッショナル認定資格制度）の 5 倍の勉強量が必要な高

度な資格である。（KISA）

資格保有者は就職について優遇される。情報セキュリティ監査企業認定制度では SIS 資格者を抱え

る企業には条件面でメリットがある。従って、有資格者は優遇される。ただし、処遇に直接反映さ

れる程度はそれほど大きくない。（KISA）

エントリーレベルの試験もあり、1 回当たり 700-800 名が受験。合格率は 30-40%である。（KISIA）

90

日本においては、各種教育施策は、経済産業省、文部科学省等により充実してお

り、資格制度についても活用が進んでいる。

一方で、情報セキュリティを専門とするキャリアパスが分かりにくい、スキル標

準の活用が尐ない、といった状況を打開する施策が尐ない。そのような類の施策

についてもより広く検討されるべきである。

他国に比して、大学教育・大学院教育のカリキュラムが不足している。より多く

の大学・大学院において情報セキュリティ関連カリキュラムを提供することが可

能な体制を目指すべきである。

そのような大学教育・大学院教育のカリキュラム策定においては、産学連携を深

め、実践的なカリキュラム作りを行っていくべきである。

3.4. 海外進出・輸出振興に関わる政策

ここでは、積極的に輸出振興策に取組んでいる、欧州、韓国と日本の政策比較を行った。

なお、米国においては、特に情報セキュリティや IT 産業についての海外進出・輸出振興に

関わる施策はなく、オバマ政権による雇用を支えるための経済活性化輸出支援策および中

小企業の輸出支援策として行われている。

3.4.1. 日本における海外進出・輸出振興に関する支援施策

JETRO の役割

日本においては、JETRO が海外進出を支援する主な公的機関である。海外 55 カ国に 73

事務所を有し（2011 年 5 月 16 日現在）ており、様々な国での展示会開催、進出支援、情

報提供を行っている。また、マッチングなどの交流の場も提供している。

マーケティングや法制度などの情報提供については、無料での成果物提供だけではなく、

コンサルティングを受託する形で有料サービスを提供している145。JETRO が行う主な支援

は以下のとおり。

アジア（タイ）での進出ビジネス検討時のオフィス無償提供

有償での海外進出コンサルティング

進出・法制度・知的財産・市場に関する情報提供

また、2010 年 12 月現在、先端技術分野を対象とした「ベンチャーインキュベーション

inＵＳＡ」というインキュベーションプログラムが、先端技術を対象とした海外展開支援事

業として展開されていた（図表 3-5 参照）。2011 年 4 月からは「ビジネスサポート in シリ

コンバレー」事業に引き継がれて、実施されている（図表 3-6 参照）146。

145 JETRO 海外サポート＆サービス：http://www.jetro.go.jp/support_services/ 146

http://www.jetro.go.jp/services/bic/

91

図表 3-5 JETRO ベンチャーインキュベーション inUSA（オリジナルプログラム）の概要

期間 1 年間

支援内容

西海岸（シリコンバレーおよびロサンゼルス）の有力インキュベ

ータと提携し、マッチング、オフィス貸与、ビジネス立ち上げ支

援、ネットワーク紹介を行う。

入居支援、コンサルティングサービスの提供から会社設立、ビザ

申請を始めとする全てのビジネス活動が対象。

選考過程 JETRO とインキュベータによる書類審査を行う。

費用 157,500 円（入居等企業が負担する実費を除く）

現在の支援状況 5 社（2010 年 12 月 1 日現在・公表ベース）

プログラム卒業生 36 社（2010 年 12 月 1 日現在・公表ベース）

図表 3-6 JETRO ビジネスサポート in シリコンバレーの概要

期間 3 ヵ月（最大 9 ヵ月まで延長可）

支援内容

JETRO がシリコンバレーに設置した BIC（US-Japan Business

Innovation Center）のオフィススペースとソフトサービスの活

用。渡航後の生活立上げ支援（車、住居等）、一般的な現地ビ

ジネス関連情報の提供、ネットワーク構築支援、専門家の紹

介、無償コンサルティングサービス

選考過程 JETRO とインキュベータによる書類審査

手続費用 131,500 円（企業負担実費を除く）

その他の海外進出・輸出振興等支援機関

海外とビジネスを行うことを想定し、海外と取引を行う人材の教育機関として、財団法

人海外職業訓練協会（以下 OVTA）147がある。OVTA では以下の支援を行っている。

海外進出企業支援セミナー

スキルアップセミナー、個別相談、オーダーメード研修

外国人研修生の受入支援

研修生の導入カリキュラム支援

日本人社員の受入側の研修支援

海外赴任者の語学研修や赴任前研修

海外情報の提供

さらに、各自治体、各地方経済産業局が海外進出の支援窓口を持っているほか、中小企

業庁においても、中小企業の海外進出サポート148などを行っている。

情報セキュリティの海外展開に関する政府の動き

政府は、アジア・ASEAN 地域を中心に情報セキュリティ面における国際協力体制の強化

に乗り出している。2011 年 3 月 7 日から 8 日まで、東京において第 3 回日・ASEAN 情報

147 http://www.ovta.or.jp/index.html 148 http://www.chusho.meti.go.jp/keiei/kokusai/index.html

92

セキュリティ政策会議が開催された。会議では、各国の情報セキュリティ戦略の確認や共

有、官民連携の推進、意識啓発等について議論が行われた。また 2011 年 1 月には ASEAN

のうち 3 国を巡回するセキュリティセミナーを経済産業省主催で行っている。ここには日

本の情報セキュリティ事業者も同行し、セミナーの中で自社の製品・サービスをアピール

する場も提供された。

背景には、アジア各国との経済的結びつきが飛躍的に高まる中、これら諸国における情

報セキュリティレベルの確保は日本の国益に直結する問題となってきていることがある。

一方、各国の対策レベルは低く、情報セキュリティ事業者も十分育っていない実情がある。

この面で日本の情報セキュリティ産業の役割、現地での事業展開は、日本の国際経済戦略

の面でも必要とされるに至っているのである。

3.4.2. 欧州の海外進出・輸出振興策

欧州においては、原則欧州加盟国域内は自由貿易が徹底されており、域内での「輸出振

興」に関する政策を特にとっているという面は特にない。一方、域外への輸出に関しては

いくつかの国で輸出促進策をとっている。特に英国においては、UK-TI（UK Trade &

Investment：英国貿易投資機構・英国版 JETRO）が国内への産業誘致を行うと共に輸出振

興の役割も担っており、セキュリティ製品に関する国外へのプロモーションに力を入れて

いる149。中小企業のサポートも行う。

現に日本においても、英国大使館商務部が定期的にセミナーを開催し、英国から担当官

や有識者を招聘し、英国の情報セキュリティベンダやその日本代理店にも発表・アピール

の機会を与える150など、官民一体の輸出振興努力が見られる。

またドイツでは、連邦政府および各州政府が輸出振興政策を担っている。ドイツ連邦経

済技術省では、IT 産業の大規模システムの輸出のために、プラットフォームを形成し、中

小ベンダ等であっても一定の基盤を利用してシステム構築できるように計らっている。ド

イツの情報セキュリティベンダはこの仕組みを利用して小規模でも輸出に積極的に取り組

んでいる。

3.4.3. 韓国の海外進出・輸出振興策

韓国においては国を挙げて国外の市場を獲得するための施策を多く行っている。

そのなかでも、KOTRA（Korean Trade-Investment Promotion Agency 大韓貿易投資振興公社以下

KOTRA）が韓国企業の輸出拡大と海外進出に大きな役割を担っている。国外 72 カ国・99

カ所にコリアビジネスセンターを持ち、日本では東京・大阪・名古屋・福岡のビジネスセ

ンターおよび東京 IT 支援センター151・東京輸出インキュベーターセンターを持つ。情報セ

149 http://www.ukti.gov.uk/ja_jp/export.html、http://www.ukti.gov.uk/ja_jp/defencesecurity.html 150 IPA でも英国大使館からセミナーの案内を受け、適宜受講して情報収集と交流に当っている。 151 http://www.kotrait.or.jp/

93

キュリティに関しては、東京 IT 支援センターが「日韓 IT 協力支援専門組織」と自らを位

置づけ、事務所の提供、月次のマッチングセミナー、企業紹介セミナーや展示会の斡旋な

ど、積極的な活動を行っている。その他にも、輸出促進のために以下のような施策を実施

している。（2011 年 6 月現在）

中小企業の輸出を支援するために、品質や実績に公的な「お墨付き」をあたえると

の観点から、KOTRA が「認定」を行い品質や会社の保証等をし、輸出促進している。

東京 IT 投資促進センターでは「日韓 IT 産業の架け橋」をキャッチフレーズに月に 1

回ペースでのイベントやマッチング等の企画を実施している。

東京 IT 投資センターに 16 社が入居し活動している。

情報セキュリティに関しては、KISIA が KOTRA と連携して企業の海外出展等を支援し

ている。具体的には、輸出向けの翻訳・ローカライズ費用の 50%を公的資金が負担する支

援を行っている。また、KISIA 参画企業に対し海外展示会等への共同出展ブースの提供を

行っており、2010 年は、日本開催の Security Solution（3 月）、Security Expo（5 月）に出展

実績がある。

3.4.4. 日本の海外進出・輸出振興に関する支援施策に関する課題

日本においては、貿易保険や輸出金融など、制度としての海外進出・輸出振興に関する

施策は充実している。一方で、情報セキュリティ分野を対象とした施策については、韓国

が積極的な輸出振興策のなかで、KISIA と KOTRA が連携して、市場開拓に乗り出すなど、

具体的に取組んでいる姿に比較すると、直接的な輸出支援や海外進出支援までは、踏み込

んでいないと言える。

「2.2.5.1. 日本の情報セキュリティ事業者における海外展開の意向」で見たように、日本

の情報セキュリティ事業者にとって、海外展開（海外進出や輸出、オフショア開発等）は

大勢としては身近とは言えない状況である。一方で、海外進出を希望又は検討する企業に

とっては、現地に関する情報が得られない、進出準備のための支援が得られないという状

況は改善されることが望まれる。

今後、日本からは工場進出、外注先開拓、オフショアリング等で ASEAN、インド、中国

をはじめとするアジア各国との経済的結びつきはますます大きくなる。その中で、情報セ

キュリティ対策とその実効ある運用を支える情報セキュリティや IT 産業の現地進出も必須

の条件となってくる。日本の情報セキュリティ産業の海外進出・輸出振興に関わる施策の

具体化を検討することが課題である。

3.5. その他の産業活性化政策

上記の他、情報セキュリティ産業の活性化に有効と考えられる政策について概観する。

94

3.5.1. 企業・組織における情報セキュリティに対する需要喚起策

中小企業の IT 化および情報セキュリティ対策の推進

現在、日本においては、中小企業を主たる対象に、情報セキュリティも含めた IT 投資を

促進する様々な施策が行われており、2011 年度現在実施されている代表的な施策としては、

以下のようなものがある。

経済産業省ＩＴ経営ポータルサイトの運営

http://www.meti.go.jp/policy/it_policy/it_keiei/index.html

情報セキュリティに特化はしていないが、IT 経営導入の一環として情報セキュリ

ティの導入・実装支援についてもアドバイスを行っている。

経済産業省情報セキュリティガバナンス導入ガイダンスの公表（2009 年 6 月）

http://www.meti.go.jp/press/20090630007/20090630007-2.pdf

経済産業省情報セキュリティ対策ベンチマークの提供（提供・IPA）

http://www.ipa.go.jp/security/benchmark/index.html

IPA における中小企業の情報セキュリティ対策促進事業

http://www.ipa.go.jp/security/manager/know/tool/index.html

さらに、日本において、情報セキュリティの啓発・中小企業への投資支援や導入アドバ

イス事業も、地方の経済産業局や地方自治体、また、それらの声掛けにより設立された第

三セクターや中小企業支援の財団法人など様々な主体により行われている。例えば、以下

のような支援を行う主体がある。

各地方経済産業局「IT 経営応援隊」

http://www.c-ouentai.com/（中部経済産業局の例）

中小企業における IT の利活用による経営改革事例の発掘・輩出や、経営改革に向

けた IT 利活用についての普及啓発を行っている。

第三セクター株式会社名古屋ソフトウェアセンター（愛知県、名古屋市、名古

屋商工会議所、東海圏を中心とした民間企業約 70 社、IPA）

http://www.nagoya-sc.co.jp/contents/profile/stockholder.htm

IT 技術者育成、IT 経営の導入コンサルティング。

財団法人茨城県中小企業振興公社

http://www.iis-net.or.jp/service/service08.php

支援項目に「IT 化」を掲げ、情報誌で導入成功事例を紹介。情報セキュリティに

ついても紹介している。

中小企業情報基盤強化税制

平成 22 年度税制改正において、中小企業等基盤強化税制を拡充し、中小企業による情報

基盤強化設備等の取得に係る措置（中小企業情報基盤強化税制）が追加された。（従来の

情報基盤強化税制は廃止）また、従来の情報基盤強化税制の支援対象に加えて、仮想化ソ

95

フトウェア等も追加されている152。

対象期間は平成 22,23 年度で、サーバ、データベース、連携ソフト等が対象になっている。

これらと同時に設置されるファイアウォール、IDS/IPS153、WAF

154も減税対象となる。ただ

し、いずれもコモンクライテリア（ISO15408）認証を取得している製品であることが条件

となっている。

3.5.2. 情報セキュリティ関連産業の活性化に資する施策

研究開発促進税制

研究開発促進税制については、2011 年 6 月現在、①試験研究費の総額に係る税額控除制

度、②特別試験研究に係る税額控除制度、③中小企業技術基盤強化税制、④試験研究費の

額が増加した場合等の税額控除制度」（平成 20 年 4 月 1 日から平成 24 年 3 月 31 日までに

開始する各事業年度で、損金算入される試験研究費の一定割合について法人税額から控除

する。①～③とは別枠。）が適用されている155。

研究開発費の補助金についても、多くの制度があり、これらの情報は、特に中小企業に

向けて、経済産業省、各地方経済産業局、中小企業庁等から発信されている156。

これらは、情報セキュリティの分野のみを対象とする制度ではないが、条件が合致すれ

ば情報セキュリティ産業においても活用可能な税制であると言える。

ファイアウォール減税

かつて、2000 年ごろには、ファイアウォールの新規設置に際して減税が受けられるとい

う制度が実施されたことがあった。ウイルス感染や主要組織の Web サイト改ざん等が頻発

した時期であり、セキュリティ対策の浸透がはじまる時期に合わせて実施された。上記の

中小企業等基盤強化税制は、これとは趣旨も目的も異なるものではあるが、今回改めて、

ファイアウォール、IDS/IPS、WAF が減税の対象となっている。

また、この措置は情報セキュリティ対策機器における品質保証の制度とも言えるコモン

クライテリア認証を条件としている。これは情報セキュリティ事業者のコモンクライテリ

ア取得を後押しする意味で、間接的に情報セキュリティ産業の活性化に資する施策と言え

る。

152

http://www.ipa.go.jp/security/tax/index.html 153

侵入検知システム（IDS）／侵入防止システム（IPS） 154

ウェブアプリケーションファイアウォール 155 国税庁「研究開発税制について」http://www.nta.go.jp/taxanswer/hojin/5441.htm 156 中小企業庁「平成 22 年度中小企業施策利用ガイドブック」http://www.chusho.meti.go.jp/pamflet/g_book/h22/gb048.html

96

4. 日本の情報セキュリティ産業の発展と活性化に向けて

以上、米国、欧州、韓国における情報セキュリティに関する諸政策の状況を日本との比

較において見てきた。これらの諸国では、政府が情報セキュリティ政策の一環として、情

報セキュリティ産業にも直接間接の育成や支援を行っていることが確認できた。

4.1. 情報セキュリティ産業の活性化に向けて

4.1.1. 民間における情報セキュリティの認識レベル

日本においては、情報セキュリティに携わる事業者の事業規模は比較的小さく、市場参

入や営業活動におけるハードルが高い傾向にあると見られる。

【インタビュー調査で得られた企業等の意見】

日本では販売チャネルの確保が大きな要素となるが、中小規模の企業の製品を、力のある

販売業者に取扱ってもらおうとすると、よほど売上が上がる見込みがあるか、購入するお

客さんからの要望が強い等の状況が無いと難しい。こうした観点から、行政が関われるこ

とがあると、有効な支援になるのではないか。（国産ベンダ・複数）

地方での営業では、その地方の地場産業振興の観点があり、その地の販売チェーンにつな

がりがないと参入するのはかなり難しい。（国産ベンダ）

消費者向けの製品分野では販売店の店頭スペースが重要。中小規模の企業ではそこまで力

が無く、消費者向け製品に手を出すのが難しい。（国産ベンダ）

ベンチャーと大手だったら、政府調達でも大手が選ばれる。日本は政府調達において実績

を必ず求めており、中小やベンチャーは政府調達で不利である。（国産ベンダ・複数）

日本においても、政府の積極的な啓発・推進施策と、民間の情報セキュリティ事業者や

団体等（JNSA、NPO 日本セキュリティ監査協会（JASA）157、セキュリティ対策推進協議

会（SPREAD）158、一般社団法人 JPCERT コーディネーションセンター（JPCERT-CC）159、

財団法人インターネット協会（IAjapan）160等の団体を含む）の努力により、情報セキュリ

ティの必要性に対する社会的認知は相当程度進んできた。しかし、それは上記に見たよう

に国家戦略や企業戦略のレベルでの認知に至っておらず、企業においては、情報漏えいに

よる損害のリスクへの対処という位置付けを出ていない。従って情報セキュリティ対策の

優先順位付けも高まらず、投資も後ろ向きのスタンスから脱却できていない。

一方で、世界的企業を標的とするネットワーク攻撃や、内部者の意図を持った不正によ

る、深刻な情報漏えい事件が頻発している。拡大する脅威や潜在するリスクに対して、十

分な対策が講じられていないことを示している。その背景には、情報セキュリティの安全

157 http://www.jasa.jp/ 158 http://www.spread-j.org/index.html 159 http://www.jpcert.or.jp/ 160 http://www.iajapan.org/

97

保障面での位置付けや、企業戦略上の価値の認識が、米欧に比較して不十分なことがある

ように考えられる。


ユーザ経営者が IT自体も重要視していない。セキュリティが経営課題ということを知らず、

情報システム部門で意思決定され経営者まで行かない。企業価値の毀損につながることが

理解されない。（国産ベンダ）

情報セキュリティの認識周知が必要。例えば、e-コマースをしている経営者は、情報セキ

ュリティは必須で損失が発生する、ということを気付かせる。経営戦略上のリスクを洗い

出すこと。（国産ベンダ）

ユーザのセキュリティ投資の優先順位が低い。ＩＴ投資の予算が限られる中、セキュリテ

ィ部分に掛ける予算は尐ない。（システムインテグレータ）

セキュリティへの投資については、事故を起こした企業は予算を投入するが、その占める

割合は低いのが現状。セキュリティの被害を受けたことのない企業は、脅威も分からない

し、気にしない企業もある。（システムインテグレータ・複数）

セキュリティは何もおこらなければ保険と同じで、結果がわかりにくく、価格と効果がユ

ーザには理解しにくい。セキュリティ領域はユーザ企業においてはビジネスに直結しない

ため理解しづらい。（サービスプロバイダ・複数）

【インタビュー調査で得られた有識者等の意見】

日本の企業においてセキュリティは十分できていますかというと欧米に比べて進んでいる

とはとても思えない。新しい内部情報漏洩という課題に関して見れば全く弱い。

産業の問題点として、欧米との比較において供給側と需要側の意識の違い、セキュリティ

意識の低さがある。

情報セキュリティに対する認識と位置付けをさらに一段高め、より一層の体系的な対策

の構築に取り組む必要がある。その実装や実践を支えるのが、情報セキュリティの専門家

である情報セキュリティ事業者である。真に機能する情報セキュリティ対策の構築には、

コンサルティング、専用ツールの供給、設計と構築、プロフェッショナルサービス、教育

の全ての要素が必要となる。これらの要素を提供する情報セキュリティ事業者、情報セキ

ュリティ産業の活性化なくしては、日本のセキュリティの底上げを図ることは難しい。そ

の意味で、情報セキュリティ産業をいかに活性化するかは、日本にとって重要な課題と言

える。

4.1.2. 政府における情報セキュリティへの取組み

政府は、日本の情報セキュリティ状況の改善のために継続して政策を展開し、施策を実

施してきている。現在は、2010 年 6 月に策定した「国民を守る情報セキュリティ戦略」の

中期戦略枠組みの下に、単年度施策の集大成である「情報セキュリティ 2010」が 2010 年 7

月に策定され、政策が実施に移されている。その目次は以下のようになっており、各方面

における取組み課題が網羅的に展開されている。

I はじめに

98

II 具体的な取組

１大規模サイバー攻撃事態への対処態勢の整備等-

(1) 対処態勢の整備

(2) 平素からの情報収集・共有体制の構築強化

２新たな環境変化に対応した情報セキュリティ政策の強化

(1) 国民生活を守る情報セキュリティ基盤の強化

① 政府機関等の基盤強化

② 重要インフラの基盤強化

③ その他の基盤強化.

④ 内閣官房情報セキュリティセンターの機能強化

(2) 国民・利用者保護の強化

① 普及・啓発活動の充実・強化

② 情報セキュリティ安心窓口（仮称）の検討

③ 個人情報保護の推進

④ サイバー犯罪に対する態勢の強化

(3) 国際連携の強化

① 米国、ASEAN、欧州等との連携強化（二国間、ASEAN との関係強化） - 50 -

② APEC、ARF、ITU、MERIDIAN、IWWN 等国際会合を活用した情報共有体制

等の強化

③ NISC の窓口機能の強化.

(4) 技術戦略の推進等

① 情報セキュリティ関連の研究開発の戦略的推進等

② 情報セキュリティ人材の育成.

③ 情報セキュリティガバナンスの確立

(5) 情報セキュリティに関する制度整備

① サイバー空間の安全性・信頼性を向上させる制度の検討等

② 各国の情報セキュリティ制度の比較検討

本調査における問題意識や情報セキュリティ産業の側で抱く政策へのニーズや期待も、

これら政策の実施過程で充実が図られるものも多いと考えられる。一方、政策の実施に際

して、より民間のニーズをくみ上げて反映することでより効果が高まると考えられる事項

もあり、現時点では具体的手当てがなされていない民間のニーズが、本調査で浮かび上が

ってきた要素もあるように思える。

4.1.3. 情報セキュリティ産業の活性化に関わる要素

政策対応・政策支援が情報セキュリティ産業に好影響を与える要素を整理すると、以下

のようにまとめることができる。

99

社会全般において情報セキュリティに取組む動機が強いこと

国においては情報セキュリティが国家安全保障の一環と認識されていること、民間にお

いては情報セキュリティリスクを経営リスクと位置付け、企業価値を守るための積極的課

題と認知されていることから、社会全体として情報セキュリティに取組む動機が強まると

言える。その結果、情報セキュリティに対する投資が積極的に行われ、情報セキュリティ

マネジメントが徹底し、経営課題の一環として位置づけられることにより、情報セキュリ

ティガバナンスが確立する。その過程で情報セキュリティ製品への技術評価も厳密に行わ

れることからベンダに対する要求も高まり、よりよい技術や製品の開発・供給を促すこと

になる。その結果より高度な対策が可能になり、情報セキュリティへの取組みのレベルア

ップを実現するという好循環を生む。

安全保障や電子政府等、国家戦略の一環をなすものとして位置付けられること

情報セキュリティが国家戦略の一環をなすものとしての位置付けられることにより、公

的な研究開発予算の確保がなされ、豊富な研究成果がもたらされる。また、開発された要

素技術の実用化のために、民間転用の機会が多くなる。

情報セキュリティ技術人材の供給源が豊富であること

米国ではシリコンバレーを中心に、韓国では ETRI などの国立研究機関や KAIST（Korea

Advanced Institute of Science and Technology）等国立大学・大学院を中心として、情報セキュ

リティ技術人材の供給源が豊かである。また、情報セキュリティ専攻を目指す学生や情報

セキュリティに興味を持つ人材の育成コース等も米国・欧州では充実している。

一方、情報セキュリティに対する社会的価値の認知が浸透していることで、職業的専門

領域として、あるいはキャリアパスとしての情報セキュリティの魅力度も高く、その共通

認識が形成されている。その結果、参入する人材の量・質も充実するので、人材供給が豊

富になる。

ベンチャー企業など、企業の起業と育成を支える社会的仕組みの存在

事業の萌芽段階におけるリスク資金を提供する官民の存在（大学等の起業資金やエンジ

ェルと言われる投資家等）や、立ち上がり期、成長期、発展期等、それぞれの段階におい

て適切に資金が供給され、また経営指導やマーケティングなど専門的な支援を提供するイ

ンキュベータ、ベンチャーキャピタルが存在し、ビジネスとして成立している。

そのため、アイディアと意欲のある起業家が事業にチャレンジしやすく、イノベーショ

ンが活発に行われる環境が充実している。

100

海外市場に展開し、市場機会の拡大に取組んでいること

国内市場だけでは需要に限りがある、あるいは海外市場の方がより需要拡大の可能性が

あるとして積極的に展開することにより、市場が拡大できるだけではなく、世界における

存在感も高まる。

特にネットワークセキュリティにおいて技術的優位性を確立している米国の企業には、

海外からその製品やサービスの取り扱いを希望する事業者が多く接触してくるので、自ら

リスクをとる要素を最小限にしつつ、より多くの事業機会を獲得できるという好循環を享

受できる。技術優位を確立することでそのようなポジショニングが得られれば、事業拡大

と経営の活性化の大きな武器になる。

このように、産業業活性化がもたらされ、好循環を生むための施策要素の連関を模式化

すると図表 4-1 のようにまとめられる。

図表 4-1 産業活性化が好循環を生んでいる状況

4.2. 産業振興に有効と考えられる政策・施策

本項では、以上の観察と分析を背景に、日本の情報セキュリティレベルの向上と産業の

活性化のためにはどのようなことをすることが効果的か、あるいは望まれるのか、何が必

101

要とされるのかについて見ていく。政策や施策の面、民間における努力や改善の面、グロ

ーバルな視野に立った展望の面等から、日本の情報セキュリティ産業活性化に向けた重点

課題について、有効と考えられる施策を述べる。

4.2.1. 技術開発における産官学連携の推進と成果の「産」における活用枠組みの拡大・

柔軟化

ネットワーク技術の先進性とソフトウェア工学における品質確保のアルゴリズム確立の

困難さにかんがみるときに、ネットワークセキュリティ脅威に対する対策技術は、民間に

おける商業ベースの開発だけに依存することは政策上十分でない可能性がある。特に、サ

イバー攻撃が見えない戦争、クールな戦争の重要な武器となっている現実を踏まえたとき、

安全保障の観点からも、常に最新の技術を把握し、新たな脅威を分析研究し、対策を講じ

ることは政策上も重要な課題である。

ネットワーク攻撃のモニタリングについては、IPA を始めとして NICT、警察庁等複数機

関で手がけているところであるが、その成果の活用も含め、ネットワーク技術の研究開発

に対して、国がより関与し、あるいは支援するスキームは検討に値する課題ではないかと

考えられる。

海外事例を参考にすれば、以下のような考察が可能である。

米国においては、西海岸・シリコンバレーなどに顕著に見られるように、大学から始ま

ったベンチャービジネスが、エンジェルやベンチャーキャピタルといったインキュベーシ

ョン機能によって事業化に成功する事例が生まれている。ここでは、産学連携プラスベン

チャーキャピタルという関係が見られる。また、連邦政府の研究資金をまとまった形で民

間研究開発組織に配分し、情報セキュリティを含む国家安全保障や先進的技術に関わる技

術開発を行う仕組みがある。欧州、韓国においては、公的研究開発の枠組みにおいて情報

通信技術やセキュリティといった分野にまとまった規模の研究開発予算をつけ、産官学連

携でプロジェクトを公募したり、その組織・運営を行ったりしている。

日本においては、本調査において、企業が公的研究資金を活用しており、また期待もし

ているとの調査結果が出ている一方で、資金使途の制限が強いために使い勝手が悪いとす

る意見がある。研究開発に対する支援や促進政策に関しては、「情報セキュリティ 2010 Ⅱ

-(4)-①情報セキュリティ関連の研究開発の戦略的推進等」において多面的な促進・支援策が

掲げられている。しかし、ここでは、公的開発資金を民間がその事業展開に応用するため

に活用できる枠組みや、公的な開発取組の成果を社会に活かすために民間の活力を活用す

る、すなわち民間移転を行うための仕組み等については、あまり目配りが行われていない

ように読み取れる。公的研究機関や大学等における開発成果の、特に民間での活用、なら

びに民間の研究開発活動に対する資金的、制度的支援をうまく設計し運用することで、日

102

本の情報セキュリティ産業の技術競争力強化に資することができる可能性がある。そのよ

うな視点から、情報セキュリティ技術開発における産官学連携のあり方を検討する価値が

あると思われる。

【海外各国の制度調査により確認された事例】

【米国】FFRDC161と呼ばれる、連邦政府の研究資金により民間や大学などの知識・経験・マネ

ジメントを活かして研究開発を進める仕組みがある。FFRDC の代表的存在である MITRE は、

連邦政府の開発プロジェクトを年間 12 億ドル規模で受託している。その成果の民間活用につ

いては、MITRE は組織内に Technology Transfer Office を持ち、ホームページ等においても広く

民間や起業を目的とした技術移転先を募集している。

【米国】連邦政府の各省庁には「技術移転局」があり、ライセンス、共同研究、補助金等の仕組

みをそれぞれが保有している。

【米国】SCAP（Security Content Automation Protocol）では、MITRE が中心となり政府主導・民

間参加型で標準を開発している162。開発に参加した民間企業は、開発した標準に沿った製品を

開発して事業化に結びつけるという流れも見られる。このような形での官民協力枠組みもあ

り、産業育成に貢献している163。

【欧州】FP7164の枠組みにおいて７年間で情報通信技術テーマに予算 91 億ユーロ（約 1 兆 600

億円）165、セキュリティテーマ予算 13 億ユーロ（約 1510 億円）を投じている。プロジェクト

のほとんどが国際の産官学連携プロジェクトであり、EU 域外との共同研究や研究者参加も奨

励している。個々のプロジェクトは承認された規模により助成率や助成金の規模が異なる。研

究開発成果は原則として受託者に帰属する。

【ドイツ】フラウンホーファー研究所の研究成果を事業化するにあたり民間ベンチャービジネス

を立ち上げ出資した事例がある。166

【韓国】ETRI167研究開発プロジェクトの成果は民間移転が原則である。また、製品化を目的と

した企業（中小企業等が中心）に移転する取組みがある。

【韓国】通信規格として韓国が CDMA168 の規格化に官民挙げて莫大な資金を投じ、商品化を成

功させた事例169 が報告されている。

【アンケート調査で確認された企業等の実態】

研究開発において利用している支援・施策としては､「公的機関・大学との共同研究・委託

研究」が最も多かった。

産業振興に有効な支援・施策としては､半数以上が「公的機関・大学との共同研究・委託研

究」を挙げている。


大学との共同研究はビジネスのスピードに合わない。（国産ベンダ・複数）

公的資金による研究開発では、開発名目が決められていることから、関連技術が開発期間

161 FFRDC の詳細は「3.1.3 米国の技術開発と民間移転の政策」参照。 162 http://www.ipa.go.jp/security/vuln/SCAP.html 163 第一次産業構造調査報告書 85～86p 参照 164 FP7 の詳細は「3.1.2.1 欧州委員会における FP7 の開発支援と技術移転の制度」参照。 165

為替レート東京三菱 UFJ 銀行発表 2010 年年間平均 TTM 1 ユーロ 116.39 円を使用。 166 フラウンホーファー研究所発のベンチャー企業については「3.1.2.3. ドイツの開発支援と技術移転施

策」参照。 167 ETRI については「3.1.4.1. ETRI の開発支援と技術移転機能」参照。 168

CDMA（Code Division Multiple Access）：符号分割多元接続。複数信号を同時に通信する方式の１つ。 169

韓国現地調査によるヒアリングおよび「製品アーキテクチャ視点からの韓国移動通信産業の成功要因と

企業戦略」（2008 年 2 月東京大学ものづくり経営研究センター朴英元慶北大学ＲＩＥＢＡ革新セン

ター長文桂完東京京大学ものづくり経営研究センター立本博文）による。

103

に変化した場合などに対応できず、自由度がない（サービスプロバイダ）

本当に画期的な技術は、資金を大きく投じないと開発できないため、公的な大きな資金の

プロジェクトには期待する。（システムインテグレータ）

米国が政府研究開発で非常に大規模なものがある。欧州でも軍事用途の開発資金が民間転

用されて有益な例をよく聞く。（国産ベンダ、外資ベンダ）

米国においては、1980 年のバイ・ドール法170以来、公的機関による研究開発成果などの

知的財産権を研究開発者（企業等）に帰属させる一方で、各省庁や省庁傘下の研究機関か

らの技術移転を積極的に行っており、特許権等のライセンスのみならず、共同研究による

技術移転、中小企業による事業化目的の技術供与など様々な枠組みを備えている。

欧州・韓国においても、技術開発成果の民間活用の事例を積極的にアピールしている。

韓国の ETRI やドイツのフラウンホーファー研究所の事例で見られた枠組みが参考となる。

さらに、韓国においては成果移転を中小企業に対して行うことにより中小企業育成も目指

している。

日本においても、日本版バイ・ドール制度において、政府資金を供与して行う委託研究

の成果について、受諾者が一定の条件を満たすことにより法的権利が帰属する制度がある。

しかし、ソフトウェア請負により開発された成果について制度の適用が認められたことは

最近になってからである（平成 19 年度改正）。また、大学の知的財産権の活用については、

大学の知的財産部門や TLO171などが行うが、活動を活発化させることが政策課題となって

いる172。一方、政府や公的研究機関などが持つ技術開発成果の民間移転については、JST や

産総研など、研究開発事業を行う独立行政法人が中心に行っているが、技術開発成果を民

間で事業化させる取組みとしては目的が不明確で未熟であり、その他の公的研究機関や省

庁等を含め、日本における事業化を目的とした民間への技術移転と活用に関する総合的な

枠組み整備を進める必要がある。

4.2.2. 企業・組織の情報セキュリティ対策の総点検のための基準・参照情報等の整備

情報セキュリティに関する状況の深刻化

組織の内部者が意図を持って情報を持ち出し、ネット上に公開したり、名簿事業者等へ

売却したり、あるいはアンダーグラウンド世界に有償無償で提供する、といった事例が後

を絶たない。いわゆるサイバー攻撃の頻度と激しさも度を加えており、情報の盗み出しや、

特定組織の業務妨害や、あるいは社会インフラの混乱を目的とした攻撃の事例も引き続き

世界中で報告されている。

IT が進化を続け、経済社会の IT 依存度が高まり、通信容量の拡大とコストの低下が進む

ことで、社会経済活動は大きな利便が得られる一方、このようなサイバー脅威によるリス

170 http://www.etri.re.kr/etri/filedown.etri?filename=ETRI BR guid 2010.pdf 171

Technology Licensing Organization；技術移転機関 172

例えば「知的財産の産業横断的な強化策について平成 22 年 12 月 21 日内閣官房知的財産戦略推進事務

局」http://www.kantei.go.jp/jp/singi/titeki2/tyousakai/kyousouryoku/2011dai3/siryou1_2.pdf など。

104

クも急拡大している。昨日の万全は今日の安全を保障しない。組織は常に自組織の情報セ

キュリティ対策を確認し、再評価し、最新の脅威に耐える最良の備えをしなければならな

い。ISMS の浸透に伴って共通認識が形成されているように、情報セキュリティ対策は PDCA

のマネジメントサイクルを常に回さなければ务化が避けられないものである。

情報セキュリティ管理のための枠組み

一方で、最新の脅威を常に正確に把握し、リスクを正しく評価することは容易ではない。

社会全体で共有し、参照できる、セキュリティ対策の基準や、それに基づく点検・評価の

仕組みを、再度整備する必要がある。

そのために有用と考えられる制度、基準、ガイドラインとして、日本では以下のものが

ある。

・政府機関統一基準

・情報セキュリティガバナンスのフレームワーク

・情報セキュリティ管理基準

・情報セキュリティ監査制度

・情報セキュリティマネジメントシステム（ISMS）

・IT サービスマネジメントシステム（ITSMS）

これらを取捨選択し、的確に組合せることで、隙や漏れのない情報セキュリティ対策を

構築することが必要である。これは、政府、公共機関、民間等、全ての組織が真剣に取り

組まなければならない課題である。

また、これらの制度等は、基本的に実施すべき項目や管理策は示されているものの、具

体的な実施事項とそのレベル、いわゆる何を「どこまで」の具体的、絶対値的記述に欠け

る面がある、技術も脅威も日日変化する中では記述が困難な面や、固定的な表記が弊害を

伴う面はあるが、参照すべきレベルが具体的にならないことで、対策の必要量が見え難い

という問題もあり、一歩踏み込んだガイドライン的指標が必要ではないだろうか。米国政

府が定める FDCC（下記囲み記事参照）などが参考になると考えられる。

米国連邦政府のオフィスで使用する PC のセキュリティ設定を規定した FDCC

（Federal Desktop Core Configuration：連邦政府共通デスクトップ基準）では、対象

とする OS として具体的に Windows XP 及び Vista を指定し、アカウントロックアウ

トの閾値やパスワードの強度、更新期間等にいたるまで、230 以上の設定項目を規

定している。OMB173が管理して設定状況の定期的チェックと報告をさせる等、一

般基準を定めて各省庁が具体基準を設定するところから一歩踏み込み、OS の設定

値を連邦政府で統一するところまで、具体的な対策を進めている。

173 Office of Management and Budget：米国行政管理予算局

105

政府機関統一基準の改訂

政府は 2011 年 4 月、「政府機関統一基準」を改訂し、「統一規範」「管理基準」「技術

基準」の体系に分けて内容を充実させた。その体系は図表 4-2 に示すとおりである。

同時に「管理基準」「技術基準」について解説書を作成し、各管理項目について、何が

求められているか、具体的にどんなことをする必要があるのか、まで示して対策の実装を

促している。その意味で、政府は対策の具体的実装を促すレベルに一歩近づいたと言える。

図表 4-2 NISC「新たな政府統一基準群の構成について」

（出所：NISC「政府機関の情報セキュリティ対策のための統一基準」の改定等）

http://www.nisc.go.jp/active/general/pdf/K304-305gaiyou.pdf

「政府機関の情報セキュリティ対策のための統一基準解説書」記載例

2.2.2.2 不正プログラム対策

【強化遵守事項】

(c) 情報システムセキュリティ責任者は、想定される不正プログラムの感染

経路において、複数の種類のアンチウイルスソフトウェア等を組み合わ

せ、導入すること。

解説：複数の種類のアンチウイルスソフトウェア等を導入することにより

効果的な不正プログラム対策の実施を求める事項である。

アンチウイルスソフトウェア等は、製品ごとに不正プログラム定義フ

ァイルの提供時期及び種類が異なる。また、これらは現存する全ての

不正プログラムを検知及び除去できるとは限らず、アンチウイルスソ

フトウェア等の不具合により不正プログラムの検知又は除去に失敗

する危険性もある。このことから、不正プログラムによる被害が発生

する可能性を低減させるため、感染経路において異なる製品や技術を

組み合わせ、どれか１つの不具合で、その環境の全てが不正プログラ

106

ムの被害を受けることのないようにする必要がある。例えば、メール

サーバに導入するアンチウイルスソフトウェアと端末に導入するア

ンチウイルスソフトウェアを異なるパターンファイルを用いた製品

にすること等が考えられる。

また、NIST は SP800 シリーズにおいて、セキュリティ対策実装のためのベストプラクテ

ィスを多く提供している。これも米国連邦政府における実装を目的としたものだが、民間

でも規範として参照されており、有用な情報源である。IPA では NIST 文書の翻訳と日本で

の提供に長年取組んでいる。翻訳された NIST 文書の、実務レベルでの解説や実装のための

ガイダンスを提供することも、IPA の施策として、あるいは民間との協業テーマとして、意

味のあるものであろう。

具体的技術的対策基準や参照基準等の整備

民間においては、情報セキュリティ対策のための技術的解説書等も多数出版され、情報

提供が進んでいることから、それらを参照して対策の実装に取り組むことができる。しか

し、何をどこまでやればよいのかの判断は、専門家でない者には容易ではなく、社内に専

門知識を持った担当者を用意・育成するか、コンサルタント等の外部の専門家に依存する

必要があり、コスト的に厳しい要素が生じる可能性もある。しかし、上にも見たように、

ネットワーク脅威の深刻化の度は高まっており、いかなる対策も、これで十分ということ

はありえない。

大企業等においても事件・事故が後を絶たない現状からすれば、政府機関統一基準解説

書のような具体策を盛り込んだ解説書やガイドライン、あるいは現状の点検のためのチェ

ックリストのような参考情報の整備、提供が必要と考えられる。そのために、政府機関「統

一規範」「管理基準」「技術基準」等の民間向け実装ガイドの開発や、日本版 FDCC のよ

うに具体的な推奨設定値のリストの開発等が取組み課題の例として検討対象となる。また、

民間で開発された基準であるが、対策すべき技術項目が具体的に盛りこまれている点で、

PCI DSS は評価が高い。日本版公的 PCI DSS や日本版 FDCC のような具体的技術仕様まで

盛り込んだ参照基準の整備が必要な段階に至っていると考えるべきではないか。

4.2.3. 政府機関、重要インフラ等における情報セキュリティ対策整備ロードマップの

策定や、それに基づく調達基準の考え方等の提示

政府機関については、「4.2.2.企業・組織の情報セキュリティ対策の総点検の枠組みの整

備」に見たように、技術的セキュリティ対策の整備は「技術基準」としてより具体的、詳

細に、かつ最新の技術動向を反映したものとして指針が示されている。

重要インフラについては、2009 年 2 月に情報セキュリティ政策会議において「重要イン

フラの情報セキュリティ対策に係る第２次行動計画」が決定され、各重要インフラ事業者

は、この指針に基づき、情報セキュリティ対策の充実と実装に取組んでいるところである。

107

これら、社会的に重要な位置を占める産業や組織は、同時に事業規模も大きく、その情

報セキュリティ対策の実施は、すなわち情報セキュリティ産業にとっての需要の生成とな

る。産業の発展と活性化は、何よりも需要の存在と拡大によってもたらされるものであり、

その意味で、政府機関や重要インフラの情報セキュリティ投資は情報セキュリティ産業に

とって大きな意味を持つ。

しかし、現状においては、どこにどれだけの整備計画があり、どのような技術やサービ

スがどの程度必要とされているか、事業者の側から知ることは、必ずしも容易ではないと

言える。無論、調達に際してはその旨公示され、公正で機会均等な競争の下に供給事業者

が決定される仕組みは機能している。しかしながら、それは個別の調達が具体的に実施さ

れる段階になって初めて見えてくるものであり、産業の視点で見たときに、需要の方向性

と中期的・マクロ的展望を形成することは困難であると言える。


調達仕様の内容が一般的な条件よりも厳しい（長期の保守期間を求める等）おのが設定さ

れていたり、損害賠償の記述が曖昧であったりと応札しにくい条件がある。現状に合わせ

た仕様内容への検討が必要と考える。（外資ベンダ）

ISO15408 の技術基準の運用を見た所感は、それが事業者の負担になるだけのような運用で

は、なかなか産業振興には結びつかない。米国では「基準を満たせば、購入するよ」とい

う運用。特に中小企業では負担が重いことは不利。（国産ベンダ）

政府調達に関しては、低価格の傾向になりとても価格的に対抗できない。入札の仕組み自

体も低価格が可能な要因になっている（サービスプロバイダ）

もし、これら事業者や組織において、中期的な情報セキュリティ対策整備のロードマッ

プが示され、また具体的な調達基準等が見えるようになれば、それを踏まえて事業計画や

参入計画、あるいは企業間連携の形成等の企画が立てやすくなる。情報セキュリティ産業

においては、それら計画や基準等を受けて、中長期的な観点からの技術開発への取組み、

マーケティング戦略の強化の取組みが促進されることが期待される。また、産業側からそ

のような計画や調達基準等に対して、技術面やマネジメント面等、具体的なサービスや製

品を念頭においた提案が行われるようになれば、情報セキュリティ対策整備レベルが向上

し、そのことは産業に活性と投資意欲をもたらす可能性が大いにあり、産業の育成に資す

るものと思われる。

一方で実施主体側にとっても、ロードマップや調達基準を明確にすることで、より計画

的で整合性の高い情報セキュリティ対策の構築が可能になると考えられる。また、そのよ

うに「いつまでに何をしたいのか」を掲げることは、その実現のための方策についての情

報を、供給側から発信することを促す効果も期待できる。それは実施主体側にとってもよ

り豊富な情報を基に実施計画の精度や質を高めることを可能にするはずであり、調達主体

側にも便宜をもたらすものと考えられる。

一般論的にも、公的機関が計画や基準も明確にして事業を進めることは社会の活性に役

108

立つものとされる174。情報セキュリティ対策の実施とそのための調達においても、そのよ

うな施策の実施が望まれるところである。

4.2.4. 情報セキュリティ人材の育成と確保

「2.2 日本の情報セキュリティ産業の特性 2.2.4 人材の確保と育成」において述べたよう

に、日本の情報セキュリティ産業では、人材不足（要員数の不足、技術者を中心としたス

キル不足）に関する問題が強く認識されている。また、日本の情報セキュリティ関連の人

材育成カリキュラムは、大学・修士レベルの供給が尐なく、歴史的にも浅いため、米国・

欧州・韓国に比して、情報セキュリティに関する知識や、基礎レベルのスキルをもった新

卒人材の供給量が尐ないという状態になっている。そのため、学生の情報セキュリティ産

業への関心が低い要因となっている。

政府は、2010 年 6 月に策定した「国民を守る情報セキュリティ戦略」において、「（４）

技術戦略の推進等」の中で、情報セキュリティ人材に関する中期戦略指針として以下の取

組み課題を掲げている。

② 情報セキュリティ人材の育成

一般利用者の情報セキュリティ水準を底上げするため、利用者の身近で情報セキュリ

ティ対策をサポートできる人材を育成する。

また、共通的な人材評価・育成ツールを活用して、産学連携による実践的な人材育成

手法等に基づく高度な情報セキュリティ人材を育成するとともに、このような人材を育

成するためのモデル的なキャリアパスを策定、可視化し、普及等を図る。

また、情報セキュリティ人材の中長期的な確保メカニズムの確立も視野に入れつつ、

幅広い分野における情報セキュリティ人材育成に係る工程表を策定する。

この戦略を受けて、2010 年 7 月発表の年度計画「情報セキュリティ 2010」では、人材育

成に関して以下の具体的政策を掲げている。

【具体的施策】

ア) 情報セキュリティ専門家等の育成の促進（内閣官房及び経済産業省）

a) 情報セキュリティ対策を組織の内部及び外部から客観的かつ公正に評価できる

情報セキュリティ監査知識を有する人材の育成を行う。

b) IPA において、セキュリティ LSI 等を用いたシステムの安全性評価体制の構築及

び次世代の暗号モジュール試験関連規格に対応するため、セキュリティ LSI に対

するサイドチャネル攻撃を含む耐タンパー性評価を行うための人材の育成を行

う。

174公共調達がイノベーションを活性化する理論については、「3.2.5 日本の政府調達基準・政府調達制度に

関する課題政府調達と産業活性化の関係」参照。

109

イ) 情報セキュリティ人材育成に係る枠組みの検討（経済産業省）

a) 情報セキュリティ人材を含めた高度 IT 人材の育成のため、産業界出身教員等を

対象とした教育プログラムの実証、産学マッチングによる実践的なインターンシ

ップの実証等を推進するための産学連携体制を強化する。

b) 情報セキュリティ人材を含めた高度 IT 人材育成のため、学生や若手技術者が将

来のキャリアパスをイメージできる職種ごとのモデルキャリア開発計画を広

報・普及する。また、新たにユーザー企業における情報システム部門人材のモデ

ルキャリアパス開発計画を策定することによって、ユーザー企業におけるセキュ

リティ人材のキャリアパス形成を支援すると共に CIO 人材等へ向けて広報・普

及する。

c) 共通キャリア・スキルフレームワークに基づき、情報セキュリティ人材を含めた

高度 IT 技術者のスキル標準を一層高度化、共通化する。

d) アジアでの更なるセキュリティ人材の育成を図るため、アジア 11 ヶ国・地域と

相互認証を行っている情報処理技術者試験について、我が国の情報処理技術者試

験制度を移入して試験制度を創設した国（フィリピン、ベトナム、タイ、ミャン

マー、マレーシア、モンゴル）が協力して試験を実施するための協議会である

ITPEC（IT Professionals Examination Council)がアジア統一試験を実施していると

ころ、ITPEC の取組みを拡大するとともに、我が国の IT スキル標準を普及させ

て行く。

ウ) 情報セキュリティ資格の周知（内閣官房、総務省及び経済産業省）

a) 情報セキュリティ人材を含めた高度 IT 人材の育成強化のため、情報セキュリテ

ィ分野を含めた各種情報分野の人材スキルを測る情報処理技術者試験について

一層の普及を図る。

b) 民間における情報セキュリティ専門家の充実の観点から、民間の情報セキュリテ

ィに関する資格の周知を図る。

エ) 先導的 IT スペシャリスト育成推進プログラム（文部科学省）

a) 大学院において、産学連携により、国民が安全・安心に IT を活用できる環境を

構築するための高度セキュリティ人材育成プログラムを開発・実施する拠点形成

を支援する。

b) 各拠点における多様な教育プログラムの開発・実施を通じて得られた成果につい

て、より効果的・効率的な普及・展開を図るとともに教材等を更に洗練するため

の事業を支援する。

オ) 途上国向け研修・セミナー等の開催（総務省）【再掲：２(3)①】

カ) 情報セキュリティ・サポーターの育成・活用（総務省）【再掲：２(2)②】

キ) 情報セキュリティ人材育成に係る工程表の策定の推進（内閣官房）

情報セキュリティ人材の育成・確保方策のあり方について、中長期的な視点から

110

検討し、2011 年６月を目途に工程表として取りまとめを行う。

このように、情報セキュリティ人材の育成は国として重要課題に位置づけられ、すでに

各方面で具体的政策が遂行されている状況であり、IPA も多くの施策の実行を担って取組ん

でいるところである。

今回の調査を通じて、これら取組みへの参考となる、あるいは実施に際して示唆を得ら

れると考えられる指摘や観察が得られている。注目すべきものとして以下を取り上げる。

大学・大学院、高専等の高等教育における情報セキュリティ専攻の充実

情報セキュリティを専攻とする教育は、既に、いくつかの大学・大学院において実施さ

れているが、本調査結果からは、量的・質的な充実の必要性が読みとれる。以下のような

視点を取り入れることで、より充実したセキュリティ人材育成プログラムの開発が可能に

なる可能性がある。

カリキュラムの設定や講師の確保などについて、大学・企業・業界団体・行政が

連携し、相互に支援することで実践的なプログラムを実現する。

情報セキュリティ技術専攻のカリキュラムには、ソフトウェア工学に基づき、情

報システム開発におけるセキュリティの組み込み・実装やセキュアプログラミン

グの知識・実技の習得を盛り込む。

先進的なユーザ企業の実態や、情報セキュリティに関わる企業の取組みなどを実

践的に取り上げ研究する。（ケーススタディアプローチ）

海外の情報セキュリティ専攻のカリキュラムを持った大学・大学院等高等教育機

関との交流や単位交換などの提携を促進する。

セキュリティ脅威に国境がないことや、情報セキュリティ対策において国際的視

野や交流が必要なことから、グローバルに通用する人材としての育成を常に視野

に入れる。


現在、社内教育で、技術開発に必要な実務に使える基礎理論と実践的なプログラミング演

習や、システム開発演習等を置いているが、大学で、週１回、実習有りであれば十分これ

らのカバーはできるものと思う。（システムインテグレータ）

日本では「情報セキュリティといえばこの大学」と思い浮かぶ名前がない。（国産ベンダ）

人材育成に関しては、セキュリティ分野の「ロボコン」のようなものもあるとよいかもし

れない。（国産ベンダ）

学生向けの「セキュリティ＆プログラミングキャンプ」はよい。（国産ベンダ（複数）、

システムインテグレータ（複数））

【海外各国の制度調査（主にインタビュー調査）により得られた指摘】

米国：カーネギーメロン他、著名な大学に学部・修士情報セキュリティ専攻コースがある。

多くの大学が情報セキュリティ専攻をアピールしている。

英国：大学に情報セキュリティ教育カリキュラムがある。一部大学は修士課程を設置して

111

いる。Common Criteria に特化したコースもある。

英国：CESG が提供する教育コースがあり、修了認定が資格的機能も併せ持つ。

ドイツ：ダルムシュタット工科大学には情報セキュリティ学部があり、州政府レベルでの

大学への公的資金も出ている。

韓国：1990 年代から情報セキュリティ学科や大学院が整備され、ETRI 等に優秀な人材を輩

出している（韓国）

日本：中央大学博士課程情報セキュリティ科学専攻の設置、21 世紀 COE プログラム「電

子社会の信頼性向上と情報セキュリティ」申請拠点。（日本）

日本：産業技術院大学院大学（東京都公立大学法人）に「情報アーキテクチャ専攻」があ

り情報セキュリティを専攻できる。（日本）

【インタビュー調査で得られた有識者の意見】

カリキュラム化については既になされていると考えるが、問題は、カリキュラムをどのよ

うに魅力的にするかということ。グローバルな視点をカリキュラムに盛り込むことが重要。

JABEE175を大学院レベルでもグローバルに通用するものとしていく必要がある。情報セ

キュリティが特出しされておらず、重要なマネジメント部分もないなどの点を改善し、グ

ローバルに通用することが大切と考える。

継続的教育の必要性

情報セキュリティの専門知識を持った人材に関しては、専門性の維持、最新技術へのキ

ャッチアップ、情報セキュリティ脅威の進化への対応などのために、継続的教育が必要で

ある。本調査においてもそのような声が確認されている。企業内にいる情報セキュリティ

人材に対して、企業内でその機会をタイミングよく提供することは容易でなく、民間も含

めた専門教育機関からのコンテンツや学習機会の提供が必要と考えられる。

【本調査アンケート結果の抜粋】

開発・技術人材「専門性が不足している」「人数が不足している」

販売人材「専門性が不足している」「人数が不足している」「育成する手段が不足してい

る」

開発・技術人材の育成上の課題「社内の研修プログラムが不足している」「自己啓発が不

足している」「社外の研修プログラムが不足している」

販売人材の育成上の課題「社内の研修プログラムが不足している」「自己啓発が不足して

いる」「社外の研修プログラムが不足している」


自社では教育コースを設けることは負担が大きい。高度な専門家が養成できるコースが欲

しい。育成・教育機関自体が尐ないと思う。（システムインテグレータ（複数））

情報セキュリティ人材の教育は難しい。セキュリティだけ教えても使い物にならない。

カリキュラムを担う講師も不足している。専門家＝講師ではない。講師の育成も必要。ま

た、企業の傍ら教える、というよりは教育のプロを育成する必要性を感じる。（システム

インテグレータ（複数））

175

Japan Accreditation Board for Engineering Education：日本技術者教育認定機構（設立 1999 年 11 月 19 日）

による技術者教育プログラムの審査・認定制度。2008 年 12 月 6 日米国・韓国・豪州・カナダ・英国・日

本におけるコンピューティングおよび IT 関連分野の認定機関 6 団体の間の、ICT 教育の認定のための認定

プロセス、手順と方法、基本ポリシーの共通化等に関する協定がある。

112

教育のための費用負担の軽減のための施策

情報セキュリティ人材には、高度の知識や実務経験、さらには継続的教育が必要である。

この条件を満たすことは、個々の人材にとっても、それを抱える企業組織にとっても、時

間面ならびに費用面の負担が大きいと考えられる。特に中小規模の企業においては人材教

育の負担が重く、人材の育成や確保に困難がある。本調査においてもそのような意見を確

認している。


大手は自社内で教育をまかなえるが、中小単独では資金負担、教育カリキュラムの維持な

ど難しいと思う。（国産ベンダ、システムインテグレータ（複数））

人材教育は、一過性ではなく恒常的な提供が必要。（国産ベンダ、システムインテグレー

タ（複数））

人材育成や人材供給においては、教育機関や公的機関が果たす役割も大きいと思う。（国

産ベンダ、システムインテグレータ（複数））

ゆえに、企業の教育負担を軽くするための支援等の施策方を検討する必要がある。具体

的施策の例としては、以下のようなことが考えられる。

教育事業を行う企業・組織や教育機関等に対して、情報セキュリティ教育カリキ

ュラムの開発に対して、情報提供、コースの監修、開発費の補助等に関して公的

な支援等を行う。

教育カリキュラムの受講に関し、受講者個人や従業員を受講させる企業・組織に

対して、能力開発費補助、奨学金の付与等支援の仕組みを整備する。

雇用対策事業における職能開発の対象として情報セキュリティ関連能力を位置付

け、人材供給源の多様化を図る。

優秀な人材を得るためのキャリアパスの形成と周知

「情報セキュリティ 2010」でも具体的に取り上げられているので、本報告書で付け加え

るべきことは多くないが、調査過程で得られた生の声をあげると以下のようなものがある。


セキュリティ人材はキャリアパスが作りづらいと思っている。そのため、人材としても不

足することになる。システムとセキュリティの双方が分かって、ＳＥができれば一番よい

キャリアになると思うのだが、実際にはそういうキャリアパスが描けない。セキュリティ

専門のキャリアパスは難しい。（サービスプロバイダ、システムインテグレータ）

米国では学生が成りたいトップにＩＴ技術者がある。米国にはＩＴスペシャリストのキャ

リアパスがある、また、インターンシップで優秀な学生を見つけることもできる。（国産

ベンダ）

情報セキュリティスペシャリスト試験は、より実務寄りな内容になってきており、２０代

のうちに是非とってきて欲しい内容である。あとは、実際にプログラム開発をやらせてみ

るのが重要。（サービスプロバイダ）


113

情報セキュリティに限らず、情報システム全般についていわれていることだが、学生が情

報セキュリティを勉強して職に結びつくという点をより分かるようにする必要がある。学

生にとっては国内の就職先だけではなくグローバルに通用できることを示せるとよいと思

っている。

情報セキュリティ市場が活性化していれば、学生も企業も入ってくる。そこに入りたいと

する学生も当然出てくる。情報セキュリティ市場自体に活気があることが前提である。

これらの意見を踏まえて、「情報セキュリティ 2010」の政策に付加すべき視点としては、

以下のようなことが考えられる。

情報セキュリティ資格のキャリアパスや処遇との関連性の見える化が望まれると

ころであり、キャリアパスマップの開発を促す施策や、企業等において有資格者

の処遇や情報セキュリティ専門家向けの役職位が明示されるような環境の整備な

どを行う。

社会全般における情報セキュリティの意味や重要性の認知を進めることで、情報

セキュリティ人材の社会的価値や意義に対する社会的認知や共通認識の醸成を図

る。

IPA 人材育成本部で作成する IT スキル標準に情報セキュリティに係るスキル及び

キャリアパスを定義することを検討する。

4.2.5. 情報セキュリティ対策推進・支援税制の検討

情報セキュリティ対策推進の施策としては、2011 年 6 月現在、中小企業情報基盤強化税

制として、中小企業や個人事業者を対象として、情報セキュリティ関連投資を含む IT 投資

に関して一定の税額控除が受けられる施策が行われている。

この施策は、企業の積極的 IT 投資を促進し、企業経営の効率化や社会全体の IT への対応

を目的として行われている。現在は、IT の導入が大企業に比して進んでいない中小企業を

対象とした施策となっているが、当初は大企業も含めた「情報基盤強化税制」として行わ

れていた。大企業～中堅企業クラスまでは、情報セキュリティ対策への取組みは相当程度

定着した感があり、その意味で所期の目的は達したということができる。

一方、中小企業の情報セキュリティ対策は、「IT 経営ポータルサイト」や、各地域の経

済産業局等で「IT 経営支援隊」などの情報提供や、アドバイス、コンサルティングなどの

政策が積極的に進められている中、なかなか進まない面がある。IPA の主要施策の一環とし

ても位置づけられており、情報セキュリティベンチマークの提供や、情報セキュリティ対

策ガイドラインの発行、各種啓発・教育、情報提供を行ってきた。しかし、このような手

を打ちながらもなかなか対策が進まない要因としては、中小企業の意思決定における資金

負担の重さが大きな要素を占める。従って、金銭インセンティブはポジティブな効果も期

待しやすいことから、引き続き中小企業をターゲットとした減税策を維持することは検討

に値するテーマと考えられる。

114

4.3. 産業界および民間における努力・改善要素

4.3.1. 企業・組織の情報セキュリティ対策の総点検の実施

情報セキュリティ脅威の深刻化と内部からの情報漏えいの頻発

企業・組織における情報セキュリティ対策は、2000 年代前半における官公庁・民間のホ

ームページ改ざん事件や大規模なウイルス感染事例の経験を経て、徐々に認知が浸透し、

2005年の個人情報保護法の全面施行を契機に 2000年代後半には情報漏えい対策が本格化す

るとともに、情報セキュリティマネジメントの理解も進んできた。さらに 2008 年度以降適

用となった内部統制報告制度は IT 統制の要求に基づき情報セキュリティに関するガバナン

スの必要性を認知させることになった。

しかし、その過程においても大規模情報漏えい事件は継続的に発生している。社員の不

注意やウイルス感染に起因するものから、外注先や孫請け先など、サプライチェーンにお

ける管理の連鎖の不備によるもの、ファイル共有ソフトを悪用するウイルスによるネット

ワークへの無差別の情報流出と、原因や構造の複雑化も進んだ。さらに、標的型攻撃によ

るターゲットを絞った情報窃取や詐取、内部者の故意による意図的情報持ち出しまで、流

出する情報の規模や流出先での二次悪用など、被害も大規模化、複雑化する様相を呈して

いる。

IPA も「2011 年版情報セキュリティ白書」176において 2011 年版 10 大脅威を示し、「進

化する攻撃・・・その対策で十分ですか？」と、例年にも増して強い調子で警告を発して

いる。上位 5 位を見ると以下のようになっており、「人」（内部者）の問題と深刻化する

攻撃の脅威が指摘されている。

1 位「人」が起こしてしまう情報漏えい

2 位止まらない！ウェブサイトを経由した攻撃

3 位定番ソフトウェアの脆弱性を狙った攻撃

4 位狙われだしたスマートフォン

5 位複数の攻撃を組み合わせた新しいタイプの攻撃

（出所：IPA「2011 年版 10 大脅威進化する攻撃．．．その対策で十分ですか？」）

http://www.ipa.go.jp/security/vuln/documents/10threats2011.pdf

JNSA が毎年公表している個人情報漏洩案件の統計データによれば、図表 4-3 に見るよう

に、件数ベースでは悪化が続いている。2010 年度については上半期の速報値で 684 件と報

告されており、大きな改善は見られていない。さらに、2011 年度に入り、世界的なコンピ

ュータゲーム企業における、外部からの攻撃による情報漏えい被害が立て続けに報告され

るに至っている。

176 http://www.ipa.go.jp/security/publications/hakusyo/2011/hakusho2011.html

115

図表 4-3 個人情報漏洩件数の業種別経年変化

（出所：JNSA「2009 年情報セキュリティインシデントに関する調査報告書」）

http://www.jnsa.org/result/incident/data/2009incident_survey_v1.1.pdf

これら事件においては、必ずしも対策が万全でなかったという指摘もされているが、一

通りのセキュリティ対策は実施した上での被害であり、事態の深刻さを物語っている。

企業・組織の情報セキュリティ対策総点検の実施

「情報セキュリティ 2010」においては、「国民生活を守る情報セキュリティ基盤の強化」

「国民・利用者保護の強化」といった政策を掲げて経済社会のサイバーセキュリティに対

する耐性の向上に取組んでいる。民間においても、これら政策の目指すところと呼応し、

インシデントの予防と回避に、より真剣に取り組む必要がある。特に昨今の攻撃の深刻さ

にかんがみるときに、企業・組織は挙げて情報セキュリティ対策の状況を総点検し、事故

の防止に万全を期すべきである。そして「インシデントの予防と回避」に取組むにあたっ

ては「インシデントは起こりうる」という想定の上での対策が求められていることを認識

する必要がある。

その際、政府機関等において提供する支援等を活用する177とともに、組織内の情報セキ

ュリティ人材を活用し、また情報セキュリティ対策のための製品やサービスを提供する事

177 「情報セキュリティ 2010」Ⅱ-2-(1)-③においては「情報セキュリティインシデントへの対応」、Ⅱ-2-(2)-

①においては「「情報セキュリティ対策に資する各種ツール・分析等の提供」、同②においては「情報セ

キュリティ安心窓口（仮称）の検討」等が謳われている。

116

業者を有効に活用することが大事である。「4.2.2. 企業・組織の情報セキュリティ対策の総

点検のための基準・参照情報等の整備」で指摘した、技術的仕様にまで踏み込んだ参照基

準もしくはそれに類するものが、公的機関から提供されれば、それを活用して実施するこ

とが望ましい。そのような情報が整備されるまでは、あるいは整備が進んだ後でも、情報

セキュリティ対策の実施に際しては、専門の知識や経験を持つ人材の活用も必要である。

情報セキュリティは高度に技術的な要素と体系だった組織的管理や教育・意識付けとい

った人的対策要素の総力戦であり、専門家の力を活用することは不可欠である178。情報セ

キュリティ対策に長けた専門事業者を活用することは産業の活性化をもたらし、それはわ

が国情報セキュリティ産業の高レベル化を促進する。そのことにより、技術面、管理面、

サービス面の、ベンダとユーザのレベルアップの好循環が期待できるのである。

4.3.2. サプライチェーン管理における情報セキュリティ対策の連関実現の促進・支援

過去、大規模な個人情報漏洩事件においては、システム開発を外部委託していて、その

委託先から先の再委託先、再々委託先からの流出というケースが頻発している（図表 4-4、

4-5）。直接の委託先の情報セキュリティを確認するだけでは、情報セキュリティは確保で

きないことの証左であり、直接取引する更に先までのサプライチェーンにおいて、情報セ

キュリティ対策が同じレベルで連関していることの確保が必要となっている。

図表 4-4 下請け・孫請けからの情報流出資源の例(1)

製造業においては、設計図面その他の技術情報を下請も含めた取引先同士でやりとりを

することが慣行となっている。しかし、下請も含めた連鎖構造は長く、今次の震災に際し

てもサプライチェーンの連鎖が完成品メーカの知らないところにも長く伸びていることが

明らかになったりしている。ここでも、サプライチェーンを一貫する情報セキュリティの

確保が、企業の競争力と公正な競争の確保になくてはならないものとなる。

178

例えば「脆弱性は残存している状態で守る」「パッチは当てられない状態で攻撃を検知する」「攻撃

が成功した場合に、それを検知し被害の特定を速やかに行う」といったような「インシデントは起こりう

るものである」という前提での対策が必要な段階に来ているが、それは専門事業者のサービスを活用しな

ければ実現困難である、との有識者の指摘がある。

神奈川県教委

2008 年 9 月、県教委に匿名通報。システム会社 A 社元社員の私物 PC の Winny からの流出

を確認。

2008 年 11 月、2000 人の情報流出を確認(Winny でなく Share ネットワーク)。

2009 年 1 月、Winny ネットワークに 11 万人流通を確認。

A 社、流出したファイルの追跡とネット監視で回収・削除に取組み

二次取得者が再度 Share ネットワーク上に故意に再流出させていることが判明

A 社、流出源を特定し削除と再放流禁止を要請：2009 年 3 月までに収束

A 社のグローバル本社、Share への情報放流者を著作権違反で告発

117

図表 4-5 下請け・孫請けからの情報流出資源の例(2)

サプライチェーンの情報セキュリティ対策の一貫性、連鎖の確保については、経済産業

省からの委託事業として、NPO 日本セキュリティ監査協会が「保証型情報セキュリティ監

査」プロジェクトとして長年取組んでおり、その報告書も出され、ベストプラクティスモ

デルが提示されている179。情報セキュリティ監査制度は、2003 年度に経済産業省告示によ

りスタートし、その実績を積み重ねてきている。NPO 日本セキュリティ監査協会による情

報セキュリティ監査人資格制度も運用され、質の高い情報セキュリティ監査人材も提供さ

れている。

IPA は 2009 年 8 月、「中小企業の情報セキュリティ対策ガイドライン」を公開180し、中

小企業における具体的な情報セキュリティ対策の方策を示している。この中で、「委託関

係における情報セキュリティ対策ガイドライン」（別冊 1）181は、委託先における情報セキ

ュリティ対策の管理の重要性について解説し、具体的対策の仕方を示している。

前項で述べた情報セキュリティ対策の総点検の実施も、サプライチェーンを通じての連

関により、より充実し一貫性を確保したものとなる。委託先管理の連鎖による、より高い

レベルの情報セキュリティ対策の実現が期待されるところである。またその実効性の担保

には、情報セキュリティ監査制度の活用や、中小企業の情報セキュリティ対策ガイドライ

ンに沿った対策の実践が望まれるところである。

4.3.3. 情報セキュリティ産業への産業資金供給の誘導・促進

産業の育成・成長のためには、産業資金の供給が欠かせない。技術開発、製品開発、生

産、マーケティング、販売回収のサイクルを支える資金の供給がなくては、どんな産業も

育たない。高度技術の開発にあたっては多額の資金が必要であり、公的機関の研究開発事

業への参加や助成金活用は有効な手段であるが、民間からの資金提供も必要である。また、

いかに高度な技術を持っていても、その技術を製品化し、更に事業として成立させるまで

の十分な資金やノウハウがなければ企業としては成り立たない。そのような技術を持った

179 http://www.jasa.jp/past/hikansa/2-08.html

http://www.jasa.jp/past/seminar/secf2009lh/pdf/s2009hiroshima02.pdf 180 http://www.ipa.go.jp/security/fy20/reports/sme-guide/index.html 181 http://www.ipa.go.jp/security/fy20/reports/sme-guide/documents/sme-itaku.pdf

［Ｂ］愛媛県愛南町

2004 年合併時のシステム統合業務を地元システム会社 B 社に委託

B 社が愛南町の承諾を得ずに C 社に再委託

C 社社員が自宅 PC にデータをコピー(2005)。その後、社員の夫が Winny をインストール

2007 年、C 社社員の自宅 PC がウイルスに感染し、情報流出。

14 万 3 千件の個人情報流出が発覚。愛南町では町から全戸訪問し、説明と謝罪を実施。

愛南町の個人情報と同時に、別の業務を C 社に再委託していた Y 社が請け負っていた他の

自治体の個人情報も流出。

被害範囲は、福岡県嘉麻市、飯塚市、対馬市、北九州市、山口県山口市、秋田県北秋田市に

まで及んだ。

118

企業が「死の谷」や「ダーウィンの海182」を乗り越えるためには、投資家・金融機関等に

よる適切な場面での資金提供やアドバイス等のノウハウ提供が大きな後押しとなる。

産業資金が商業ベースで供給されるためには、その産業が投資対象として十分に魅力的

である必要がある。情報セキュリティ産業は、産業資金の供給側からは、規模が十分に大

きくないと見られている模様である。しかし、市場調査報告書183によれば、産業規模は 7000

億円に達しており、決して小規模な産業とは言えない。また、その成長性も、2008 年のリ

ーマンショック以降は変調をきたしているものの、それ以前の調査では高い成長を維持し

てきたことが確認でき、産業としての魅力は十分にあると考えられる。

にもかかわらず、下記の意見などに見られるようにベンチャーキャピタルからの評価が

低いのは、イノベーティブな新興企業が直接エンドユーザに受け入れられることで急成長

を実現するというシナリオが描き難い流通構造である184点にも一因がある可能性がある。

産業の側としては、継続的に情報発信を行い、魅力的な技術を持った企業の存在をアピー

ルする取組みが必要であろう。産業としての魅力の演出の一環として、着実で安定的な需

要の顕在化も考えられる。「4.2.3.政府機関、重要インフラ等における情報セキュリティ対

策整備ロードマップの策定や、それに基づく調達基準の考え方等の提示」で言及した、政

府調達における基準の明確化や、対策推進ロードマップによって中期的な投資額が示され

るようなことが実現すれば、情報セキュリティ産業としての魅力に気づかせる端緒となる

可能性がある。

同時に、政策的な目配りも期待されるところである。研究開発に対する支援や促進政策

に関しては、「情報セキュリティ 2010」Ⅱ-(4)-①「情報セキュリティ化関連の研究開発の

戦略的推進等」において多面的な促進・支援策が掲げられている。応用開発から事業化の

過程に対する支援としては、公的投資ファンドの活用も考えられる。株式会社産業革新機

構では、ベンチャー企業の有望な技術に対する出資を行っている。情報セキュリティ産業

の産業力、技術力の戦略的重要性にかんがみる時、民間の資金流通の狭間を補完する、公

的産業資金の活用が、より積極的に検討されてしかるべきと考えられる。


研究成果を積極的に開示し発表している。成果発表をしてもノウハウが漏れない内容で、

当社ブランドとしてアピールする分野に限定して情報発信をする。そうすると、技術指向

が高い優秀な人材や、感度が高いユーザにアピールできる。ベンチャーキャピタルにも恵

まれた。（国産ベンダ）

182 「死の谷」：基礎技術から製品化応用までのギャップ「ダーウィンの海」：製品化から事業化までの

障壁 183 http://www.meti.go.jp/policy/netsecurity/docs.html 184 IPA「情報セキュリティ産業の構造に関する基礎調査報告書」（2010 年 1 月）参照。

http://www.ipa.go.jp/security/fy20/reports/industry-basic/index.html

119

【インタビュー調査で得られたベンチャーキャピタルの意見】

日本では情報セキュリティという産業分野を小さいと評価しており、投資しづらい。しか

し IT産業という分野であれば成長性があり投資規模として十分利益を上げられると考えて

いる。

日本では、投資成果を挙げるためには上場しか出口がなく、そのためには事業規模が相当

大きくなければならないことから、ハードルが高い。


日本でベンチャーが利益をあげることは相当難しく、どのような方法がよいか、なかなか

結論が出ない。その中で何とかできるとすれば、例えば株式会社産業革新機構で、民間の

金融機関が上手く入れないところに政府があえて需要を作ることしかない。

株式会社産業革新機構などで、民間の需要が喚起されるまでは政府が支えるという方法が

言われており、その意見には賛成である。この仕組みを活用し情報セキュリティ産業の分

野におけるベンチャー支援をしっかり行う仕組みにもっと変えていく必要がある。

【「新成長戦略」における位置づけ】

・「大企業、中堅企業、中小企業、個人事業者、海外での本邦企業活動、国内

プロジェクト、海外プロジェクトなど、投融資や支援対象のカテゴリー・特

性に適した成長資金が供給できる金融産業を構築する。長期的な視点で、イ

ノベーション重視の経営をサポートできるように、「金融システムの進化」

を目指す」

4.3.4. IT 業界・情報セキュリティ業界における相互交流の促進

情報セキュリティ事業者およびユーザ企業、公的機関、大学等の研究機関、金融機関等、

企業を取り巻く関係者が出会うことにより、事業発展など産業活性化の効果が期待できる。

例えば、米国のシリコンバレーなどの事例は大学と企業のコミュニケーションが長年積み

重ねられて培われてきたものであるとの報告がある185。

「情報セキュリティ産業の構造に関する基礎調査報告書」（IPA、2010 年 1 月）で分析し

たとおり、日本の情報セキュリティ産業の流通構造は、システムインテグレータの市場支

配度が非常に高い構造となっている。エンドユーザである企業が、自ら製品や技術の評価・

選定を行わず、システムの供給・運用・メンテを依存する先であるシステムインテグレー

タに全面委託する。逆に言えば、情報セキュリティ産業の活性化に寄与するようなイノベ

ーティブな企業は、投資回収プロセスを大手システムインテグレータに依存せざるをえな

い。いかに有力なシステムインテグレータに調達先として採用されるかが成功のキーファ

クターとなっている。

そのような産業構造においては、IT 業界も含めた事業提携機会の拡大が重要になる。ま

た同時に、エンドユーザに対しても技術をアピールすることで、システムインテグレータ

185

国際特許流通セミナー2011 での PARC 事業開発シニア・ディレクタージョン・Ｃ・ナイツ氏の報告

等。

120

による採用を促す努力も必要であろう。産業とそれを取り巻く関係者、ユーザも含めた相

互交流の場が拡大し、イノベーティブな企業がビジネスチャンスを広くつかむ機会の増加

が期待されるところである。展示会等での出展が最も一般なアプローチであるが、その投

資負担も厳しい段階のスタートアップ企業には、同業組合による共同出展の機会や、低コ

ストで参加できる展示・アピールの場を提供することも一案である。

IPA では、先端的ソフトウェア技術者の発掘のために「未踏プロジェクト」を推進してい

る。情報セキュリティ技術においても同様のプロジェクトを実施することも検討に値する。

民間における自助努力も当然行われるべきところである。さまざまな組合せのマッチン

グが考えられる。図表 4-6 にその例を挙げる。このような場をいかに作るか、産業側の努

力と同時に、NPO や業界団体等を活用した、何らかの公的な支援策の検討も必要である可

能性がある。

図表 4-6 情報セキュリティ産業を中心としたマッチング

マッチング活用例目的と効果

ベンダ（供給）－

ユーザ（需要）

・ベンダがユーザの要望を知る。

・ユーザがベンダの製品情報を得る。

・ユーザとベンダの直接交流。

・ユーザが自社の情報セキュリテ

ィレベルに合った製品を考え

る。


ベンダ（供給）

・ベンダ同士の技術交流。

・マーケット動向に関する情報交換。

・情報セキュリティ産業内の直接

的な出会いの場を増やし、ビジ

ネス機会を増やす。

・利害関係にあるベンダ同士の横

のつながりとして公的機関が間

に入ることで、円滑な情報交換

を実現する。

・特に中小ベンダにとって、販路

拡大が課題である。販路として

のシステムインテグレータや販

売店とのネットワーク拡充が重

要である。


システムインテ

グレータ

・ベンダがシステムインテグレータ

に対して、製品や保有する技術の売

込みをする。

・システムインテグレータがベンダ

に製品や技術的ニーズを伝える。

システインテグ

レータ－販売店

・システムインテグレータは販売店

にマーケティングを行う。

・販売店はシステムインテグレータ

の活用法を検討する。

ベンダ・システム

インテグレー

タ・販売店

－

教育機関（高等教

育機関、民間教育

機関等）

・教育機関は、教育プログラムニーズ

を把握する。

・情報セキュリティ産業側は、教育機

関に要望を伝える。

・双方にとって教育サービスの拡大

の検討をする。

・双方のリクルーティングを行う。

・人材育成の課題の中で、高等教

育機関における教育の実施や、

高度専門的な教育を求める産業

のニーズに、教育機関が応えら

れるようにする機会となる。

・教育機関にとってのビジネスチ

ャンスでもある。

ベンダ・システム

インテグレータ

等－金融機関

・金融機関は、有望投資先を発掘す

る。

・ベンダ・システムインテグレータ等

は投資を募る。

・情報セキュリティ産業と金融機

関の直接的な出会いの場を増や

し、双方のビジネスを増やす。


ィ産業－ユーザ

・情報セキュリティ事業者は、ユーザ

からニーズを把握する。

・先進技術に興味を示すユーザを発

・情報セキュリティの現状の脅威

を直接確認したり、ユーザにお

ける情報セキュリティへの知識

121

マッチング活用例目的と効果

掘する。

・ユーザは情報セキュリティ脅威の

現状や対策技術を知る。

・ユーザ団体において情報セキュリ

ティ産業との交流によりセキュリ

ティ脅威の評価と対策全般につい

ての知識を得る。

ビジネスを増やす。

・ユーザが情報セキュリティリス

クと対策を評価するだけの力を

つける機会となる。

4.3.5. 独自技術開発への積極的取組み

ネットワーク技術は世界普遍のものであり、情報通信ネットワークは世界を高速にシー

ムレスに結んでいる。その利便性や経済効果はきわめて大きいものがあるが、同時にネッ

トワーク上に存在する悪意ある存在や、特定の意図を持ってネットワーク通信の秩序を破

壊したり、正当な権利のない情報を窃取したりする、悪意ある行為の脅威もまた、世界普

遍のものとなっている。このような脅威は、時として国家安全保障に係る要素がある。ネ

ットワークセキュリティ対策技術もネットワークの普遍性と同様に普遍的な性格を有する

が、国家安全保障の視点からは、全て国外の技術に依存する危険性を意識しておかなけれ

ばならない。とはいえ、全ての技術を囲い込むことも国産技術だけでネットワークを利用

することも現実的ではない。実際的な対処としては、他国起源の技術を活用しつつも、自

国起源で他国にとってなくてはならない技術を確保することで、双方の技術を相互に不可

欠なものとする関係を作ることになる。

この意味において、独自技術開発への継続的取組みの努力は官民挙げて推進しなければ

ならない。ネットワーク技術は伝統的に米国主導の要素が強いが、わが国独自の要素技術

の確保に努める必要がある。政府は「情報セキュリティ 2010」Ⅱ-(4)-①「情報セキュリテ

ィ化関連の研究開発の戦略的推進等」において具体的な開発テーマと、包括的な政策枠組

みをいくつか設定し、取組んでいる。このような技術は広く社会的に活用され、世界のデ

ファクトスタンダードになることで、より大きな価値を生む。デファクトスタンダードで

あるためには、その技術を苛体する製品を国産ベンダが開発・供給し、日本の製品として

の地位を確立する姿が必要である。この意味で、政府が戦略的に進める研究開発に、国内

企業が参加し、技術を自分のものとするとともに、事業化にも進める仕組みを取り込んで

いくことが重要になる。

この点に関して、日本では、日本版バイ・ドール制度において、政府資金を供与して行

う委託研究について、受諾者が一定の条件を満たすことにより法的権利が帰属する制度が

ある。しかし、ソフトウェア請負に対して制度の適用が認められたことは最近である（平

成 19 年度改正）。また、大学の知的財産権の活用については、大学の知的財産部門や TLO

などが行うが、活動活発化が政策課題となっている。また、政府や公的研究機関などがも

つ技術開発成果の民間移転については、科学技術振興機構（JST）や産総研の事業として行

っているが、民間での成果活用による製品化・実用化への取組みとしては緒についたとこ

122

ろであり、その他の公的研究機関や省庁等を含め、日本における事業化を目的とした民間

への技術移転と活用に関する総合的な枠組み整備を進める必要がある。

4.4. 産業振興手段としての海外進出

4.4.1. ASEAN セキュリティ政策会議、ASEAN セキュリティセミナー等、政府のアジ

ア連携政策と連携した、日本のセキュリティ産業のアジア進出・アジア支援

2011 年 3 月 7 日から 8 日まで、東京において第 3 回日・ASEAN 情報セキュリティ政策会

議が開催された186。この会議は「社会経済活動の基盤の一つである情報セキュリティ分野

に関し、地域における情報セキュリティ水準の向上に資するとともに、これを通じて日・

ASEAN の関係強化・交流拡大を図る」（同会議結果報告187）ことを目的とし、今回で 3 回

目となるものである。会議では、各国の情報セキュリティ戦略の確認や共有、官民連携の

推進、意識啓発等について議論が行われた。このように、政府は経済的関係の深まりが進

む ASEAN 諸国との情報セキュリティ政策での協調を目指している。特に、ASEAN 諸国で

事業を展開する日本企業が、現地の取引先も含めセキュアな環境を確保できることが意識

されている。

このことは「情報セキュリティ 2010」でもⅡ-2-(3)-①｢米国、ASEAN、欧州等との連携強

化（二国間、ASEAN との関係強化）｣においても取り上げられ、重点施策の一つと位置づ

けられている。現実に日本企業は現地子会社における情報セキュリティ対策のレベルアッ

プや、現地でのサプライチェーンに対する展開で課題を抱えており、すでに一部の日本の

情報セキュリティ事業者が現地進出してこのようなニーズへの対応を行っている。このこ

とは ASEAN に限らず中国でも顕在化し、いずれインドにおいてもニーズが具体化すると考

えられる。

国内での情報セキュリティ市場はいくつかの面で成熟しつつあり、市場機会の拡大とい

う意味では、これらアジア諸国における事業展開は一つのビジネスチャンスと考えられる。

現地ではまだ十分に情報セキュリティ事業者が育っておらず、供給サイドに不備があるの

が実情である。そのような中で日系企業の情報セキュリティ確保には、日本の情報セキュ

リティ産業からの支援が欠かせないと考えられる。日系企業への支援と事業機会の拡大の

両面において、積極的に捉えるべき課題であると言える。

4.4.2. サプライチェーン管理における情報セキュリティ対策の連関の、アジアにおけ

る実現の促進と、そのための支援の提供

以上見たように、アジア諸国で事業展開を進める日系企業の情報セキュリティ上の課題

は、現地子会社の情報セキュリティ対策だけでなく、現地のサプライチェーンにおける情

186 http://www.meti.go.jp/press/20110309003/20110309003.html 187 http://www.meti.go.jp/press/20110309003/20110309003-1.pdf

123

報セキュリティの確立・確保にまで広がっている。3-2-1 で見たように、特に技術情報やビ

ジネスノウハウをサプライチェーンと共有する業態においては、サプライチェーンに対す

る情報セキュリティの一貫確保は重要課題である。

現地の経済社会における情報セキュリティ意識や必要性に対する認知は、日本ほど進んで

いないのが実情であり、そのような中で情報セキュリティを確保することは、日本以上に

困難を伴う。と同時に、現地での情報セキュリティ対策の供給サイドが育っていないとい

う現実がある。3-3(1)と同様に、日本の情報セキュリティ産業の貢献、支援が期待される領

域である。

4.4.3. オフショアリングの活用推進

ASEAN諸国では、シンガポールを筆頭に、フィリピン、マレーシアなど、ITを基盤産業

として育成する政策を掲げる国が多い。英語能力が国民に浸透しているこれらの国は、イ

ンドとともにオフショアリングの供給源として注目され活用が進んでいる。

日本の情報セキュリティ産業の課題の一つに、3-1.4で見たように、開発人材の不足があ

る。これを補う意味で、ASEAN諸国を開発拠点、人材供給原として捉える考え方も必要で

あり、有効であると考えられる。現に日本の情報セキュリティ事業者のうち何社かは、

ASEAN等をオフショアリング先として活用を始めている。

これらの事例からも学べるように、アジア諸国を、市場として同時に、人材や技術の供

給源としても活用することは、日本の情報セキュリティ産業の活性化に資するものとして、

検討し、取り組むべき課題であると言える。

4.4.4. 海外進出に際しての公的支援と民間のサポートの充実

以上見てきたように、アジアを中心とする諸国への進出は、①グローバル化を進める日

本経済への情報セキュリティというインフラ部分での支援・サポート、②日本の情報セキ

ュリティ産業にとってのフロンティア（新市場）開拓とビジネスチャンスの拡大、③日本

で不足する技術・開発人材や労働力の確保、という意味で積極的に取り組むべき課題と考

えられる。

一方、海外進出に際しては、国内での事業展開以上にリスクファクターが大きく、コス

トもかさむ可能性がある。

1. 現地に拠点や知り合い先がない状態では、日本にいて現地の市場の状況やビジメス

インフラの状態を把握することはきわめて困難である。

2. 製品やサービスを売り込むためには、英語や場合によっては現地語への翻訳が必要

であるが、需要量の把握が困難で、一般的に日本国内より市場規模が小さいと考え

られる中での投資は、きわめてリスクの高いものとなる。

3. 現地でビジネスを展開するためには、現地の市場を把握し顧客基盤を持った現地企

業との提携がリスク軽減のために有効であるが、そのような信頼できるパートナー

124

探しも、情報が限られる中では厳しいものがある。

すでに現地進出を果たしている日本企業の事例では、グループ企業の現地進出に伴って

発生する情報セキュリティ対策ニーズに対応する形で進出を果たしている事例が多い。あ

るいは親会社等が現地でビジネスを展開する際の派生需要を当て込む形も見られる。いず

れにせよ、より大きな事業基盤を持つ関連会社等の存在に依存するケースが多い。そのよ

うな条件が整わない、特に事業基盤が十分に大きくなく強くない情報セキュリティ専業の

ベンチャー企業にとっては、ハードルは高いと言える。

従って、このようなハンディキャップをカバーする支援策を、公的機関その他然るべき

組織から提供する必要があると考えられる。海外進出を企図する企業に対するアドバイス

や、海外の法制度・進出に関する情報提供は、「2-1政策調査結果(4)海外進出・輸出振興に

関わる政策」に記載するように、JETROが行っている。これに加え、海外情報セキュリテ

ィ関連組織との連携強化による海外進出の環境整備、海外進出支援の施策等が検討に値す

ると考えられる。具体策としては、以下のような例が考えられる。

ASEAN セキュリティ政策会議、ASEAN セキュリティセミナー等、政府が実施

するアジア連携施策への日本企業の参加と露出機会の拡大

日本の情報セキュリティ関連の民間団体（JNSA 等）と海外諸国の同様の団体

（アジア諸国では、政府がより直接的に関与しているケースが多いと考えられ

る）との交流の場の提供や、民間で実施する場合の支援

現地で影響力を持つ商業見本市のような場に、日本の公的団体や非営利の業界

団体が、啓発的・技術支援的観点から出展し、その場で日本企業にもアピール・

露出の機会を提供する等の施策

留学・研修制度等を活用して日本とアジア諸国の間で人材交流や共同開発等を

促進し、産官学での相互協力関係を構築する中での、人材の確保やオフショア

リングの機会開拓へのサポートの提供

【アンケート調査、インタビュー調査で得られた企業等の意見】

アジア市場は有望と考え、海外進出を検討しているが、実態としては踏み出せない。踏み

出せない理由の１つとして、海外進出に必要な情報の尐なさがある。（国産ベンダ複数、

システムインテグレータ複数）

海外進出においてはビジネスパートナーを見つけることが重要だが、そのようなことが難

しい。（国産ベンダ、システムインテグレータ複数）


情報セキュリティに関する国際化を支援するパッケージがあるとよい。例えば、販路、代

理店の照会など。日本人が慣れていない販売手法についての教育や、マーケティングの分

野においては、バイヤーズガイドがある。製品ローカライズ支援、現地でのインキュベー

タ機能など、技術経営の支援も有効である。

125

4.5. 課題別取組み主体

本章で取り上げた課題を取組み主体の観点から以下のようにまとめる。尚、本項の「事

業者」は情報セキュリティ事業者を、「産業」は情報セキュリティ産業を指す。

図表 4-7 日本の情報セキュリティ産業活性化に向けての主体別検討テーマ

テーマ検討課題主体検討する具体的施策の例

技術開発

産官学連携の

推進

成果の「産業」

における活用

枠組みの拡

大・柔軟化

独自技術開発

への積極的取

組み

公的

機関

研究開発における公的機関・産官学連携

公的機関等の開発成果の民間移転活発化

情報セキュリティ分野の国産技術取組みの強化

開発された技術の国産製品への搭載支援

事業者

独自技術開発への積極的取組み

イノベーションへの取組み強化

製品化・事業化ノウハウの向上

金融等

IT 業界・情報セキュリティ業界への投資や融資

の活発化

製品化・事業化時の資金供給と事業化ノウハウ

等の指導

産業

全体

情報セキュリティ産業と産業を取り巻く関係者

の相互交流の「場」の創出

ビジネスチャンス拡大施策としてのマッチング

活動

ユーザも含めた相互交流

情報セキュ

リティ対策

の総点検

（サプライ

チェーン管

理を含め

て）

企業・組織の

情報セキュリ

ティ対策の総

点検の枠組み

整備

企業・組織の

情報セキュリ

ティ対策の総

点検の実施

サプライチェ

ーン管理にお

ける情報セキ

ュリティ対策

の連関の促進

アジア諸国展

開する日系企

業のサプライ

チェーン管理

支援

公的

機関

最新の脅威への対応を可能とするセキュリティ

対策の基準やそれに基づく点検・評価の仕組み

の再整備

具体的な、何をどこまで等必要量への踏み込み

（日本版 FDCC の検討）

「政府機関統一基準」の民間活用のための実装

ガイド等の開発、や政府機関の情報セキュリテ

ィ対策整備

情報セキュリティ監査制度の展開

事業者

脅威情報の把握とそれらへの対応、政府支援の

活用

「中小企業の情報セキュリティ対策ガイドライ

ン」などに基づく点検・評価および「委託関係

における情報セキュリティ対策ガイドライン」

による委託先点検・評価に関し、ユーザ企業の

実施支援

上記支援の実効性強化のための技術・サービス

開発

情報セキュリティ技術・管理・サービス・人材

の総合的水準向上・レベルアップ

専門知識（コンサルタント・委託先監査等）の

展開

情報セキュリティ監査制度の活用促進

産業

全体

情報セキュリティ対策の総点検の枠組みへの取

組み整備

126


政府機関、

重要イン

フラ等に

おける情

報セキュ

リティ対

策整備

対策整備ロー

ドマップの策

定

調達基準の考

え方の提示

公的

機関

「政府機関統一管理基準」「技術基準」の活用

社会的に重要な位置を占めるものとして、政府

機関・重要インフラ等の情報セキュリティ積極

投資

重要インフラにおける情報セキュリティ整備計

画の策定と公表

事業者

政府・重要インフラの情報セキュリティ整備に

向けての中長期的技術開発、マーケティング戦

略の強化

事業者側からの公的機関への提案や計画策定サ

ポート

情報セキ

ュリティ

産業を担

う人材の

育成

スキルを持っ

た人材育成の

促進（人材供

給源およびキ

ャリア提示）

資格制度の周

知活用

途上国向け研

修とのタイア

ップ

公的

機関

大学・大学院、高専等の高等教育における情報

セキュリティ専攻の充実

グローバル人材の輩出を念頭においた、実践的

カリキュラム開発

継続的教育への支援（民間教育機関や産業が提

供する教育カリキュラム等）

人材育成費用負担軽減施策

教育機関における情報セキュリティの高度知

識・実践的なスキルの提供

教育機関等における学生などへのキャリアパス

の提示

資格制度やスキル標準と連携した、セキュリテ

ィ専門キャリアマップの見直し・開発促進

事業者

情報セキュリティの専門知識を持った人材の積

極的な育成

グローバル人材の採用や育成

オフショア開発、海外採用など、海外の人材活

用

産業

全体

産業における教育カリキュラムの検討、教育機

関との連携

優秀な人材を得るためのキャリアプランの形成

と提示

情報セキュリティ産業人材の教育カリキュラム

充実と資金の確保

産官学共同等による最先端人材・イノベーショ

ンを担う人材の育成

教育機関を通じて、情報セキュリティの高度知

識・実践的なスキルの提供

税制等の

財政支援

情報セキュリ

ティ対策推

進・支援税制

の検討

公的

機関

中小企業をターゲットとした、情報セキュリテ

ィ導入負担軽減のための、減税策の維持

127


産業資金

供給の誘

導・促進

情報セキュリ

ティ産業への

供給の誘導・

促進

公的

機関

情報セキュリティ産業の中長期的見通し提示な

ど、投資を促進する情報発信

産業発展・市場発展のシナリオの提示

より積極的な公的産業資金の活用

事業者

積極的な製品化への取組みと様々な資金活用の

検討

技術経営力の強化

ベンチャーキャピタルや公的資金導入に関する

情報収集

産業

全体魅力的な技術を持った企業の存在のアピール

業界にお

ける相互

交流の促

進

IT 業界・情報

セキュリティ

業界における

相互交流の促

進

公的

機関

IT 業界全体の相互交流の場の提供

公的機関による展示・アピール等の機会提供、

展示会等の質的向上

「未踏プロジェクト」等の情報セキュリティ版

などの横展開検討

金融機関、教育機関、ユーザも巻き込んだ様々

なマッチング企画支援

事業者

ベンダ・システムインテグレータなど業態や情

報セキュリティ業界以外の IT 業界全体など、業

態や業種を超えた事業定型の活発化

エンドユーザへの技術アピールの機会の設定

産業

全体

業界を挙げてのエンドユーザへの技術アピール

の機会の設定

スタートアップ企業グループの展示会共同出展

促進

金融機関、教育機関、ユーザも巻き込んだ様々

なマッチング企画

海外特に

アジア進

出支援

政府のアジア

連携政策との

連携

オフショアリ

ングの活用推

進

アジア進出企

業のサプライ

チェーン支援

海外進出の公

的支援と民間

サポート充実

公的

機関

アジアを中心とした情報セキュリティ国際協力

の充実（ASEAN との関係強化等）

海外進出のユーザ企業に対する情報セキュリテ

ィ取組み支援

海外情報セキュリティ関連組織との連携強化に

よる海外進出支援・環境整備

オフショアリング、現地採用、グローバル採用

など多様な人材活用法の支援

情報セキュリティに関し、公的機関によるアジ

ア・アセアン等との情報交換・連携施策の活発

化

公的機関が行うアジア等との連携施策への日本

企業の参加促進

スタートアップ企業等に対する、展示会の共同

出展支援

留学・研修制度等の活用支援

128


海外特に

アジア進

出支援

政府のアジア

連携政策との

連携

オフショアリ

ングの活用推

進

アジア進出企

業のサプライ

チェーン支援

海外進出の公

的支援と民間

サポート充実

事業者

グローバル化・ボーダレス化への積極的な取組

み（輸出、オフショア開発、現地法人設立等の

戦略強化）

日系企業の事業展開に合わせた進出検討

オフショア開発の積極的な取組み（日本の人材

不足の補完等）

留学・研修制度の活用

産業

全体

海外の情報セキュリティ事情や市場動向に関

する情報収集と経営戦略上の検討

グローバル展開をしている日本ユーザ企業への

マーケティング

スタートアップ企業グループによる、展示会の

共同出展機会の提供・支援

129

5. おわりに

社会から犯罪や不法行為がなくならないのと同様に、情報セキュリティに対する攻撃や

脅威もなくならない。技術と社会の変化を映して、それは高度化・複雑化する様相を見せ

ている。これに対するに、技術と経験と知識による備えを浸透させ、常に最新のレベルに

保つ努力が必要になる。そのためには、技術と知恵とノウハウを提供する存在が不可欠と

なり、その供給を担う情報セキュリティ産業の存在は、社会的にきわめて重要であると言

える。

日本における情報セキュリティ産業の実態は、規模は相当に大きいものの、産業構造や

市場構造は複雑で厳しいものがあるのが実態である。産業を支える、産業資金や人材の供

給等の社会的枠組みや、技術開発や人材育成面での行政からのサポート、企業育成施策等

の面において、諸外国等との比較において、日本の政策対応は遅れているといわざるを得

ない実情も確認された。

このような逆境の中であっても、日本の安全保障、経済社会の安全安心な発展とグロー

バル展開は確保していかなければならない。そのためには、サプライサイドである日本の

情報セキュリティの健全な発展と活性化が欠かせない。産業界自身の努力や、広く経済社

会の情報セキュリティへの取組みによる全体としてのレベルアップと好循環の創出も必要

であるが、国際比較の面からも、政策サイドも必要な手立てを講じていく必要がある。

本報告書は、このような視野に立って、ミクロレベルで実態の検証を試み、その見えて

きたものに基づいて、必要かつ有効な施策について、検討すべき課題を示す試みを行った。

本書に示す事例やそれに基づく考察が、日本における情報セキュリティ政策の充実、情報

セキュリティ産業を支える施策の展開、そして日本の情報セキュリティ産業自身の努力を

通じての発展と活性化に資することを期待する。

以上

情報セキュリティ産業の

構造と活性化に関する調査

報告書

作成：２０１１年６月

公表：２０１１年９月

独立行政法人情報処理推進機構

技術本部セキュリティセンター

〒113-6591 東京都文京区本駒込 2-28-8

文京グリーンコートセンターオフィス 16F

Tel: 03-5978-7530

Fax: 03-5978-7546

e-mail: [email protected]

Documents

情報セキュリティ産業の 構造と活性化に関する調査 報告書 - IPA · 2020-05-15 · 3. 高度情報セキュリティ人材教育の機会を一層充実するとともに、かかる人材の社会

情報セキュリティ産業の構造と活性化に関する調査報告書 - IPA · 2020-05-15 · 3. 高度情報セキュリティ人材教育の機会を一層充実するとともに、かかる人材の社会