Comments
Description
Transcript
平成 19 年度 情報セキュリティ市場調査報告書
経済産業省委託調査 平成 19 年度 情報セキュリティ市場調査報告書 平成 20 年 3 月 NPO 日本ネットワークセキュリティ協会 目次 1. はじめに ................................................................................................................................ - 1 - 2. 調査分析結果の概要 .............................................................................................................. - 3 2.1 調査概要 ............................................................................................................................. - 3 2.2 国内情報セキュリティ市場の実態概要 ............................................................................. - 3 2.2.1 情報セキュリティツール市場.................................................................................... - 5 - 2.2.2 情報セキュリティサービス市場 ................................................................................ - 8 2.3 海外市場との比較の概要 ..................................................................................................- 11 2.4 国内情報セキュリティ市場の特性概要 ........................................................................... - 13 3. 調査内容 .............................................................................................................................. - 14 - 4. 調査方法 .............................................................................................................................. - 15 4.1 調査に使用したデータ及び情報 ...................................................................................... - 15 4.2 データポイントの定義 ..................................................................................................... - 15 4.3 市場規模(実績推定値)の算出方法 ............................................................................. - 16 4.4 市場規模の予測値の算定方法 ........................................................................................ - 17 - 5. 情報セキュリティ市場及び分類.......................................................................................... - 19 5.1 情報セキュリティツール・サービスの市場分類定義表 .................................................... - 19 5.2 情報セキュリティツール市場の定義に関する説明 ....................................................... - 25 5.3 情報セキュリティサービス市場の定義に関する説明 .................................................... - 28 - 6 国内情報セキュリティ市場を取り巻く状況及び市場の概要 .............................................. - 30 6.1 市場規模 ......................................................................................................................... - 31 6.2 市場の沿革 ..................................................................................................................... - 31 6.3 成長速度 ......................................................................................................................... - 33 6.4 市場の形成と成長の促進要因 ........................................................................................ - 33 6.5 国内情報セキュリティ市場の特徴点 ............................................................................. - 35 6.6 産業としての課題 .......................................................................................................... - 37 - 7. 国内情報セキュリティツール市場の分析 ........................................................................... - 39 7.1 情報セキュリティツール市場の全体概要 ...................................................................... - 39 7.2 情報セキュリティツール市場のカテゴリ別分析 ........................................................... - 42 7.2.1 統合型アプライアンス市場 ..................................................................................... - 42 7.2.2 アクセス制御製品市場 ............................................................................................ - 44 7.2.3 セキュアコンテンツ管理製品市場 .......................................................................... - 49 7.2.4 アクセス管理製品市場 ............................................................................................ - 55 7.2.5 システムセキュリティ管理製品市場....................................................................... - 60 7.2.6 暗号製品市場 ........................................................................................................... - 66 - 8. 国内情報セキュリティサービス市場の分析 ........................................................................ - 70 8.1 情報セキュリティサービス市場の全体概要 .................................................................. - 70 i 8.2 情報セキュリティサービス市場のカテゴリ別分析 ....................................................... - 74 8.2.1 セキュリティコンサルテーション市場 ................................................................... - 74 8.2.2 セキュアシステム構築サービス市場....................................................................... - 78 8.2.3 セキュリティ運用・管理サービス市場 ................................................................... - 81 8.2.4 セキュリティ教育市場 ............................................................................................ - 85 8.2.5 情報セキュリティ保険市場 ..................................................................................... - 88 9. 海外情報セキュリティ市場との比較 .................................................................................. - 91 - 9.1 市場区分の定義の比較 ................................................................................................... - 91 - 9.2 世界全体の情報セキュリティ市場の概観 ...................................................................... - 92 - 9.3 世界情報セキュリティ市場と国内情報セキュリティ市場の全体比較 .......................... - 93 - 9.4 世界の地域別市場と日本市場の比較 ............................................................................. - 96 9.4.1 北アメリカ市場と日本市場 ..................................................................................... - 97 9.4.2 西ヨーロッパ市場と日本市場.................................................................................. - 98 9.4.3 アジア太平洋地域市場と日本市場 .......................................................................... - 98 9.5 分野別・地域別分布の全体像分析 ............................................................................... - 100 9.6 情報セキュリティソフトウェアのカテゴリ別・地域別比較分析 ............................... - 101 9.6.1 北アメリカ市場と日本市場の比較 ........................................................................ - 102 9.6.2 西ヨーロッパ市場と日本市場の比較..................................................................... - 102 9.6.3 アジア太平洋市場と日本市場の比較..................................................................... - 103 9.6.4 他地域との比較で見た日本のセキュリティソフトウェア市場 ............................ - 104 10. 情報セキュリティをめぐる新しい動きについて .......................................................... - 105 - 10.1 情報セキュリティに関わる最近の動き概観 .............................................................. - 105 10.2 外部からの攻撃の脅威 ............................................................................................... - 105 10.3 内部統制と情報セキュリティ .................................................................................... - 106 10.4 情報セキュリティ監査 ................................................................................................ - 111 10.5 情報セキュリティ対策における ASP/SaaS の市場動向について ...........................- 113 10.6 物理的セキュリティとの連携 .....................................................................................- 117 10.7 セキュリティ対策の実効性評価..................................................................................- 118 10.7.1 PCI DSS ...............................................................................................................- 119 10.7.2 情報セキュリティ格付け制度.............................................................................. - 121 10.7.3 ISO27004 と日本 ISMS ユーザグループの活動 ................................................ - 122 10.7.4 情報処理推進機構の研究レポート ...................................................................... - 123 10.7.5 電子商取引推進協議会によるセキュリティ対策評価モデル .............................. - 124 10.7.6 米国国立標準技術研究所(NIST)からのガイドライン(SP) ....................... - 125 11. まとめ ............................................................................................................................ - 127 - 【付録 1】英文字略語に関する簡単な説明 ............................................................................. - 128 【付録 2】アンケート調査表サンプル ..................................................................................... - 130 - ii 表目次 表 1 国内情報セキュリティ市場規模 実績と予測........................................................... - 3 - 表 2 国内情報セキュリティ市場推計対象企業及びその分布 .......................................... - 17 - 表 3 用語説明 ................................................................................................................... - 19 - 表 4 情報セキュリティツールの市場分類 ....................................................................... - 20 - 表 5 情報セキュリティサービスの市場分類.................................................................... - 23 - 表 6 国内情報セキュリティ市場推移............................................................................... - 30 - 表 7 国内情報セキュリティツール市場規模 実績と予測 .............................................. - 39 - 表 8 国内統合型アプライアンス市場規模 実績と予測 ................................................. - 43 - 表 9 国内アクセス制御製品市場規模 実績と予測......................................................... - 47 - 表 10 国内セキュアコンテンツ管理製品市場規模 実績と予測 ..................................... - 54 表 11 国内アクセス管理製品市場規模 実績と予測 ........................................................ - 59 表 12 国内システムセキュリティ管理製品市場規模 実績と予測.................................. - 65 - 表 13 国内暗号製品市場規模 実績と予測 ...................................................................... - 69 表 14 国内情報セキュリティサービス市場規模 実績と予測 ......................................... - 70 表 15 国内セキュリティコンサルテーション市場規模 実績と予測 .............................. - 76 表 16 国内セキュアシステム構築サービス市場規模 実績と予測.................................. - 80 - 表 17 国内セキュリティ運用・管理サービス市場規模 実績と予測 .............................. - 83 表 18 国内セキュリティ教育市場規模 実績と予測 ....................................................... - 87 表 19 国内情報セキュリティ保険市場規模 実績と予測 ................................................ - 89 表 20 アプライアンスに関する IDC 定義の本調査の定義の対応 .................................... - 92 表 21 情報セキュリティソフトウェアに関する IDC 定義の本調査の定義の対応 .......... - 92 表 22 世界全体の情報セキュリティ市場規模 実績と予測............................................. - 93 表 23 日本の情報セキュリティ市場規模 実績と予測 .................................................... - 94 表 24 日本の情報セキュリティ市場の世界市場に対する比率 ......................................... - 95 表 25 地域別市場区分別構成比 ........................................................................................ - 96 表 26 OECD 加盟国の地域別 GDP 分布 .......................................................................... - 97 表 27 アメリカの情報セキュリティ市場推計 .................................................................. - 97 表 28 西ヨーロッパの情報セキュリティ市場推計 ........................................................... - 98 表 29 アジア太平洋地域の情報セキュリティ市場推計 .................................................... - 99 表 30 世界の情報セキュリティソフトウェア地域別市場規模 実績と予測 ................. - 102 表 31 世界の情報セキュリティソフトウェア地域別市場シェア 実績と予測 ............. - 103 - iii 図目次 図 1 国内情報セキュリティ市場規模の推移 ...................................................................... - 4 図 2 平成 18(2006)年度の情報セキュリティツール市場 ................................................... - 4 図 3 平成 18(2006)年度の情報セキュリティサービス市場................................................ - 5 図 4 情報セキュリティツール市場規模の推移 ................................................................... - 7 図 5 情報セキュリティツール市場の構成比推移 ............................................................... - 7 図 6 情報セキュリティツール市場成長率の推移 ............................................................... - 8 図 7 情報セキュリティサービス市場規模の推移 ............................................................. - 10 図 8 情報セキュリティサービス市場構成比の推移 ......................................................... - 10 図 9 情報セキュリティサービス市場成長率の推移 ..........................................................- 11 図 10 2006 年における世界の情報セキュリティ市場地域分布 ....................................... - 12 図 11 世界の情報セキュリティ市場地域別構成比の推移 ................................................ - 12 図 12 国内情報セキュリティ市場規模の推移 .................................................................. - 30 図 13 平成 18(2006)年度の国内情報セキュリティツール市場 ........................................ - 40 図 14 国内情報セキュリティツール市場推移 .................................................................. - 41 図 15 国内統合型アプライアンス市場推移 ...................................................................... - 44 図 16 平成 18(2006)年度のアクセス制御製品市場 .......................................................... - 45 図 17 国内アクセス制御製品市場推移 ............................................................................. - 48 図 18 平成 18(2006)年度のセキュアコンテンツ管理製品市場 ........................................ - 50 図 19 国内セキュアコンテンツ管理製品市場推移 ........................................................... - 55 図 20 平成 18(2006)年度のアクセス管理製品市場 .......................................................... - 58 図 21 国内アクセス管理製品市場推移 ............................................................................. - 60 図 22 平成 18(2006)年度のシステムセキュリティ管理製品市場 .................................... - 61 図 23 国内システムセキュリティ管理製品市場推移 ....................................................... - 66 図 24 平成 18(2006)年度の暗号製品市場 ......................................................................... - 67 図 25 国内暗号製品市場推移(売上卖位:億円) ........................................................... - 69 図 26 平成 18(2006)年度の国内情報セキュリティサービス市場 .................................... - 71 図 27 国内情報セキュリティサービス市場推移 ............................................................... - 73 図 28 平成 18(2006)年度のセキュリティコンサルテーション市場 ................................. - 74 図 29 国内情報セキュリティコンサルテーション市場推移............................................. - 77 図 30 平成 18(2006)年度のセキュアシステム構築サービス市場 .................................... - 78 図 31 国内セキュアシステム構築サービス市場推移 ....................................................... - 80 図 32 平成 18(2006)年度のセキュリティ運用・管理サービス市場................................... - 82 図 33 国内セキュリティ運用・管理サービス市場推移 .................................................... - 84 図 34 平成 18(2006)年度のセキュリティ教育サービス市場............................................ - 86 図 35 国内セキュリティ教育市場推移 ............................................................................. - 88 図 36 国内情報セキュリティ保険市場推移 ...................................................................... - 90 iv 図 37 情報セキュリティ市場、世界市場と日本市場の市場規模推移の比較 ................... - 95 図 38 情報セキュリティ市場、世界市場と日本市場の構成比推移の比較 ..................... - 100 図 39 内部統制のフレームワーク モデル図 ................................................................ - 108 - v 1. はじめに 情報技術(IT)が経済社会基盤の重要な一角を形成し、また企業・組織の経営・運営のインフ ラとして、さらには個人や家庭の生活の一部を占めるに至るまでに普及し、浸透した今日におい て、そのセキュリティを担保し、情報のセキュリティを確保することは、社会的な課題であり要 請となっている。 政府においては IT 戦略会議の下に情報セキュリティ政策会議が置かれ、その指針に基づいて 第一次情報セキュリティ基本計画が策定され、各種施策が推進されている。経済産業省では、企 業がその経営の中に情報セキュリティを適正に位置づけて取組を推進するための手法として「情 報セキュリティガバナンス1」の視点を打ち出し、情報セキュリティ対策ベンチマーク、情報セキ ュリティ報告書モデル、事業継続計画策定ガイドラインをその具体的推進ツールとして提示する ことで、企業における情報セキュリティへの取組を促している。また、個人情報の紛失・漏洩の 報告が後を絶たない中、企業においては、情報の安全と保護に従来にない関心を寄せるようにな ってきており、ここ数年、ようやく「情報セキュリティ」に対する意識が浸透して来たと言える。 このような状況に対応して、情報セキュリティを技術的側面、人的側面、組織的側面、さらに は物理的側面において実現し、あるいは支援する、様々な製品やサービスが提供されるようにな っている。情報セキュリティ対策は、技術的に個別の脅威に対処する段階から、マネジメントシ ステムとして経営に位置づけ、組織的側面や人的側面にまで目配りを広げるところへ進んでいる。 これに対応する製品やサービスも多様化を進めており、市場の萌芽期において中心的役割を果た した海外製品から、国内ベンダによる製品展開やサービス展開へ産業の厚みも広がって来ている。 その姿を統計的、金額的に明らかにし、産業動向の分析を行って各方面の参考とすることを目 的に、NPO 日本ネットワークセキュリティ協会(JNSA)では、平成 16(2004)年度以来、 「情報 セキュリティ市場実態調査」を実施してきた。これは、経済産業省の「わが国情報セキュリティの 普及度と到達度を明らかにする」ことにより政府の産業政策、ひいては情報セキュリティ政策立案 に資することを狙いとする政策目的に沿って、同省の委託事業として取り組んできたものである が、同時に JNSA として、事業者サイドの事業計画や新規参入計画の立案の参考にもなればとの 狙いから実施しているものである。 政府の「第一次情報セキュリティ基本計画」2は 2008 年度には最終年度を迎える予定で、現在 第二次基本計画の策定作業が進んでいる。その一方で、ネットワーク上や官公署・企業の組織内 部、家庭におけるインターネット利用など、あらゆる面で情報セキュリティリスクは高まり、複 雑化の様相を呈している。また、情報セキュリティ事件・事故に伴う被害は経済的・社会的に拡 大の傾向を見せており、情報セキュリティ確保への一層の取組が必要となっている。 本調査は、情報セキュリティ産業の実態を把握し、我が国における情報セキュリティ対策の普 及の現状を明らかにするための、基礎データの提供を目的としている。それにより、経済産業省 1 2 社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、 情報セキュリティの観点から企業内に構築・運用すること。 (「企業における情報セキュリティガバナンスのあ り方に関する研究会」 平成 17 年 3 月 経済産業省) http://www.meti.go.jp/report/downloadfiles/g50331d00j.pdf 平成 18(2006)年 2 月 3 日政府決定 http://www.nisc.go.jp/active/kihon/ts/bpc01_a.html -1- における情報セキュリティ基盤整備事業の基礎資料として活用されることが期待されるとともに、 官民一体となって情報セキュリティ対策を推進するに際しての課題を整理し、具体策を講ずるた めの参考となれば幸いである。 以下に調査結果を報告する。このうち、2.項は調査結果の要点をまとめたエグゼキュティブサ マリ的記述であり、6.項に市場を全体として見た時の概観を記述している。調査結果及びその解 説並びに分析の詳細は 7.項、8.項に記載し、9.項には海外市場との比較考証を掲載した。また数 値により浮き彫りになる市場の姿の考証とは別の切り口として、今回、情報セキュリティをめぐ る昨今の特徴的、あるいは注目すべき動向をトピック的に 10.項にまとめた。 関係各方面において有意義に活用されることを期待する次第である。 ※本調査報告書について、NPO 日本ネットワークセキュリティ協会でとりまとめた内容に、 経済産業省において修正・加筆を行い、公表時の最新の情報に更新をしたため、平成 20 年 3 月 以降の内容も含まれることにご留意いただきたい。 -2- 2. 調査分析結果の概要 2.1 調査概要 本調査は、国内で情報セキュリティに関する製品やサービスを提供する事業者に対して、平成 19(2007)年 11 月~12 月に実施したアンケート調査をベースに、官民の各種統計や分析資料並び に一部国内事業者へのヒアリング結果を加味して、JNSA 情報セキュリティ市場調査ワーキング・ グループによる検討・推計作業を経てまとめた。その作業結果としてここに報告する数字は、国内 情報セキュリティ市場の金額規模の推定値である。そのデータに、今回の作業過程で得られた情 報と観察に基づいてまとめた、市場動向に関する解説と分析を加えて報告書とした。 また、本調査結果と、民間調査機関が提供する海外市場に関するデータとの国際比較を行った。 2.2 国内情報セキュリティ市場の実態概要 表 1 に国内情報セキュリティ市場の推計結果を示す。 表 1 国内情報セキュリティ市場規模 実績と予測 (金額:百万円、成長率:対前年比増加率) 平成17(2005)年度 国内情報セキュリティ市場推計 (推定実績) 金額 構成比 平成18(2006)年度 (推定実績) 金額 平成19(2007)年度 (実績見込) 構成比 成長率 金額 構成比 成長率 平成20(2008)年度 (予測) 金額 構成比 成長率 情報セキュリティ市場合計 513,899 100.0% 588,726 100.0% 14.6% 656,152 100.0% 11.5% 693,831 100.0% 5.7% 情報セキュリティツール合計 238,677 46.4% 287,503 48.8% 20.5% 323,315 49.3% 12.5% 345,299 49.8% 6.8% 9,823 44,967 98,214 39,022 27,525 19,126 238,677 4.1% 18.8% 41.1% 16.3% 11.5% 8.0% 100.0% 14,479 48,033 114,657 46,706 38,375 25,254 287,503 5.0% 16.7% 39.9% 16.2% 13.3% 8.8% 100.0% 47.4% 6.8% 16.7% 19.7% 39.4% 32.0% 20.5% 18,590 49,758 123,905 52,325 45,259 33,479 323,315 5.7% 15.4% 38.3% 16.2% 14.0% 10.4% 100.0% 28.4% 3.6% 8.1% 12.0% 17.9% 32.6% 12.5% 20,713 6.0% 51,168 14.8% 126,651 36.7% 57,420 16.6% 49,827 14.4% 39,521 11.4% 345,299 100.0% 11.4% 2.8% 2.2% 9.7% 10.1% 18.0% 6.8% 275,212 53.6% 301,223 51.2% 9.5% 332,837 50.7% 10.5% 348,532 50.2% 4.7% セキュリティコンサルテーション セキュアシステム構築サービス セキュリティ運用・管理サービス セキュリティ教育 情報セキュリティ保険 54,701 143,494 60,633 12,374 4,010 19.9% 52.1% 22.0% 4.5% 1.5% 63,485 142,397 71,946 16,331 7,064 21.1% 47.3% 23.9% 5.4% 2.3% 16.1% -0.8% 18.7% 32.0% 76.2% 72,218 145,394 86,267 20,480 8,477 21.7% 43.7% 25.9% 6.1% 2.5% 13.8% 2.1% 19.9% 25.4% 20.0% 77,413 22.2% 140,781 40.42% 96,800 27.8% 24,046 6.9% 9,491 2.7% 7.2% -3.2% 12.2% 17.4% 12.0% 合計 275,212 100.0% 301,233 100.0% 9.5% 332,837 100.0% 10.5% 348,532 100.0% 4.7% 統合型アプライアンス アクセス制御製品 セキュアコンテンツ管理製品 アクセス管理製品 システムセキュリティ管理製品 暗号製品 合計 情報セキュリティサービス合計 平成 17(2005)年度の国内情報セキュリティ市場規模の推定実績値は、 「情報セキュリティツー ル」 (アプライアンスとソフトウェア)が 2,387 億円、「情報セキュリティサービス」が 2,752 億 円、合計で 5,139 億円であったと推定される。 今回調査の基準年度とした平成 18(2006)年度は市場規模が拡大し、推定実績値は、「情報セキ ュリティツール」 が 2,875 億円 (対前年度比成長率 20.5%)、「情報セキュリティサービス」が 3,012 -3- 億円(同 9.5%)で、合計 5,887 億円(同 14.6%)となった。平成 17(2005)年度に初めて 5,000 億円の大台に乗ったものと見られる市場は、平成 18(2006)年度には 15%弱の高い伸びを示して 6,000 億円に近い規模に達したと推測している。 平成 19(2007)年度の実績見込み値は、それぞれ 3,233 億円(対前年度比成長率 12.5%) 、3,328 億円(同 10.5%)となり、合計では 6,562 億円(同 11.5%)となった。その翌年度、平成 20(2008) 年度は、伸び率は鈍化するもののツール、サービス、合計は各々、3,453 億円(対前年度比成長 率 6.8%) 、3,485 億円(同 4.7%) 、6,938 億円(同 5.7%)と、比較的高い成長を続けるものと予 測される。 図 1 に国内情報セキュリティ市場規模の推移を、図 2,3 に平成 18(2006)年度における国内情報 セキュリティツールと情報セキュリティサービス各々の市場区分別分布を示す。 図1 国内情報セキュリティ市場規模の推移 億円 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0 5,887 6,938 5,139 3,012 2,752 2,875 2,387 平成17年度 推定実績 平成18年度 推定実績 情報セキュリティツール市場 図2 6,562 3,328 3,485 3,233 3,453 平成19年度 実績見込 平成20年度 予測 情報セキュリティサービス市場 平成 18(2006)年度の情報セキュリティツール市場 システムセキュリ ティ管理製品 384億円(13.3%) 統合型アプライア ンス 145億円(5.0%) 暗号製品 253億円(8.8%) アクセス管理製品 467億円(16.2%) アクセス制御製品 480億円(16.7%) セキュアコンテンツ 管理製品 1,147億円(39.9%) <(xx.x%)は構成比> -4- 図3 平成 18(2006)年度の情報セキュリティサービス市場 セキュリティ運用・ 管理サービス 719億円(23.9%) 情報セキュリティ 保険 71億円(2.3%) セキュリティ教育 163億円(5.4%) セキュリティコンサ ルテーション 635億円(21.1%) セキュアシステム 構築サービス 1,424億円(47.3%) <(xx.x%)は構成比> 2.2.1 情報セキュリティツール市場 「情報セキュリティツール」市場について、その市場分類の定義等は 5.項に記載するが、表 1 に示す通り、 「統合型アプライアンス」「アクセス制御製品」「セキュアコンテンツ管理製品」「ア クセス管理製品」「システムセキュリティ管理製品」「暗号製品」の 6 カテゴリ(大分類)に分類 して集計した。 (市場分類の定義は 5.項を参照)以下、規模の大きい順に概要を記す。また、図 4, 5, 6 に各々情報セキュリティツール市場のカテゴリ別の規模の推移、構成比の推移、伸び率 の推移を示す。 【セキュアコンテンツ管理製品】 「セキュアコンテンツ管理製品」は、情報セキュリティツール市場のうち金額規模が最も大き いカテゴリである。平成 18(2006)年度推定実績値は 1,147 億円(情報セキュリティツール市場合 計に対する構成比 39.9%)となった。このカテゴリは主としてウイルス対策製品で構成されてい る。ウイルス対策は最も広く普及している3セキュリティ対策である。他の製品は主として企業向 けであるのに対し、ウイルス対策は個人消費者向けにも大きな市場を形成している。この 2 つの 要素により、このカテゴリの市場規模は、他のカテゴリに比べ、格段に大きなものとなっている。 【アクセス制御製品】 「アクセス制御製品」は市場規模としては「情報セキュリティツール」市場の中で二番手に位 置する。平成 18(2006)年度推定実績値は 480 億円(同 16.7%)であった。この分野には、ファイ アウォールと侵入検知・防御製品を含む。各製品がソフトウェアタイプからハードウェア一体型の アプライアンスタイプに移行すると共に、複数機能を統合し 1 台で提供する「統合型アプライア 3 JNSA「IT セキュリティ対策施策の導入・実施状況とその満足度調査」 http://www.jnsa.org/active/2004/active2004_15a.html -5- ンス」 (卖独で別カテゴリに分類)への移行が進んでおり、市場の成長率の面では最も成熟化して いる。 【アクセス管理製品】 「アクセス管理製品」の平成 18(2006)年度推定実績値は 467 億円(同 16.2%)で、 「アクセス 制御製品」とほぼ同規模の市場にまで拡大してきた。このカテゴリには、本人認証のための製品 やシステム、並びに、システムやネットワークへのログオンを管理する製品等が含まれる。この 市場が拡大する背景には、個人情報保護や情報漏洩対策強化を中心に、ユーザの本人確認や、シ ステムやデータへのアクセス管理の必要性が、より強く意識されるようになって来たことが挙げ られる。また、内部統制に関連して管理体制や統制システムの整備が急がれており、システム上 での本人確認と権限管理への需要が拡大していることもこのカテゴリへの強い需要の要因と言え る。 【システムセキュリティ管理製品】 「システムセキュリティ管理製品」の市場規模は平成 18(2006)年度推定実績値が 384 億円(同 13.3%)で、非常に高いペースで市場が拡大したと見られる。 「アクセス管理製品」と同様の理由 で、ネットワーク接続機器・端末におけるアクセス権やセキュリティ設定の状態を管理したり、 権限外のアクションを監視したりする製品の市場が急拡大している。また、内部統制やコンプラ イアンス対応を意識して、ログ管理やデジタルフォレンジック4対応を強化する動きが強まってお り、これらのための製品に対する需要も急増している模様である。 【暗号製品】 「暗号製品」の市場規模は平成 18(2006)年度推定実績値で 253 億円(同 8.8%)であった。この カテゴリも高い市場成長率を示している。情報漏洩対策として、データ暗号化の重要性が強く意 識されるようになってきており、記憶媒体への書き込みに際して暗号化を施す製品の需要を押し 上げている。この背景には、国産ベンダを中心に安価で手軽に導入できる製品の提供が進み、基 本的な情報漏洩対策として導入しやすい点が評価されている面もあると見られる。また、ゲーム 機をはじめとする情報家電に組み込まれる暗号モジュールも、最終製品への需要を反映して市場 を拡大している。 【統合型アプライアンス】 「統合型アプライアンス」市場は平成 18(2006)年度推定実績値が 145 億円(同 5.0%)となっ た。規模は小さいものの平成 17(2005)年度比 47.4%増と、 「情報セキュリティツール」市場の中 では最も高い成長率を示した。1 台の箱を導入して簡卖な設定をするだけで、ウイルス対策、フ ァイアウォール、侵入検知・防御、VPN ゲートウェイ等の様々な機能を一挙に実現でき、導入が 容易で管理の負荷が軽いことから、専任技術者を置くことが難しい中小事業所への導入が急速に 4 コンピュータ犯罪に関する証拠の法的証拠能力を確保するための収集、保全、解析、立証技術等一連の技術並 びに関連するプロセスや理論などを総合的に指す。 -6- 進んでいる。また、普及機クラスの製品価格が下って導入の敷居が低くなっていることも、市場 急拡大の理由として考えられる。 図4 情報セキュリティツール市場規模の推移 0 統合型アプライアンス 200 98 400 600 800 1,000 億円 450 480 498 512 982 セキュアコンテンツ管理製品 390 アクセス管理製品 275 システムセキュリティ管理製品 191 253 335 1,147 1,239 1,267 467 523 574 384 453 498 395 平成17年度 図5 1,400 145 186 207 アクセス制御製品 暗号製品 1,200 平成18年度 平成19年度 平成20年度 情報セキュリティツール市場の構成比推移 0% 10% 平成17年度 4.1% 18.8% 平成18年度 5.0% 16.7% 平成19年度 5.7% 15.4% 平成20年度 6.0% 14.8% 20% 統合型アプライアンス アクセス管理製品 30% 40% 50% 60% 41.1% 39.9% 38.3% 36.7% アクセス制御製品 システムセキュリティ管理製品 -7- 70% 16.3% 16.2% 16.2% 16.6% 80% 90% 11.5% 13.3% 14.0% 14.4% 100% 8.0% 8.8% 10.4% 11.4% セキュアコンテンツ管理製品 暗号製品 図6 情報セキュリティツール市場成長率の推移 0% 5% 10% 統合型アプライアンス 15% 20% 25% 3.6% 2.8% セキュアコンテンツ管理製品 35% 40% 45% 50% 47.4% 28.4% 11.4% アクセス制御製品 30% 6.8% 2.2% 16.7% 8.1% 12.0% 9.7% アクセス管理製品 システムセキュリティ管理製品 10.1% 暗号製品 19.7% 39.4% 17.9% 32.0% 32.6% 18.0% 平成18年度 平成19年度 平成20年度 2.2.2 情報セキュリティサービス市場 「情報セキュリティサービス」市場は、「セキュリティコンサルテーション」「セキュアシステ ム構築サービス」 「セキュリティ運用・管理サービス」「セキュリティ教育」「情報セキュリティ保 険」の 5 カテゴリに分類して集計した。 (情報セキュリティツール同様、その市場分類の定義等 は 5.項を参照)以下、規模の大きい順に概要を記す。また、図 7, 8, 9 に各々情報セキュリティサ ービス市場のカテゴリ別の規模の推移、構成比の推移、伸び率の推移を示す。 【セキュアシステム構築サービス】 「セキュアシステム構築サービス」 の市場規模は平成 18(2006)年度推定実績値で 1,424 億円(情 報セキュリティサービス市場に対する構成比 47.3%)となった。前年度比で、わずかながらマイ ナス成長となった模様である。このカテゴリは、セキュリティ対策をシステムに対して付加する ケースのみでなく、システムインテグレーションに際してセキュリティ機能や対策製品の組込み をする場合の設計、仕様策定、セキュリティシステムの導入、製品の選定並びにそれらの支援活 動といった、いわばセキュリティ SI5的サービスも含めたものである。一方、SI においてセキュ リティを組み込むことが特別のことと意識されなくなる傾向もあり、 「セキュリティサービス」と して数字を切り出す度合が減っている。そのために、需要の実態よりも市場規模として表れる数 字が小さくなり、殆ど成長しないかのような姿になりつつある。 【セキュリティ運用・管理サービス】 「セキュリティ運用・管理サービス」の市場規模は平成 18(2006)年度推定実績値で 719 億円(同 23.9%)となった。このカテゴリには、ネットワーク上の不正や脅威に対して専門家の目で監視 や解析をするサービスを中心に、電子認証サービスや VPN 通信など多様なサービスが含まれて 5 System Integration システム構築 -8- いる。特に、複雑化・巧妙化するネットワーク攻撃の脅威に対して、専門家のノウハウを活用しよ うという考え方が浸透して来ていると見られ、この分野が市場を拡大している。同様の理由で、 ウェブアプリケーションやサーバに、セキュリティ上の脆弱性が潜んでいないかをプロの目と手 法で検査するサービスも着実に需要を伸ばしている。 【セキュリティコンサルテーション】 「セキュリティコンサルテーション」の市場規模は平成 18(2006)年度推定実績値で 635 億円 (同 21.1%)であった。このカテゴリには、全般的コンサルテーションの他、セキュリティポリ シーの構築、セキュリティ監査や診断、公的認証取得支援といった目的を絞ったコンサルテーシ ョン等も含まれており、各々の活用が進んでいる。この分野は、情報セキュリティ対策の根幹で ある情報セキュリティマネジメント、すなわち経営の視点での情報セキュリティ対策への取組に 強く関連するものと考えられ、この分野の普及・拡大は、経営レベルでの情報セキュリティ対策 への取組の浸透を示す尺度として注目される。 【セキュリティ教育】 「セキュリティ教育」の市場規模は平成 18(2006)年度推定実績値で 163 億円(同 5.4%)であ った。前年度比成長率が 32.0%と、情報セキュリティサービスの中では「情報セキュリティ保険」 に次いで突出した伸びを示している。情報セキュリティ対策、特に日常業務の中の些細なミスや 注意から情報漏洩が多発する状況から、企業が一般従業員の情報セキュリティに関する基礎知識 の底上げに積極的に取り組むようになってきたことが、この高い伸びの背景にあると推察される。 【情報セキュリティ保険】 「情報セキュリティ保険」の市場規模は前年度から 76.2%増と急伸して、平成 18(2006)年度に は推定実績値で 71 億円(同 2.3%)となった。「セキュリティ教育」同様情報漏洩事故の多発に対 する対応から、導入が急速に進んでいるものと見られる。市場規模は小さいながら、今後も同様 の理由で高めの伸びが持続すると予測される。 -9- 図7 情報セキュリティサービス市場規模の推移 0 200 400 600 547 セキュリティコンサルテーション 800 635 1,000 1,200 1,400 722 774 1,435 1,424 1,454 1,408 セキュアシステム構築サービス 606 719 セキュリティ運用・管理サービス 968 40 71 85 95 平成17年度 図8 863 124 163 205 240 セキュリティ教育 情報セキュリティ保険 1,600 億円 平成18年度 平成19年度 平成20年度 情報セキュリティサービス市場構成比の推移 0% 10% 平成17年度 19.9% 平成18年度 21.1% 平成19年度 21.7% 平成20年度 22.2% 20% セキュリティコンサルテーション セキュリティ教育 30% 40% 50% 60% 52.1% 47.3% 43.7% 40.4% セキュアシステム構築サービス 情報セキュリティ保険 - 10 - 70% 80% 22.0% 23.9% 25.9% 27.8% 90% 100% 4.5% 1.5% 5.4% 2.3% 6.2% 2.5% 6.9% 2.7% セキュリティ運用・管理サービス 図9 情報セキュリティサービス市場成長率の推移 -10% 0% 10% セキュリティコンサルテーション セキュアシステム構築サービス 7.2% 20% 30% 40% 50% 60% 70% 80% 16.1% 13.8% -0.8% 2.1% -3.2% セキュリティ運用・管理サービス 18.7% 19.9% 12.2% セキュリティ教育 25.4% 17.4% 情報セキュリティ保険 12.0% 平成18年度 32.0% 76.2% 20.0% 平成19年度 平成20年度 以上概観したように、情報セキュリティ市場はここ数年高い成長率を続けて、その市場規模は 5 千億円の大台に達し、平成 20(2008)年度には 7 千億円に近づくものと推測される。個人情報 保護法、内部統制を含むコンプライアンス対応、事業継続管理等の要請と、相次ぐ情報漏洩の脅 威が、企業の情報セキュリティ対策を後押ししている状況と見られる。対策の浸透に伴って、市 場成長率は徐々にモデレートなものになって行くと考えられ、平成 20(2008)年度の対前年度 比伸び率は 6%弱に留まるものと予測する。 2.3 海外市場との比較の概要 世界の情報セキュリティ市場に関する統計データは、米国の調査会社 IDC 社6の日本法人から 提供を受けた世界市場に関する統計データを使用し(日本市場部分は本調査の数値を算入)、その 数値と本調査結果の比較を行った。同報告と本調査の金額対比では、図 10 に示すように、日本 は世界市場の 13%前後を占めるとの結果になった。IT 市場全体では、通常日本は世界の 10 分の 1 と言われるところに比べるとやや高い比率となる。日本の GDP の世界シェアは、OECD 統計 の 2006 年の数値によると 11.9%であり、この比率に対しても日本の情報セキュリティ市場の世 界シェアはやや高めである言える。IDC 社のデータと本調査では、対象とする製品やサービスの 定義では概ね一致すると見られるが、対象とする市場の範囲やデータの収集・分析方法について は共通性の確認ができないため、市場補足率その他での差異が反映している可能性がある。 市場の伸び率に関しては、日本市場は本調査によると平成 18(2006)年度、平成 19(2007)年度、 平成 20(2008)年度各々14.6%、11.5%、5.7%と、その率を下げつつも比較的高い成長を続けると 6 IDC: International Data Corporation http://www.idc.com/ - 11 - いう結果となっている。世界市場は、IDC 社データが 2006 年以降しかないため 2007 年、2008 年のみの成長率しか得られないが、世界全体の 2007 年の前年比成長率は 17.7%ある。2008 年は 5.7%と、本調査における日本市場の成長率と等しくなるが、2007 年度は世界の市場成長率が日 本をかなり上回っている。 図10 2006 年における世界の情報セキュリティ市場地域分布 その他 2,616億円 (5.9%) 日本 <JNSA統計> 5,887億円 (13.2%) アジア太平洋 3,480億円 (7.8%) 北アメリカ 20,277億円 (45.4%) 西ヨーロッパ 12,401億円 (27.8%) <(xx.x%)は構成比> その結果、図 11 に見られるように、日本市場のシェアは 2006 年の 13.2%が 2007, 2008 年に は 12.5%に下がり、ほぼその分を北アメリカ市場のシェア上昇が吸収する形となるが、この点を 除けば、比較可能な 3 年間で地域別シェアの変動はほとんどない。世界全体が平均的にやや高め の成長を続けると言える。 図11 世界の情報セキュリティ市場地域別構成比の推移 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 2006年 45.4% 27.8% 7.8% 13.2% 5.9% 2007年 46.0% 27.8% 7.8% 12.5% 5.9% 2008年 45.9% 27.7% 7.9% 12.5% 6.0% 日本<JNSA統計> その他 北アメリカ 西ヨーロッパ アジア太平洋 - 12 - 2.4 国内情報セキュリティ市場の特性概要 本調査を通じて、国内の情報セキュリティ市場について得られた観測の要点は、次のようにま とめられる。 1. 国内情報セキュリティ市場規模は平成 18(2006)年度時点で、ツール市場とサービス市 場を合せて 5,887 億円となり、前年度の 5,139 億円から 14.6%と高い成長率で拡大し た。<2.2 項参照> 2. 本調査期間の年平均成長率は 10.5%と、最近の日本経済の成長率や IT 産業出荷額の 伸び率に比べても著しく高い伸び率を示しており、急速な拡大が続いている。 <6.1 項、6.3 項参照> 3. 世界的にも市場の拡大速度は速いが、本調査対象期間のうち、海外と比較可能な 2006 年~2008 年の間では、国内市場は世界全体、あるいは世界の各地域市場のどれより も低い成長率を示すという結果になった。<9.4 項参照> 4. アクセス制御製品やセキュアシステム構築サービス等の、市場規模も大きく普及度の 高い製品やサービスが 1 桁台の成長に鈍化、またはマイナス成長となっている一方、 システムセキュリティ管理製品、暗号製品、教育サービス等は 2006 年度には 30%以 上の極めて高い成長を見せており、カテゴリによって市場の成熟度と成長速度に大き な違いがある。<7.1 項、8.1 項参照> 5. 情報セキュリティ対策の重点が、ネットワークへの外部からの脅威に対する防衛か ら、内部からの情報漏洩・流出の未然防止や抑止にシフトしており、システムへのア クセスの管理やデータの暗号化、社員教育等への取組に力点が移っていると見られる。 <7.2 項全般及び 8.2.4 項参照> 6. 情報漏洩対策や IT 統制対応等組織内部に対する対策の需要が拡大するのに対応して、 暗号製品、ログ取得や端末管理に関する製品分野では、国産ベンダの台頭が進んでい ると見られる。ただし、市場の細分化とも関連して、市場セグメント毎の参入企業の 数は必ずしも多くなく、個々の事業規模も限られていると見られる。<6.4 項参照> 7. このように、国内参入企業の事業基盤が万全でないことから、国内産業の存立基盤が 十分とは言えず、産業育成策が課題となると思われる。特に IT ベンチャーからの参 入に対しては、技術開発、市場開発、信用補完等の面での支援が必要と思われる。 <6.5 項- 4.、6.6 項参照> - 13 - 3. 調査内容 本調査の対象は国内情報セキュリティ市場である。本調査では、産業としての情報セキュリテ ィ業界を調べる意味で、市場に参入している供給事業者の側の数値並びに状況を調査対象として いる。 調査方法は 4.項に詳述するが、①アンケート調査、②各種統計資料調査、③ヒアリング調査、 ④サンプリング調査、 等により得られたデータを基に、様々な関連要素を定量化する作業を行い、 推定市場規模を導き出した。 その作業結果として、以下の推定市場規模データを算出した。 (1) 平成 17(2005)年度国内情報セキュリティ市場規模 推定実績値 (2) 平成 18(2006)年度国内情報セキュリティ市場規模 推定実績値 (3) 平成 19(2007)年度国内情報セキュリティ市場規模 実績見込値 (4) 平成 20(2008)年度国内情報セキュリティ市場規模 予測値 市場規模の数値は、市場を製品やサービスの種類ごとにいくつかに分類し、それぞれの金額規 模を推定した上で全体規模を算出するアプローチをしている。そのデータに基づき、市場の解説 と推定結果についての分析並びに説明を加えて、本調査報告を構成した。 また、海外との比較において、上記推定結果がどのような意味を持つのかの分析も試みた。そ のために、既存の国際的統計調査データを利用し、海外市場との比較検討を行った。 推定国内市場データと海外市場データとの比較に関しては以下の比較・分析を行った。 (1) 世界全体の市場規模データと本調査による国内市場推定規模データの比較 (2) 北アメリカ、西ヨーロッパ、アジア太平洋(日本を除く)の各地域の市場規模デー タと本調査による国内市場推定規模データの比較 (3) 市場分野別・地域別の構成比分布に基づく分析 (4) 情報セキュリティソフトウェアの大分類内訳レベルの地域別比較 - 14 - 4. 調査方法 4.1 調査に使用したデータ及び情報 本調査で、主として利用した市場規模に関するデータは以下の通りである。 ①アンケート調査 平成 19(2007)年 11 月から 12 月にかけて、国内で情報セキュリティツールを販売、あるい は情報セキュリティサービスを提供していると目される事業者合計 1,096 社に対して、アン ケート調査を実施し、市場規模算定に関する基礎資料とした。 このうち、情報セキュリティツールについては、流通過程が多岐に渡るため、広く調査対 象とすることで漏れを防ぐと共に、流通構造の模式図を示して自社の立場を回答してもらう ことで、重複を排除する工夫をした。 また、情報セキュリティサービスについては、比較的直接エンドユーザに提供されるケー スが多いと考えられるため、流通構造に係る位置づけや重複は考慮していないが、網羅性を 高めるため、情報セキュリティ関連のサービスに特化した企業の他、他の事業と関連して情 報セキュリティに関するサービスも提供している事業者全てを含むようにした。 調査対象とした年度は、平成 17(2005)年度から平成 20(2008)年度で、基準年度を平成 18(2006) 年度 と した 。平 成 17(2005) ・ 平成 18(2006) 年 度に つ いて は実 績 値を 、平 成 19(2007)・平成 20(2008)年度については、計画値または予測値を記入してもらった。年度区 分については、各年の 4 月から翌年 3 月までを基準とし、極力この期間に対応する数字を回 答してもらったが、年度区分が異なる企業については、直近の年度の数字での回答も可とし た。 アンケートは郵送留置き、郵送回収方式で実施した。アンケートの回収件数は 129 件であ り、回収率は約 12%であった。回答された数値の卖純集計値は、本調査の結果得られた市場 規模推定値に対して約 6.5%となっている。 ②各種統計資料調査 国内の事業所、産業、投資などに関する政府及びその関連機関、並びに民間企業の資料を 調査した。 ③ヒアリング調査 参入事業者のうち、業界の全体像や動向を予測・分析するのに参考になる企業を中心に、 情報セキュリティ事業に関する情報を統括する立場の人たちへのヒアリング調査を実施した。 ④サンプリング調査 アンケートに回答が得られなかった企業のうち、業界の中核を占めると目される代表的企 業については、調査員が個別に、有価証券報告書、ウェブページ、製品資料等の外部公表資 料や傍証的情報からその事業の概要を推定して事業規模を算定し、集計に反映させる方法を 取り入れた。 4.2 データポイントの定義 データのポイントとしては、ベンダからの出荷額ベースで計測しており、流通マージンや付加 - 15 - サービス(流通・販売業者による設定サービス等)は含まない。なお、認証システムやセキュリ ティ情報管理システムのように、全体システムを構成するに際して中核となるシステムの一部が セキュリティ機能を提供する形態のうち、そのセキュリティ機能が、セキュリティ対策全体の核 機能として重要な意味を持つモジュールであるような場合は、集計対象としている。一方、例え ばルータにおけるセキュリティ対応のフィルタリング機能のような、その装置の本来用途からは 付帯的な機能として付加されている場合は集計対象としない。(これらの点に関する判断基準と しては、モジュールやオプションのような形で切り出しが可能で価格付け対象となるか、最初か ら装備されている付加機能かという仕分けも援用している。 ) サービスについても、サービスの提供事業者からの提供価格に基づく集計を行った。集計対象 としたのは、後に示すサービスの定義に該当するサービスの範囲に対応する数字となる。いわゆ るシステムインテグレータが、システムインテグレーションの一部として情報セキュリティに関 するサービス(定義範囲内のもの)を提供する場合は、その部分の売上のみを集計対象としてい る。また、そのようなケースで情報セキュリティツールの設定サービス等がセキュアシステム構 築サービス等の金額に含まれる場合には、例外的にツールの「付加サービス」がサービス売上と して計上され、本調査対象に含まれることがある。 4.3 市場規模(実績推定値)の算出方法 今回調査では、情報セキュリティベンダに対するアンケート調査で得られた集計数値をそのま ま市場規模の数字とはせず、全体集計に際しての利用データの一部と位置づけた。 アンケート方式で数字を把握する場合の問題点として、①調査する側とされる側の製品分類や 定義の差があり、質問に対応する数字を被調査企業で把握していないケース、②関連するサービ スの一部がセキュリティに関わる部分であるが、その部分だけの対価が算出されていないために、 参入有無では参入ありと回答しつつ金額数字の回答がないケース、③主として外資系企業で、情 報開示に関する規制から、日本でのデータが一切公開されないケース 等があり、アンケートの みに依存する、市場の数量的把握には限界がある。 このようなことから、数字的限界を補う意味で、サンプリングによる推定数値を取り入れてい る。アンケート調査対象とした約 1100 社のうち、アンケート回答が得られなかった企業の中で、 市場規模を推計する上で重要と考えられる企業約 260 社を抽出し、事業規模の推定を行った。対 象企業の、本調査における市場区分に対する分布は、表 2 に示す通りである。情報セキュリティ 保険を除き、概ね各市場カテゴリに 60 社から 130 社程度の参入が見られる。 - 16 - 表 2 国内情報セキュリティ市場推計対象企業及びその分布 国内情報セキュ リテ ィ市場 推計対象企業数と分布 調査推計対象(含:アンケート回答129件) 有効推計対象 情報セキュ リテ ィツール全体 (X) 統合型アプライアンス アクセス制御製品 セキュリティコンテンツ管理製品 アクセス管理製品 システムセキュリティ管理製品 暗号製品 情報セキュ リテ ィサービス 全体 ( Y ) セキュリティコンサルテーション セキュアシステム構築サービス セキュリティ運用・管理サービス セキュリティ教育 情報セキュリティ保険 (参考) ツール専業 ( X∩^Y ) ツール・ サービス 兼業 ( X∩Y ) サービス 専業( ^ X∩Y ) 備考 対象企業 総数 308 296 219 63 117 111 114 114 81 A B 42 42 10 22 16 13 15 7 9 6 5 5 7 0 135 97 124 78 8 102 118 76 企業分類 凡例 46 45 39 4 10 12 14 20 12 20 8 6 17 5 0 42 196 C 35 24 7 0 15 6 A:海外ベンダ/日本法人 B:国内ベンダ D E 76 75 62 23 41 37 42 34 28 58 42 35 38 15 36 34 33 14 19 23 22 18 15 16 11 11 11 7 1 17 12 12 3 0 18 15 1 18 G 53 51 0 1 4 17 18 13 47 32 11 26 19 4 0 2 1 8 30 F:コンサル会社 D:SI/NI機能ありの二次・三次販売業者 15 11 3 0 1 0 1 1 2 9 2 0 3 2 21 3 11 10 8 11 2 18 0 E:大手SIer H 19 19 1 1 1 1 1 1 1 19 19 12 12 11 0 1 44 C:流通・販売業者 F 21 19 18 8 12 12 13 14 14 18 15 H:その他 G:サービス提供事業者 なお、A~H の区分は参入企業の主たる業態を示すもので、各々、 A:海外メーカまたはその日本法人 B:国内のセキュリティツールメーカ C:販売店・商社等主として流通機能の企業 D:SI・NI7機能を有する二次・三次販売店 E:SI が主たる付加価値の大手システムインテグレータ F:コンサルティング企業 G:セキュリティサービス提供事業者 H:その他 を意味する。 この区分を導入することにより、市場参入者の立場による分布を見ることができると同時に、 流通構造上の数値計上の重複を回避する参考に役立てている。また、市場の将来予測においても、 流通機能の持つ役割の面から成長度合を加減するに際して有効なパラメータの役割を果たしてい る。 4.4 市場規模の予測値の算定方法 平成 19(2007)年度、平成 20(2008)年度の市場規模推定にあたっては、平成 18(2006)年度の市 場規模実績値の推定値を基に、いくつかの要素を加味して推計作業を行った。 ベースとしては、アンケート調査にベンダが回答した事業計画あるいは売上予測の数値と、そ の成長率のデータを用いた。今回のアンケートでは、予測値または計画値については、実数によ 7 NI:Network Integration, ネットワーク構築 - 17 - る回答が得られにくいことから、事業規模と売上成長率について、数字の幅で区分を区切り、そ の区分により回答を求める試みを行った。これにより、市場区分ごとの事業規模や成長度合の程 度を理解する参考とした。また、同じくアンケート調査の最後には、自社の事業だけでなく、業 界としての動向、顧客の関心の向いている分野について、回答企業がどう見ているかを問うた。 これにより、供給サイドや需要サイドのマクロの方向感を得るための参考にした。 また、各市場区分(セグメント卖位)での動向もしくは傾向(市場としての伸びの強度)や、 各業態(上記表 2 におけるA~Hの区分)における事業展開のマクロ的趨勢を変動パラメータと して加味することで、市場変化の予測値をダイナミックにシミュレーションするアプローチを試 みた。 - 18 - 5. 情報セキュリティ市場の分類及び定義 今回情報セキュリティの市場規模をベンダ側の数字を基に算出するに際して、市場の区分とし て、 「ツール」と「サービス」という、特性の異なる二つの市場を定義した。各市場は、それぞれ を更に大分類、中分類の 2 段階で区分した。以下、便宜的に大分類レベルの各市場区分をカテゴ リ、中分類レベルのそれをセグメントと呼ぶ。 「ツール」とはハードウェア製品もしくはソフトウェア製品である。 「製品」という表記ではソ フトウェアライセンスが含まれないイメージとなることを避けるため、「ツール」という表現とし ている。また、サービスに対応する「有形物」のイメージとしてもなじみやすいと考えた。ビジ ネスモデル的には卖価と数量により定義が可能で商品的に取引され流通する形態のものが中心で ある。ただ、一部のソフトウェア商品は、ダウンロード販売のように、物の形を取らないまま取 引される場合もある。 「サービス」は、 「ツール」のように「モノ」としてのやり取りが存在せず、無形の役務提供を ビジネスモデルとするものを、基本的に対象としている。「サービス」は、定期開催型教育や検査 サービスのように定型化・メニュー化され定価設定されるパターンのものと、システム構築やカ アイタイ スタムコンサルテーションのように、供給者と需要者の個別的・相対的取引で提供され消費され るビジネスモデルの 2 パターンを想定している。ただし、市場区分においてこのパターンを分類 の基準とはしていない。取引形態よりはサービスの目的、提供する機能の種類を基準として分類 している。 本調査で用いた市場分類体系は、以下に示す通りである。5.1 にその一覧表を、5.2 に各大分類 レベルの市場区分に対する簡卖な説明を記す。 5.1 情報セキュリティツール・サービスの市場分類定義表 表 4、表 5 に、本調査のアンケート調査に際して使用し、回答者に示した「情報セキュリティ ツール」 「情報セキュリティサービス」の市場区分とその定義もしくは説明・例示等の一覧表を掲 げる。なお、表 3 には、表 4、表 5 で使用した用語・略号等の説明を載せた。 表 3 用語説明 アプライアンス ソフトウェア AV FW IDS IPS PKI SSL URL VPN ハードウェアとソフトウェアを一体として特定の機能を提供する販売形態をとる製品 パッケージ製品、ダウンロード製品、ライセンス販売製品等、定型化されたもの 一部カスタマイズの場合は対象に含め、完全な個別開発ソフトウェアは含まない アンチウイルス ファイアウォール イントリュージョンディテクションシステム(侵入検知システム) イントリュージョンプリペンションシステム(侵入防止システム) パブリックキーインフラストクチュア(公開鍵暗号基盤) セキュアソケットレイヤー。暗号通信の一方式 ユニファイドリソースロケーター。統一資源位置指定子 バーチャルプライベートネットワーク - 19 - 表 4 情報セキュリティツールの市場分類 大分類 統合型アプライアンス 「アクセス制御製品」と「セキュア コンテンツ管理製品」に分類され る機能を共に備え、二つ以上の 大分類カテゴリにまたがる機能を 1 台(またはセット)で提供するア プライアンス製品。 アクセス制御製品 主としてネットワークの境界付近 に配置して通信のハンドリングま たはモニタリングを行い、設定に 基づいて通信の許可・不許可、ア ラート、ログ生成等、通信の制御 と管理を行う製品。 主としてファイアウォール、VPN 製品、侵入検知・侵入防止製品 (IDS/IPS)等を含む。 中分類 統合型アプライアンス ファイアウォール・アプ ライアンス ファイアウォール・ソフト ウェア(企業向けライセ ンスタイプ) ファイアウォール・ソフト ウェア(デスクトップ FW) VPN ソフトウェア VPN アプライアンス IDS/IPS アプライアン ス - 20 - 定義、説明、例示 等 アンチウィルス・アンチワーム(スパム対策・フィッシング対 策機能を併設するものを含む), FW, IDS/IPS, VPN のう ち、少なくとも二つ以上の機能を装備したアプライアンス製 品。(いわゆる「複合脅威対策」<Unified Threat Management =UTM=>製品でアプライアンス型であるもの) ただし、FW と VPN だけの組み合わせはファイアウォール・ アプライアンスに含める。 ネットワーク上の通信を解析し、送信元アドレス、送信先ア ドレス、プロトコルの種類、ポート番号、通信のステータス 等の情報に基づき、あらかじめ設定されたルールまたはポ リシーに従って、通信の許可、遮断、制御を行う製品のう ち、アプライアンス型製品。 VPN 機能を併設するものを含む。 ネットワーク上の通信を解析し、送信元アドレス、送信先ア ドレス、プロトコルの種類、ポート番号、通信のステータス 等の情報に基づき、あらかじめ設定されたルールまたはポ リシーに従って、通信の許可、遮断、制御を行う製品のう ち、ソフトウェア型製品で、サーバ型トポロジーで使用され るもの。 VPN 機能を併設するものを含む。 ファイアウォール・ソフトウェアであって、クライアント上で動 作する製品。(デスクトップファイアウォール、パーソナルフ ァイアウォール等)クライアント用アンチウイルス機能を併 設するものはアンチウイルスに分類。 VPN 機能を併設するものを含む。 ネットワーク上の通信に暗号化処理を施して、通信系路上 で第三者からの盗み見、改ざん等を防止し、閉じたネットワ ークのような通信を可能にする機能を提供するソフトウェア 製品。サーバ(ゲートウェイ)型、クライアント型の双方を含 む。SSL-VPN を含む。 ファイアウォールに VPN 機能が付帯する場合はファイアウ ォールに分類。 ネットワーク上の通信に暗号化処理を施して、通信系路上 で第三者からの盗み見、改ざん等を防止し、閉じたネットワ ークのような通信を可能にする機能を提供するアプライア ンス型製品。SSL-VPN を含む。 ファイアウォールに VPN 機能が付帯する場合はファイアウ ォールに分類。 侵入検知<Intrusion Detection System =IDS=>・侵入防止 <Intrusion Prevention System または Intrusion Protection System =IPS=>、すなわち、ネットワーク上の通信の内容や 状態を一定のアルゴリズムに基づき判断し、侵入もしくは 攻撃と判断される通信に対して報告・警告・遮断・監視・ロ グ記録等の対策を行う製品のうち、アプライアンス型製品。 セキュアコンテンツ管理製品 1.コンピュータ・ウィルスその他 の不正プログラムを、ファイル等 の電子データやメール等のコンピ ュータ通信の中から検出し、排 除・無害化・警告等の対策を講じ る機能を持つ製品群。 2.システム・業務・サービスの目 的にとって有害な情報をもたらす 電子メールや通信やコンテンツを フィルタリングし、あるいは警告・ 排除その他の対応を行う機能を 持つ製品群。 3.ファイル等のコンテンツに関し て、その閲覧・複製・編集・印刷等 の利用・処理について監視・制御・ 制限・記録等を行うことによって、 コンテンツの保護や意図に反する 利用の防止を行う。 アクセス管理製品 ネットワーク資源、コンピューティ ング資源のユーザを電子的手段 で特定し、予め設定されたルール に基づいて、ネットワーク資源・コ ンピュータ資源へのアクセスや利 用の許可を行う機能を提供する 製品群。 本人特定(アイデンティファイ)と 認証、アクセス権限の付与と管 理、電子証明の発行と管理等の 機能を提供する。 いわゆる Authentication, Authorization, Access Control の 機能を提供する製品群。 IDS/IPS ソフトウェア 侵入検知<Intrusion Detection System =IDS=>・侵入防止 <Intrusion Prevention System または Intrusion Protection System =IPS=>、すなわち、ネットワーク上の通信の内容や 状態を一定のアルゴリズムに基づき判断し、侵入もしくは 攻撃と判断される通信に対して報告・警告・遮断・監視・ロ グ記録等の対策を行う製品のうち、ソフトウェア型製品。 アプリケーションファイ アウォール アプリケーションサーバへのネットワーク通信を監視・解析 し、不正侵入その他攻撃・悪用を目的とする通信に対して 報告・警告・遮断・監視・ログ記録等の対策を行う製品。(ア プライアンス型、ソフトウェア型の双方を含む) 典型的例として、Web アプリケーションファイアウォールが ある。データベースサーバの保護を主目的とするものを含 む。 その他のアクセス制御 製品 外部ネットワーク(インターネット等)から内部ネットワークに 対して行われる、不正侵入、盗聴、不正プログラムの挿入 などの攻撃に対して、検知、防御、抑止、警告などの防衛 の機能を提供する製品で他の中分類に属さないもの。 アンチウィルス・アンチ ワーム・ソフトウェア(企 業向けライセンス契約) /アプライアンス アンチウィルス・アンチ ワーム・ソフトウェア(個 人ユーザ向けパッケー ジタイプ) アンチスパム・ソフトウ ェア/アプライアンス URL フィルタリング・ソフ トウェア/アプライアン ス メールフィルタリング・ソ フトウェア/アプライア ンス ゲートウェイ型、サーバ型、クライアント型の全てを含む。 クライアント型の場合は、FW、IDS、アンチスパム、URL フィ ルタリング等の機能を併設するものを含む。 FW、IDS、アンチスパム、URL フィルタリング等の機能を併 設するものを含む。 アンチウィルスソフトウェアにこの機能が併設される場合 は、アンチウイルスに分類する。 アンチウィルスソフトウェアにこの機能が併設される場合 は、アンチウイルスに分類する。 アンチウィルスソフトウェアにこの機能が併設される場合 は、アンチウイルスに分類する。 アンチフィッシング・ソフ トウェア/システム アンチウィルスソフトウェアにこの機能が併設される場合 は、アンチウイルスに分類する。 その他のセキュアコン テンツ管理製品 いわゆる Digital Rights Management(DRM)製品を含む。 個人認証用デバイス及 びその認証システム 個人認証用生体認証デ バイス及びその認証シ ステム ログオン管理/アクセ ス許可製品 PKI システム及びそのコ ンポーネント - 21 - ワンタイムパスワード、IC カード、USB キー、携帯電話等を 用いて本人確認する機能を提供するデバイス及びそのシ ステム(生体認証を除く)。 指紋、静脈等の生体の特長のみならず、声紋、筆跡等身 体的特徴に着目して本人を特定する機能を提供するセン シングデバイス及びその認証システム。 ユーザがシステムにアクセスする際の承認・許可機能を持 つ製品分類。シングルサインオン等を含む。 但し、個人認証用及び個人認証用生体認証デバイスと一 体で機能するシステムは当該各デバイス及び認証システ ムに分類する。 電子証明書の発行、管理、証明サービスを提供するシステ ム及びその構成要素。 但し、構築サービス(SI)は含まない。 その他のアクセス管理 製品 システムセキュリティ管理製品 1.ネットワークやコンピュータを 構成する機器やデバイスの情報 を入手し、その状態や属性や設 定や動作の監視・診断・制御・記 録等の機能を持つ製品群。 2.ファイル等の電子データの移 動・複製・編集その他の処理を中 心としたコンピュータの動作につ いて監視・制御・記録・警告等を する製品群。 3.ネットワークに接続するデバイ スの設定状態等を確認し、接続 の可否を制御・管理する機能を持 つ製品群。 4.その他、コンピュータとネットワ ークの状態や動作をセキュリティ 面から管理する機能を持つ製品 群。 暗号製品 データの暗号化を主たる機能とす る製品群。 通信経路に対する防御を主目的 に通信の暗号化を行う、いわゆる VPN 製品は、「アクセス制御製 品」に分類する。 セキュリティ情報管理シ ステム/製品 脆弱性検査製品 アイデンティティ管理製品、ディレクトリ製品等を含む。 FW 等のセキュリティ監視・制御装置またはサーバのログ等 の情報を統合・監視・分析し、ネットワークシステムのセキュ リティ状態を総合的に管理する機能を持つ製品及びシステ ム。 統合ネットワーク管理プラットフォームのうちセキュリティ管 理モジュールの製品部分も統計対象とする。 検査対象となるサーバ等に対し、スキャニングや擬似攻撃 を行い、脆弱性や設定の不備等、危険事項を検査し報告 する製品群。いわゆるネットワークスキャナー。 ポリシー管理・設定管 理・動作監視制御製品 1.OSやアプリケーションの設定、パッチ適用、バージョン 等を監視・管理する製品群 2.クライアントマシン等におけるファイルのコピー・印刷そ の他の操作を監視・制限・制御等する製品群。 3.クライアント PC 等の識別情報やインベントリ情報等に基 づきネットワーク接続を管理・制御する製品・システム。 4.その他個別のマシンの設定、状態、動作等に着目して セキュリティを管理する製品群。 5.いわゆる「ネットワーク検疫システム」における機器認証 サーバを含む。原則として単体製品またはネットワーク制 御装置等のオプションとして取引対象となる製品形態のも のを対象とし、その機能がルータ等の一部にデフォルトとし て組み込まれている場合は対象外とする。 その他のシステムセキ ュリティ管理製品 デジタルフォレンジック製品、セキュリティ目的のログ収集・ 保管・解析製品等を含む。 ただし、ログ収集・解析機能を提供する製品のうち、リアル タイム監視を主目的とする製品は「セキュリティ情報管理シ ステム/製品」に分類し、当分類では主に傾向解析等スタ ティックな目的のものを対象とする。 データ暗号化製品 メール、ファイル、ディスク、記憶デバイス等のデータを暗 号化することで権限外使用、覗き見、改ざん、漏えい等を 防止することを主たる機能とする製品群。 暗号化ミドルウェア 暗号ライブラリ等の中間製品で単独で取引されるもの。 その他の暗号製品 暗号化することでセキュリティの目的を満たすことを主たる 機能とする製品で上記に属さないもの。 - 22 - 表 5 情報セキュリティサービスの市場分類 大分類 セキュリティ・コンサルテーション 1.情報セキュリティについ て、主として経営管理及びIT 管理の領域において、管理の ための政策、管理体系、運用 体系等の構築、診断、監査に 関する支援やコンサルティン グを行うサービス。 2.これらに関連する規格認 証枠組みに対応して認証取得 を目指す場合の支援サービス 及び規格等の審査・認証サー ビス。 3.これらに類似または直接 関連するコンサルティングサ ービス。 中分類 定義、説明、例示 等 セキュリティポリシー 構築支援 セキュリティ管理全般 のコンサルテーション 情報セキュリティポリシーや管理・運用基準等の構築 サービス。 セキュリティの管理の体制や手順に関する総合的コ ンサルティングサービス。 ポリシー、システム、管理体制、コンプライアンスの現 状に対して診断または監査を行うサービス。 IT システムの弱点を擬似ネットワーク攻撃等で検査 するサービスは「セキュリティ運用・管理サービス」の 中に位置づける。 ここでは管理体制等に対する総合的診断サービスを 主体とするサービスを対象とする。 情報セキュリティ監査、ISMS、プライバシーマーク等 の適合認証取得を支援するサービス。 情報セキュリティ監査、ISMS、ISO、プライバシーマ ーク等の適合認証申請に対して審査し、認証等を付 与するサービス。 その他の情報セキュリティ管理に関するコンサルティ ングサービス。 セキュリティ診断・監 査サービス セキュリティ認証取得 支援サービス セキュリティ認証・審 査機関(サービス) その他のセキュリティ コンサルテーション セキュアシステム構築サービス ITセキュリティシステム、また はITシステムのセキュリティに ついて、構築を支援するサー ビス。 ただし、セキュリティツールや そのプラットフォーム自体の価 格は含めず、その導入や構築 といった役務・サービス部分を 集計対象とする。 セキュリティ運用・管理サービス 1.ITセキュリティシステム、ま たはITシステム上のセキュリ ティ対策機器等の運用や管理 の支援を行い、状態の監視、 安全対策に対する診断、イン シデント等に際しての判断や 対応の実施や支援を行うサー ビス。 2.ITシステムの運用等に関 IT セキュリティシステ ムの設計・仕様策定 ITシステムのセキュリティについて、その設計、仕様 の定義、要求条件の設定等の全体の枠組み、あるい は特定機能の内容について策定するサービス。 IT セキュリティシステ ムの導入・導入支援 ITセキュリティシステムまたはITシステムのセキュリ ティに関する、システムインテグレーションサービス。 原則として設計部分を除く導入部分のみとするが、 両者が不可分の場合はこの分類に集計する。 セキュリティ製品の選 定・選定支援 顧客のポリシーや要求条件に基づいて、それに適し たITセキュリティ対策製品を選定し、またはそのため の情報提供等の支援を行うサービス。 その他のセキュアシ ステム構築サービス その他の IT セキュリティシステム構築サービス。 セキュリティ総合監 視・運用支援サービ ス ネットワークシステムのセキュリティ状態を総合的に 監視し、またその運用を支援するサービス。 関連するログ解析サービスを含む。 ウイルス監視・フィル タリング・運用支援サ ービス コンピュータウィルス等の不正プログラム等に対して 監視やフィルタリングを行い、またその運用を支援す るサービス。関連するログ解析サービスを含む。 IDS/IPS 監視・運用 支援サービス IDS/IPS システム等の運転状況やアラート等を監視 し、またその運用を支援するサービス。 関連するログ解析サービスを含む。 - 23 - 連する各種の情報・利便・機 能等を提供するサービス。 ファイアウォール監 視・運用支援サービ ス ファイアウォール等の運転状況やアラート等を監視 し、またその運用を支援するサービス。 関連するログ解析サービスを含む。 脆弱性検査サービス IT システムの脆弱性やアプリケーションのセキュリテ ィホールに対して、侵入検査等の擬似攻撃手法やコ ードの解析等によって検査・診断するサービス。 セキュリティ情報提供 サービス 電子認証サービス インシデント対応関 連サービス その他の運用・管理 サービス セキュリティ教育 情報セキュリティに関連する 知識やスキルの習得、並びに 情報セキュリティ関連の資格 取得のための教育、研修に関 するサービス。 セキュリティコンサルテーショ ンやセキュアシステム構築サ ービスの一環として社員や運 用担当者等に実施する教育 はそれらのサービスの一部と とらえ、「セキュリティ教育サー ビス」には集計しない。 情報セキュリティ教育 の提供サービス セキュリティ教育の e-ラーニングサービ ス セキュリティ資格認定 及び教育サービス その他のセキュリティ 教育サービス セキュリティ保険 情報セキュリティ並びにITセキ ュリティに関する損害を補償 する保険。 情報セキュリティ保険 - 24 - インシデント、脆弱性、パッチその他の IT セキュリティ に関する情報を提供するサービス。 Web、メールニュース、レポート、出版等、媒体種類を 問わない。 電子証明書の発行・認証、無改ざん保証、否認防 止、タイムスタンプ証明等の電子的証明やそれに関 連するサービス。 情報セキュリティ・インシデントに際しての緊急対応や 復旧に関する専門的スキルを提供するサービス、並 びにいわゆるデジタルフォレンジックに係る専門的ス キルを提供するサービス。 ただし上記の各監視・運用支援サービスと一体のも のとして提供される場合はその分類に集計する。 その他の、情報セキュリティの運用・管理に関するサ ービス。 情報セキュリティ教育の提供・実施サービス。 教師が実施する集合教育・実地教育・演習等のサー ビス提供の形態、並びにセキュリティ教育の内容ま たは教材(いわゆるコンテンツ)の販売もしくはライセ ンス提供を行う形態の双方を含む。 e-ラーニングのコンテンツ提供のみを行う場合を含 む。 セキュリティ資格関連のサービスは「セキュリティ資 格認定及び教育サービス」に分類する。 e-ラーニングのコンテンツ提供のみを行う場合は「情 報セキュリティ教育の提供サービス」に含む。 原則として、e-ラーニングのためのシステム(ソフト・ ハード)部分の価格は含まないものとするが、コンテ ンツと一体不可分の場合はコンテンツ価格に含むこ とも可。 セキュリティ資格関連のサービスは「セキュリティ資 格認定及び教育サービス」に分類する。 その他の情報セキュリティ教育に関するサービス。セ キュリティ教育を直接の目的としたコンサルテーショ ンやシステム構築サービスを含む。 情報漏洩等の情報セキュリティ並びにネットワークを 中心としたITシステムのインシデントに起因する損害 を補償することを主たる機能とした保険。 5.2 情報セキュリティツール市場の定義に関する説明 「ツール」については、ハードウェアとソフトウェアの両方を含むものとし、製品・商品化さ れて販売されているものを対象とした。製品カテゴリとしては「統合型アプライアンス」、 「アク セス制御製品」 、 「セキュアコンテンツ管理製品」、 「アクセス管理製品」、「システムセキュリティ 管理製品」 、 「暗号製品」の 6 区分(大分類)とした。 1. 統合型アプライアンス 「統合型アプライアンス」は、ハードウェアとソフトウェアを一体化して一つの製品と して販売する製品形態である「アプライアンス」製品の中で、二つ以上のカテゴリにまた がる機能を複数統合して一つのアプライアンス上に実現する製品と定義した。 従来からファイアウォールと VPN ゲートウェイを一体で実現する製品は、アプライアン スとソフトウェア製品とを問わず多く見られたが、近年これに留まらず不正侵入監視やウ イルス監視機能を併設し、1 台でほとんどの防御機能を実現する製品が登場してきている。 これらの製品は、市場で UTM(Unified Threat Management =統合脅威管理=)と総称す る呼び方も一般的になりつつある。このため卖純に特定機能分類に仕分けすることができ ず、卖一カテゴリとして定義することとした。このカテゴリは、複数機能の統合と共に、 コンパクトなハードと一体化して提供するという特徴も指摘できると考える。 このタイプに限らず、ハードウェアの高機能・低価格化と入手の容易さが進むに連れて、 ユーザの利便性や保守の簡便性から、アプライアンスへ向かう動きが全般的に強まってお り、様々なセキュリティ機能がアプライアンスによって提供されるようになっている。帯 域管理にプロキシ、パケットフィルタリング、URL フィルタリング、コンテンツフィルタ リング等を組み合わせるようなものも登場している。また、内部ネットワークのスキャン と同時にウイルスやスパムのチェックを行うようなタイプの製品も見かけるようになった。 このように様々なバリエーションを持った複合機能のアプライアンスも登場しているが、 ファイアウォールの発展型である UTM が主流であるところから、特に中分類では区分せず、 「統合型アプライアンス」として、卖一セグメントのカテゴリとして定義した。 2. アクセス制御製品 「アクセス制御製品」は、主として外部からの不正な侵入・アクセスを防ぐファイアウ ォール、VPN(Virtual Private Network 仮想私設通信網)、IDS/IPS(Intrusion Detection System 侵入検知システム、Intrusion Prevention System 侵入防御システム)の 3 種類の 製品分類を含む。 このうちファイアウォールは組織の内外のネットワークの境界において、あらかじめ設 定されたルールに従って通信をチェックし、ルールに沿ったもの以外の通信を遮断したり、 制限したりする機能を提供する。これに対して IDS は、たとえ許可された通信であっても、 それが不正な通信パターンやネットワーク攻撃に特有の特徴を含む通信である場合にはそ れを検知し、警報を発したり記録を保全したりする機能がある。IPS は、そのようなケー スにおいて自動的に通信を遮断したり制限したりする機能を併せ持った製品と定義できる。 - 25 - いわゆる検疫ネットワークと呼ばれる製品やソリューション(個別機能の組合せで目的 とする複合機能を実現するもの)が供給され、普及し出している。呼称も NAC(Network Access Control)という呼び方が一般的になりつつある。一時的にでもネットワークの外に あった可搬型 PC 等が、ウイルス等に汚染されたままネットワークに接続すると、そのネッ トワークにウイルス感染を引き起こすことがある。それを防止するために、ネットワーク への接続を実現する前に、その PC 等のウイルス感染状態や、OS のパッチの適用状態その 他のポリシー遵守状態をチェックするのが、検疫ネットワークあるいは NAC である。従来 は複数機能の組合せにより実現する場合も多く、1 つの製品セグメントに分類することが困 難であったが、供給側がパッケージ化する例も増加している。今年度調査では、前回同様 「その他アクセス制御製品」の区分に入れて集計している。 3. セキュアコンテンツ管理製品 このカテゴリは、コンテンツ、すなわち情報の中身そのものに関するセキュリティを保 護する製品のグループである。本調査では、ネットワーク通信に関して、その通信目的を コントロールすることを主目的とするものを、前述の「アクセス制御」と定義し、通信内 容について不都合の有無をチェックすることを主目的とするものを「セキュアコンテンツ 管理」と定義した。ネットワークを介して伝播するウイルス、ワーム、スパイウェアなど の悪意あるプログラムを検知・排除する、いわゆるアンチウイルス製品、スパムメールや フィッシングに対するコントロール(管理・制御)やフィルタリング(選別)を行う製品、 メールの内容をチェックしたりログ(動作記録)を取ったりして情報漏洩等を防止する製 品、更には有害ウェブサイト等特定の情報源(リソース)へのアクセスをデータの内容を 検査して防ぐ製品等がある。 つまり、ファイルやメールや通信の内容に対するチェックやコントロールを提供する製 品のグループである。データそのものの保護については、「暗号製品」に分類している。な お、いわゆる Digital Rights Management (DRM)と呼ばれる製品群があり、 「その他セキ ュアコンテンツ管理製品」に含めた。DRM とは、コンテンツの利用の態様に対してコント ロールをかけるもので、利用する人の属性、方法、時間、場所、回数等によってコントロ ールすることで、権利者の意図する範囲と方法での利用を担保する目的で使われる。これ は内容の保護を同時に実現する場合も多いがそれが必然ではなく、暗号を伴わないケース もあることから、 「セキュアコンテンツ管理製品」のカテゴリに含めることとした。 4. アクセス管理製品 「アクセス管理製品」は、情報システムやネットワークに対してユーザがアクセスする 際に、本人であることを認証し、そのユーザに与えられた権限の範囲内で情報資源にアク セスさせることを保証する一連の製品である。各種認証デバイス(装置・機器)並びにそ の認証システム、ログオン管理・アクセス許可システム、ディレクトリシステム、アイデン ティティ管理システム、ディレクトリ管理システム、PKI 関連システム、シングルサイン オンシステムなどがこのカテゴリに含まれる。 - 26 - なお、このカテゴリの呼称について、この種の機能を「アクセス制御」と呼ぶケースが 多い。これは Access Control の訳に由来すると考えられる。Control は日本語として管理 とも制御とも訳し得るが、本調査では必ずしも制御が目的ではなく管理と表現することが 適当と判断して「アクセス管理」としている。ファイアウォール等の方が、 「アクセス」の 意味は異なるがより「制御」に近い機能であると考えるからである。後者を「ネットワー クセキュリティ製品」と呼ぶ例もあるが用語のレベルの整合性がない。また「通信制御」 「ト ラフィック制御」等の呼称は通信やそのトラフィック全体の管理や制御を目的とする製品 との区別が困難になる。このような検討から、「アクセス制御」「アクセス管理」という区 別をしている。特に認証・ログオン管理系については「アクセス管理」がより正確な呼び方 と言えるのではないかと考える。 5. システムセキュリティ管理製品 「システムセキュリティ管理製品」とは、主にシステム全体のセキュリティ情報を監視 して統合管理と統計処理を行い、その結果を統合表示したり、異常に対してアラート(警 報・警告)を出したりする製品である。システム全体に関して、ある判断基準に従いチェ ックを行い、ポリシーへの準拠性を確認する製品(いわゆるコンプライアンス管理製品) や脆弱性検査製品(いわゆるスキャニングツール)等が含まれる。 これらの製品が登場した背景には、ネットワークの防御がファイアウォールに象徴され るような「点」の守りだけでは十分でなく、複数のポイントにおける情報から統合的かつ 一元的に管理しなければならないという問題意識がある。特に、最近頻発する情報漏洩の 教訓からネットワーク内部の管理・監視も不可欠であるという理解、更にはネットワーク 全体のセキュリティレベルの維持には、ポリシーレベルでの一貫性をもった統合管理が不 可欠であるという理解の浸透に伴い、需要を伸ばしている。 ネットワークの主要資源を一元管理する思想はネットワーク統合管理プラットフォーム のアーキテクチャには以前から取り込まれていたが、セキュリティに着目し、かつ卖にセ キュリティインシデント8だけでなく状態管理も含めた考え方が普及して来たのは最近であ る。 また、情報漏洩対策が強く意識される中で、従業員の個別のファイル操作に直接的な制 限をかけるニーズが高まっている。具体的には、CD、DVD、USB メモリ等の取り外し可 能な外部記憶への書き込みや印刷を制限したり監視したりする仕組みのものが多い。この ような製品は「ポリシー管理・設定管理・動作監視制御製品」に分類して集計対象としてい る。 また、情報漏洩問題や内部統制問題を意識する中で、万一の場合の証拠の収集や保全に 対しても必要性が意識されるようになっており、 「デジタルフォレンジック」という領域と して確立しつつある。このための製品の例としては、全ての通信やログを安全に記録・保管 8 「インシデント」は出来事、事件のような意味。情報セキュリティに関してはウイルス感染、不正侵入、情報 漏洩、秘密情報の紛失等の事件・事故・事案を総称して情報セキュリティインシデントまたは卖にインシデント と言う。 - 27 - するための製品群や、事故等が起った端末のハードディスクの内容を、その時点のまま固 定して再現できるように取り出し解析するツール類が挙げられる。本調査では「その他シ ステムセキュリティ管理製品」の中で集計することとした。 6. 暗号製品 暗号技術そのものは、PKI や VPN の基幹技術を構成する他、各種情報セキュリティ製品 の内部処理等に広範に使われている。PKI、VPN はその使用目的から各々アクセス管理製 品、アクセス制御製品に分類しており、ここではデータの保護等を目的とする製品を中心 に定義している。具体的にはメールやデータを暗号化するソフトウェア、及び暗号化のた めのライブラリやモジュールなどが含まれる。 5.3 情報セキュリティサービス市場の定義に関する説明 「情報セキュリティサービス」市場には、情報セキュリティ対策を構築・実践し、情報セキュ リティソリューションを実装し機能させ活用するために提供される、各種サービスが含まれる。 本調査では、情報セキュリティサービスとして、国内サービスプロバイダ(サービス提供事業 者)から提供されているものを対象とした。カテゴリとしては、 「セキュリティコンサルテーショ ン」 、 「セキュアシステム構築サービス」、 「セキュリティ運用・管理サービス」、「セキュリティ教 育」 、 「情報セキュリティ保険」の 5 区分とした。 1. セキュリティコンサルテーション 「セキュリティコンサルテーション」とは、情報セキュリティに関するポリシー、シス テム、運用体制及び各種セキュリティ規格認証の取得支援に関するコンサルテーションで ある。この分野は、IT コンサルティングの中でも技術的な専門性が高く、確立した分野で あるが、最近では企業のコンプライアンス(法令・ルール遵守)重視の立場から、情報セ キュリティマネジメントシステム認証制度など客観的な規格要件の認証取得を目指す企業 が増加している。それに対応して、その認証取得を支援するサービスも様々な事業者から 提供され、増加傾向にある。一方、こうした規格適合性を審査し、認証するサービスもま た、公的機関に限らず、民間事業者から提供されている。この、認証を提供する側のサー ビスもこの分野に含んでいる。 2. セキュアシステム構築サービス 「セキュアシステム構築サービス」は、実際にセキュアなシステムを構築する段階で必要 となるサービスであり、IT セキュリティシステムの設計、仕様策定といった上流工程から、 セキュリティソフトウェアの開発、カスタマイズ(個別対応改造)、セキュリティソフトウ ェア及びハードウェアの選定、導入、設定などのサービスが含まれる。 3. セキュリティ運用・管理サービス 「セキュリティ運用・管理サービス」は、導入したセキュリティシステムの全体あるいは - 28 - 一部の管理運用を、外部事業者が事業所内に常駐し、あるいは事業所外から遠隔操作によっ て代行するサービスが中心で、その対象にはシステムの総合監視、ファイアウォール監視、 IDS/IPS 監視、ウイルス監視等がある。この他にネットワークからの攻撃に対する弱点を 検査する脆弱性検査サービス、セキュリティ情報提供サービス等の予防的サービスがある。 また、何らかの事故等が発生した場合の対応を引き受けたり支援したりする専門家のサービ スであるインシデント対応関連サービスも、このカテゴリの一部であり、需要を高めている。 SSL9サーバ証明書に代表される電子証明書の発行や PKI(公開鍵認証基盤)の構築に不可 欠な電子認証局の構築・運用を行う電子認証サービスもこのカテゴリに含めた。 4. セキュリティ教育 セキュリティ教育には、教育の実施、教材等教育実施の中身であるコンテンツの提供や開 発受託等のサービスがある。教育の実施手段として、ウェブサーバとブラウザによってネッ トワークを通じて電子的に実施する、いわゆる e-ラーニングも活発であり、通常の教育実施 と区分して集計対象とした。また、資格に関する与える側・取得する側双方のサービスも活 発化している。こうしたサービスは情報セキュリティ製品やサービスのプロバイダ(提供事 業者)や、教育を専門とする事業者から提供されている。 5. 情報セキュリティ保険 ウイルスや不正アクセスによる被害並びに情報漏洩等による損害を賠償するタイプの損 害保険商品が複数の保険事業者から提供されるようになった。需要側としても、リスク対策 の一手段としてリスクの移転を採用する機運が高まっており、IT 保険、ネットワーク保険 と共に、あるいはその一部として、情報セキュリティ保険が市場の認知を得ていると見られ る。本調査では、これを情報セキュリティサービスの1カテゴリとして調査集計対象とした。 9 SSL: Secure Socket Layer 暗号通信の一方式。 - 29 - 6 国内情報セキュリティ市場を取り巻く状況及び市場の概要 表 6 並びに図 12 に、国内情報セキュリティ市場の推移を表とグラフで示す。 本調査により導き出した国内情報セキュリティ市場の概要は以下の通りである。 国内情報セキュリティ市場の金額規模は、表 7 に示す通り、ベンダ売上ベースで、平成 17(2005) 年度実績が 5,139 億円、平成 18(2006)年度推定実績値が 5,887 億円となったと推定され、平成 19(2007)年度は更に拡大して 6,562 億円、 平成 20(2008)年度は 6,938 億円に達すると予測される。 表 6 国内情報セキュリティ市場推移 市 場 規 模 (億円) 情報セキュリティツール市場 情報セキュリティサービス市場 情報セキュリティ市場合計 平成 17 年度 平成 18 年度 平成 19 年度 平成 20 年度 推定実績 推定実績 実績見込 予測 2,387 2,752 5,139 2,875 3,012 5,887 3,233 3,328 6,562 3,453 3,485 6,938 - - - 20.5% 9.5% 14.6% 12.5% 10.5% 11.5% 6.8% 4.7% 5.7% 市場成長率 情報セキュリティツール市場 情報セキュリティサービス市場 情報セキュリティ市場合計 図12 国内情報セキュリティ市場規模の推移 億円 7,000 6,938 6,000 6,562 5,887 5,000 5,139 4,000 3,000 2,000 1,000 0 3,012 2,752 2,387 2,875 平成17年度 推定実績 情報セキュリティツール市場 平成18年度 推定実績 3,328 3,233 平成19年度 実績見込 情報セキュリティサービス市場 - 30 - 3,485 3,453 平成20年度 予測 情報セキュリティ市場 計 6.1 市場規模 国内情報セキュリティ市場はツール、サービスを合せて平成 17(2005)年度実績として 5,139 億 円程度の規模と推定される。これが年平均成長率 10.5%の高成長を 3 年続けることで、平成 20(2008)年度には 6,938 億円規模に達するとの予測結果となった。 これを IT 自体の投資規模との関連で見るために、SI 関連の市場統計との比較を試みる。社団 法人電子情報技術産業協会(JEITA)の調査報告「2005 年度ソフトウェア及びソリューションサ ービス市場規模調査結果」10によれば、平成 17(2005)年度のソフトウェア及びサービスの売上高 は 5 兆 3,069 億円(うち SI 開発 2 兆 5,633 億円、ソフトウェア 6,855 億円、アウトソーシング・ その他サービス 2 兆 551 億円)である。また、同報告が参考として示しているハードウェアの出 荷額は、合計で 2 兆 6,524 億円(うちメインフレーム 1,933 億円、サーバ 6,584 億円、ワークス テーション 530 億円、パソコン 1 兆 7,477 億円)となっており、合計すると 7 兆 9,593 億円に達 する。情報セキュリティの 5,139 億円はその約 6.5%に相当する。ここ数年行われている内外の各 種調査から、一般に IT セキュリティ投資は IT 投資全体に対して数パーセント(調査により概ね 1%から 7%程度の範囲にばらつく)を占めるものと見られているが、本調査を JEITA の数字と 比較する限りでは、この一般に言われている範囲の上端に近いところに該当すると言える。 また、同調査の統計数字のうち「ソフトウェア」をハードウェアに足してツール対サービスの比 率を取ると、1:1.38 程度という比が得られる。本調査における平成 17(2005)年度のデータでは、 ツール対サービスの比率は 1:1.01 となった。セキュリティツールの内ソフトウェア製品には、そ れが稼動するハードウェアの要素も加味する必要があるので、セキュリティに関して言えば、 JEITA 統計とは逆にサービスより「ソフト+ハード」のボリュームが大きいことになる。これは、 8.2.2 で詳述するように、セキュリティに固有のシステムインテグレーションの要素が減り、シス テムインテグレーション全体の中に吸収されつつあることを反映したものと考えられる。 同調査報告は 2002 年度から 2005 年度までの数値を時系列で示しているが、この間の年平均成 長率は、ソフトウェアとサービスの合計がプラス 3.2%、ハードウェアはマイナス 1.4%であり、 市場の成熟度を端的に示している。これに対してセキュリティ市場は、2005 年度からの 3 年間 の年平均成長率が 10.5%と予測され、市場の成長力の大きさを示していると言える。 6.2 市場の沿革 情報システムにおけるセキュリティ対策は、メインフレームを中心とするいわゆるレガシーシ ステムの時代には、コンピュータシステム自体の中にセキュリティ対策の機能や手順が盛り込ま れ、個別システムの構築に際しても仕様・設計の段階からシステムと一体のものとして組み込ま れるのが通常であった。また、オープンアーキテクチャやオープンネットワークという構造がな く、不特定多数によるアクセスの可能性が極めて限定的なために、情報セキュリティの対象領域 も限られたものであり、その対象とする事象も限定的な範囲で済んでいたのである。 その後 1980 年代からコンピュータシステムのオープン化が進む。UNIX、DOS、更には 10 社団法人電子情報技術産業協会「2005 年度ソフトウェアおよびソリューションサービス市場規模調査結果に ついて」平成 18 年 9 月 28 日 http://it.jeita.or.jp/statistics/soft_sol/h17/index.html - 31 - Windows が普及し、1990 年代には IP ベースのオープンネットワークが一般化してきた。また、 21 世紀に入り、高速データ通信手段の多様化と低価格化、一般個人ユーザまでの普及という通信 環境の革新が進む中で、企業内ユーザであれ個人であれ、PC とインターネット接続が当り前の 環境がごく短時間のうちに実現してしまった。 その成果は二つのことを意味した。一つは、個人の PC が、そして企業の社内 LAN やそこに収 容される PC 端末が、ほとんど無防備で、不特定多数が行き交う往来に放り出されるのと同じよ うな危険な状態にさらされるようになったこと。そしてもう一つは、システムはその使用上の安 全対策をあらかじめ組み込んだものではなく、それはユーザなり管理者なりが後付けで用意しな ければならないものになった、ということである。 このことにより、ネットワークセキュリティやシステムのセキュリティを独立の機能として用 意する必要が生じ、そのための技術が開発され、ツールとして商品化されてきた。また、それら を選定し組み込み使いこなすための、あるいは運用保守のためのサービスも生まれ供給されるよ うになった。これらツールやサービスが市場として形成され始めてから 10 年程度の歴史である が、それが国内だけで 5,000 億円から 7,000 億円の規模の市場となり産業となったことは大きな 意味を持つと考えられる。 このような背景を元に形成されてきた情報セキュリティ市場であるが、情報セキュリティがイ ンターネットの急速な発展とそれに伴う様々な副作用・副産物の要素への対応の必要から、いわ ば受身的に展開してきた流れが、ここへ来て変わり始めていると見られる。それは、社会の発展 が犯罪の発展を排除できずそれへの対応を(多くの場合事後的に)組み込みつつ進むのと同じよ うに、インターネットと IT システムの活用も、その負の側面への対応をいかに織り込みつつ展 開するかの視点に移りつつあるように見える。その表れとして、ネットワーク機器やアプリケー ションは必ずセキュリティ特性をその仕様に組み込むようになってきているし、システムインテ グレーションもセキュリティ要件を自明のこととして仕様化している。経営管理の面でも、政府 の強力な推進努力の効果もあって、情報セキュリティを重要な経営課題と位置づけ、情報セキュ リティポリシーを構築して対応することが、経営者の当然の使命となりつつある。 後付け的・受身的に技術進化と産業展開が進んできた情報セキュリティの技術やソリューショ ンにおいて、IT 産業との融合や、マネジメント体系への一体統合化が進んでいる。情報セキュリ ティが産業として成立するところまで認知が進んだ結果、インフラを担う分野と一体化しその一 部と化す兆候を見せ始めていると言える。とは言え、ソフトウェア工学が、品質と安全に関して は、意図した機能の実現はできても意図しない機能を抑止する面で、まだまだ未熟であることか ら、脆弱性の存在を許し、それを悪用すされる脅威から逃れられずにいる。それゆえ、IT 技術的、 経営技術的、そして社会工学的に脅威に対応し、リスクを管理することが必須である。そこに経 済的対価を形成することで、脅威の存続や発展に対する対応能力の開発を持続させ、今まで以上 に進化させることも必要となる。その意味で、IT 並びに経営管理の必須の構成要素としてのセキ ュリティの認知が一層浸透し、情報セキュリティが産業として存続し発展することが期待される ところである。 - 32 - 6.3 成長速度 もう一つ特筆すべきこととして、この産業の成長率の高さが挙げられる。今回調査により得ら れた数字の範囲では、平成 18(2006)年度において前年度比 14.6%、平成 19(2007)年度において 同 11.5%、平成 20(2008)年度においてもやや減速するものの同 5.7%、平均で 10.5%という、高 い成長率を示している。デフレ・低成長下の日本経済の中にあって IT 産業は比較的順調に成長 を続ける分野ではあるが、薄型テレビやデジタルカメラ等の人気の高い IT 消費財でも市場の立 上り後 2 年程度で価格競争に突入し金額面での頭打ち感が出ている。コンピュータハードウェア は上で見たようにマイナス成長になっている。このような状況と比較すれば、突出した高成長率 で拡大を続けていると見ることもできよう。 一方で、後付けで補うことで IT の進化にキャッチアップするという特性を色濃く持っていた IT セキュリティが、以下に見ていくように、最初から仕様として組み込まれるようになり、また IT 投資と一体で投資が企画される方向に動いて来ている。その結果、足りない所を補うために速 度を上げて整備する要素が減り、IT 投資と同一歩調で市場が推移するように、徐々にシフトして いる。従い、市場の伸びも徐々に落ち着き、経済動向との同期を強めていくことになろうと思わ れる。 6.4 市場の形成と成長の促進要因 報道媒体における取扱い頻度の高まり、特に一般のニュースでしばしば取り扱われるようにな ってきたことや、各種セミナーや展示会の開催頻度とその集客数の伸び、企業社会のトピックと して一般化してきたこと、等の要素を総合的に見ると、やはり平成 15(2003)年度から平成 16(2004)年度あたりに市場の変局点があったように思われる。 前回の本調査でも指摘したように、 そのことが、この期間の市場の高い成長率もたらしたと考えられる。その勢いは、今回の観測で は 2005 年度まで続き、2006 年度もなお、比較的高い成長を維持したものと見られる。 その背景としては、下に述べるようないくつかの要因が作用しているものと推測される。 1. セキュリティインシデントの増加 独立行政法人情報処理推進機構(IPA)へのウイルス・ワームの届出状況の統計によ れば、平成 16(2004)年の 52,151 件、平成 17(2005)年の 54,174 件をピークとして、平 成 18(2006)年 44,840 件、平成 19(2007)年 34,334 件と減尐傾向にある。大規模感染型 ウイルスの減尐によるものと解説されている11。最近はむしろ、知らないうちに忍び込 んで情報を外に送り出すスパイウェアや、ハッカーの指令に基づいて攻撃等の行動を起 すボットの脅威が問題になっている12。また、ウェブ閲覧によるウイルス感染や、ファ イル共有ソフトを悪用するウイルスによる情報漏洩被害も後を絶たない。発信元の偽装 や特定ターゲットへの攻撃など、益々悪質化している。 そのために、企業はウイルス対策ソフトを始め様々な防衛手段を講じている。 11 12 独立行政法人情報処理推進機構「2007 年のコンピュータウイルス届出状況」2007 年 1 月 7 日 http://www.ipa.go.jp/security/txt/2008/documents/2007all-vir.pdf http://www.ipa.go.jp/security/isg/bot.html - 33 - 2. 脆弱性情報の取扱い・対応体制の整備 ウイルス・ワームの頻発・蔓延を許す一因ともなっている OS やアプリケーションの 脆弱性の発現頻度が高まっており、世界的にその対策について関心と懸念が持たれてい る。また情報漏洩につながりやすいウェブアプリケーションの脆弱性も増大しており、 その潜在的脅威は日々大きくなっていると考えられる。 これに対応するために経済産業省ではコンピュータセキュリティ早期警戒パートナ ーシップという枠組みを作って平成 16(2004)年 7 月から運用を開始した。現在、独立 行政法人情報処理推進機構(IPA)を届出機関、有限責任中間法人 JPCERT コーディ ネーションセンター(JPCERT/CC)13を調整機関として運用されており、JNSA はじ め IT 関連の民間業界団体がパートナーシップに参加している。また、両団体が運営す る脆弱性情報提供のウェブサイト JVN(Japan Vendor Status Notes)では、海外からの 情報も含めて脆弱性情報の迅速な提供に努めている14。更には、これら脆弱性情報の伝 達と対応方法の支援のために、民間のボランティアベースの活動 SPREAD15も組織さ れ、官民挙げての取組が推進されている。 このような動きも企業や公共団体などでインターネットの脅威とその対策に対する 意識を高め、情報セキュリティ対策の導入につながっているのではないかと推測される。 3. 情報漏洩事件の頻発と深刻化 JNSA セキュリティ被害調査 WG の報告書16によれば、平成 18(2006)年には同 WG が把握した報道件数ベースで約 1000 件、22 百万人以上の個人情報が漏洩している。情 報漏洩事件の報道は後を絶たず、特にファイル共有ソフトに寄生するウイルスによって 防衛機密や企業秘密がネットワーク上に出回り、回収不可能の状態にある事件も起きて いる。 情報漏洩事件の実害が大きいことから、企業は防衛の姿勢を強めている。また、消費 者の側も、自分の口座番号やクレジットカード番号が悪用される被害が我が身に降りか かる可能性を、身近に感じるようになっている。 4. 個人情報保護法の全面施行とプライバシーマーク取得の活発化 個人情報保護法が平成 17(2005)年 4 月 1 日から全面施行されるのに伴い、 企業では、 平成 16(2004)年度の段階で既に活発な対応を開始し、その体制作りの一環として ISMS 認証17取得やプライバシーマーク18の取得に取り組んだり、自社の対策を、法の規定す http://www.jpcert.or.jp/ http://jvn.jp/ 15 http://spread-j.org/ 16 http://www.jnsa.org/result/2006/pol/insident/070720/index.html 17 Information Security Management System (情報セキュリティマネジメントシステム) 第三者機関が、 BS7799 Part-II 規格への適合性を評価し、認証を与える制度。BS7799 Part-II は 2005 年に ISO の規格として 整備され、ISO/IEC27001 となった。日本では JIPDEC が JIS Q27001 を基準として運用している。 18 財団法人日本情報処理開発協会(JIPDEC) が、個人情報管理の体制が適切に構築され運用できているかを審査 し、合格者にプライバシーマークの表示・使用を認める制度のこと。審査基準は JIS Q15001 として規格化され ている。 13 14 - 34 - る人的、組織的、物理的、技術的対策の 4 側面から点検したりする動きが広範に見られ た。 実際に個人情報保護法が全面的に施行されてからも、相次ぐ報道等が社会の関心 をより一層高め、企業における対策の積極化、プライバシーマーク取得への取組が進む ようになっている。 その結果、2005 年度、2006 年度と、個人情報保護対策の浸透は続き、特に取引先に おける対策の万全を求められることから、その証明としてのプライバシーマークの活用 が進んでいる。取引先からの要請で、あるいは取引継続の条件として、大手企業の外注 先がプライバシーマークの取得に取り組む例も多く、ここ数年、プライバシーマークの 新規取得企業数は毎年 1500 件程度に上り、累計取得企業数は 1 万に近づきつつある19。 5. 内部統制対応における情報セキュリティ 2006 年 6 月に金融商品取引法が成立し、企業の財務報告の信頼性に関して、内部統 制評価の報告と、公認会計士による監査が義務付けられることになった。このうち、企 業取引に関る財務データの処理を担う IT における統制が重要な要素と位置づけられ、 IT の全般統制並びに業務処理統制の万全たるを期する必要が出てきた。これはすなわ ち、権限外のアクセスや操作を排除してデータの完全性を守ること、並びに万が一のシ ステムトラブルから IT 並びにデータを守ること、すなわち可用性の両面が必要になる。 システムトラブルの原因として外部からの不正プログラムの侵入や不正アクセスを防 ぐという面からは機密性確保と同等の対策も必要になる。すなわち情報セキュリティそ のものが問われるようになった。 内部統制対応に何が必要か明らかになるにつれ、情報セキュリティ対策に対する意識 も一段と高まり、一時は内部統制体制の基本となる「3 点セット20」整備に追われて下 火になると見られていたセキュリティ対策が、引き続き高い優先度で取り組まれている。 その結果、その適用年度が始まる 2008 年 4 月を控えた 2007 年度まで、需要の高い伸 びが継続する結果となって現れている。 6.5 国内情報セキュリティ市場の特徴点 以上の分析を踏まえつつ、ここでは、今回調査の結果得られたデータに関して、総括的な視点 からいくつかの特徴を抽出し分析することとする。 1. 市場の成長速度 今回調査における市場の成長率は、平成 18(2006)年度:14.6%、平成 19(2007)年度: 11.5%、平成 20(2008)年度:5.7%という結果であった。前回調査における平成 17(2005) 年度の成長率は 23.1%でかなり高いものであった。平成 18(2006)年度、19(2007)年度の 予測成長率は各々18.6%、12.8%であったので、今回の調査において、全体に伸び率は低 19 20 http://privacymark.jp/certification_info/list/clist.html 業務の流れを処理要素に分解し、要素ごとのリスク要因と対策を卖解するための書式として「業務フロー図」 「業務記述書」 「リスクコントロールマトリクス」の 3 種類を作成・活用する手法が一般に浸透しつつある。 - 35 - 下したと言える。それでも 5%程度の成長率でも、名目 GDP 成長率がゼロ近傍で推移し ているデフレ下では高成長と言える。市場が創出・立ち上がり・拡大期と推移して来て、 市場の伸び率の数字からは現状はまだ拡大期にあると推定できる。 情報セキュリティ市場を構成するカテゴリレベルでは、以下に見て行くように、成長率 に大きな開きがあり、殆ど横這いか縮小傾向のものもある。反面、高い成長率を維持する 市場もある。情報セキュリティそのものが新しいテーマで様々な技術や取組が生まれ、取 り入れられ、取捨選択される中で盛衰を経てゆく姿が見て取れる。 とは言え、全体としては、まだ拡大を続ける市場であると言えるであろう。 2. セキュリティの融合、あるいは普遍化 市場数字の伸びか殆ど止まった市場区分に、 「セキュアシステム構築サービス」がある。 システムの中のセキュリティ部分に対する構築支援サービスであるが、その需要そのもの がなくなった訳ではない。通常のシステム構築に対して、セキュリティ部分が分離されな くなった結果であると分析できる。 (8.2.項参照) 内部統制においては、 「IT への対応」が求める IT 統制は、その相当部分を IT セキュリ ティが担うことになる。経済産業省が平成 17(2005)年度に打ち出した「情報セキュリテ ィガバナンス」は、内部統制における IT 統制=IT ガバナンスの要請、そして IT ガバナン スの中核を占める IT セキュリティ、というコンテクストから、経営管理プロセスの主要 要素として浮かび上がってきた。 このように、セキュリティが「分らない」「難しい」世界から、あって然るべき、なく てはならない要素に変化しつつある。これはセキュリティの本質の変化ではなく、その理 解や受容の変化である。このように、セキュリティは、ようやくにして、通常の IT マネ ジメントプロセスや経営プロセスの一部に位置付けられるようになった。 3. 1 社当り事業規模の小ささ 今回市場規模推計作業の対象としたのは、国内で情報セキュリティのツールまたはサー ビスを提供する企業合計 296 社である。平成 18(2006)年度の推定市場規模は 5,887 億円 なので、卖純計算をすれば、1 社平均の売上高規模は 19.9 億円となる。全てが情報セキ ュリティ専業ではなく、むしろ兹業の事業者の方が多い状態ではあるが、1 社当りの情報 セキュリティの事業規模が 20 億円程度では、研究開発投資や人材育成等の面で、十分に 規模の経済を享受できない可能性がある。 4. 供給事業者の業態の分布 表 2 に、今回推計対象とした企業の業態別集計を載せたが、企業数が最も多い業態は、 「D:SI/NI 機能を持つ二次・三次販売業者」の 75 社であった。セキュリティツールの 主たる供給源である「A:海外ベンダ」は 42 社、 「B:国内ベンダ」は 45 社であった。 また「G:サービス提供事業者」は 51 社で、業態区分ではこの 4 区分で全体の 72%を占 める。ツールの供給事業は A,B,D の 3 業態が中心で、サービスの提供源は企業数では D - 36 - と G が群を抜いて多い。 事業規模的には、ツールは海外ベンダが圧倒し、サービスは SI/NI 機能を持つ二次・ 三次販売業者と大手 SIer の供給量が跳び抜けて大きい。サービスは当然ながら国産ベン ダが中心であるが、金額的にツールの海外ベンダ依存は引き続き強い。 ただし、海外ベンダの数字が大きく出るのは、アクセス制御やセキュアコンテンツ管理 などの“伝統的”セキュリティツールの市場規模が大きく、海外ベンダのシェアが高いこ とによる。これに対し、成長率で高い数字を示すシステムセキュリティ管理や暗号製品で は、国産ベンダの活躍が見て取れ、従来海外ベンダ一辺倒だった供給構造に、若干変化が 現れている模様である。 例えば、 「システムセキュリティ管理製品」のうち、端末においてユーザの行為を監視 したり、あらかじめ設定されたポリシーに基づいてコントロールしたり、ログを保存・分 析したりする機能を持った、使い勝手のよい製品が、国産ベンダから多く供給されるよう になった。また、 「暗号製品」においても、ディスクへの書き込みを丸ごと暗号化するツ ールや、USB メモリに暗号化機能を組み込んだツール等が、国内ベンチャー企業や大手 メーカの関連企業等から相次いで出されている。ただ、これら国内の参入企業の多くは小 規模のベンチャー型企業であり、大規模システム対応も含めた製品の開発力、システム対 応力、あるいは品質の確保等が課題になる面もありそうである。 情報セキュリティサービスベンダについては、企業規模は様々である。事業規模で大き い大手 SIer や、中堅どころが多い SI/NI 機能を持つ二次・三次販売業者はセキュアシ ステム構築の比率が高く、コンサルテーションには、会計事務所系コンサルサービス事業 者や専業の中小事業者の参入もある。また運用・管理サービスの一部は大手、一部は中小 企業という実態もある。全体を通して見て、セキュアシステム構築のような SI 的サービ ス領域以外の市場分野では、限られた市場規模の中に比較的規模の小さい専門特化企業が ひしめいて事業を営んでいるという実態を示唆しているのではないかと推測される。つま り情報セキュリティ業界は、比較的卖独事業で規模の小さい企業により形成されている可 能性が高い。 6.6 産業としての課題 情報セキュリティ産業の現状は、システムインテグレーションに伴う IT セキュリティの組込み と、その上流に位置する情報セキュリティ構築を一元供給する大手 SI 事業者や、海外ベンダを 除くと、比較的専業に近い中小事業者が多くを占める。情報セキュリティが経営課題として重み を増す中で、その対策もポイントソリューションでは済まなくなりつつある。システム全体のセ キュリティを、情報セキュリティポリシーに基づいて設計し展開するには、技術のみならず、経 営対応のノウハウやインテグレーション能力、更に品質保証能力が問われる。 そのためにはベンダは、品質確保のための十分な投資やベテランの経営管理ノウハウの活用が 必要で、 経営基盤の安定や、 そのベースとなる産業基盤の確立・充実も必要になってくる。 しかし、 上記 6.5-3.項でも見たように、情報セキュリティ市場を構成する事業者には、事業規模の小さい 所が多いことも事実である。市場の成長に支えられて新規参入や事業拡大が図れている中小事業 - 37 - 者も、市場の成熟と共に、またセキュリティが「普遍化」することで経営に組み込まれるに従っ て、生存環境が厳しくなる可能性がある。 これらの点を見据えて、産業資金の供給、人材の育成と供給、業界の横の連携による相互補完 や規模の拡大等を視野に入れた、産業界全体の支援と育成努力が、この産業に注入されることが 期待される。 - 38 - 7. 国内情報セキュリティツール市場の分析 7.1 情報セキュリティツール市場の全体概要 表 7 に、国内情報セキュリティ市場規模データを示す。ここに見るように、平成 17(2005)年度 の国内「情報セキュリティツール」市場は、2,387 億円の規模であったと推測される。 本調査では「情報セキュリティツール」市場を、その機能に着目していくつかの製品カテゴリ に分類している。 大分類レベルで、 「統合型アプライアンス」、「アクセス管理製品」、 「アクセス制 御製品」 、 「システムセキュリティ管理製品」、 「セキュアコンテンツ管理製品」、「暗号製品」の 6 カテゴリに分けた。各カテゴリの定義・内容は 5.項に詳述した通りである。 表 7 国内情報セキュリティツール市場規模 実績と予測 金額卖位:百万円 年度別売上高推計値 セキュリティ・ツール 統合型アプライアンス アクセス制御製品 セキュアコンテンツ管理製品 アクセス管理製品 システムセキュリティ管理製品 暗号製品 セキュリティツール市場合計 平成17年度 売上実績推定値 金額 構成比 平成18(2006)年度 売上実績推定値 金額 構成比 成長率 9,823 4.1% 14,479 5.0% 44,967 18.8% 48,033 16.7% 98,214 41.1% 114,657 39.9% 39,022 16.3% 46,706 16.2% 27,525 11.5% 38,375 13.3% 19,126 8.0% 25,254 8.8% 238,677 100.0% 287,503 100.0% 平成19(2007)年度 売上高見込推定値 金額 構成比 成長率 47.4% 18,590 5.7% 6.8% 49,758 15.4% 16.7% 123,905 38.3% 19.7% 52,325 16.2% 39.4% 45,259 14.0% 32.0% 33,479 10.4% 20.5% 323,315 100.0% 平成20(2008)年度 売上高予測値 金額 構成比 成長率 28.4% 20,713 6.0% 3.6% 51,168 14.8% 8.1% 126,651 36.7% 12.0% 57,420 16.6% 17.9% 49,827 14.4% 32.6% 39,521 11.4% 12.5% 345,299 100.0% 図 13 に平成 18(2006)年度の国内情報セキュリティツール市場のカテゴリ別分布を示す。 情報セキュリティツール市場において最大のカテゴリは「セキュアコンテンツ管理製品」で、 平成 17(2005)年度には 982 億円、構成比にして全体の 41.1%を占めた。これに続くのが「アクセ ス制御製品」で、450 億円・構成比 18.8%を占め、次には「アクセス管理製品」の 390 億円・構 成比 16.3%が続く。これら 3 カテゴリで「情報セキュリティツール」市場全体の 4 分の 3 以上を 占める。これらのカテゴリにはウイルス対策製品、ファイアウォール、個人認証製品が含まれて いる。これら 3 製品カテゴリは、JNSA が 2005 年 2 月に発表した「IT セキュリティ対策施策の 導入・実施状況とその満足度調査」報告書21でも 90%以上の導入率が確認されているほど普及の 進んだ領域であり、ベンダ側の数字でもそれが裏付けられる結果となった。 平成 18(2006)年度の国内「情報セキュリティツール」市場は、対前年比 20.5%増の 2,875 億円 規模と予測される。この内大きな伸びを示すのが、 「統合型アプライアンス」、 「システムセキュリ ティ管理製品」 、 「暗号製品」のカテゴリである。 特に「統合型アプライアンス」については、平成 17(2005)年度比で 47.4%増と大幅な伸びを見 せた。統合型アプライアンスはここ数年の間に製品が登場し、急速に普及が進んでいる製品カテ ゴリである。1 台のアプライアンス製品でファイアウォール機能を中心に、ウイルス対策や不正 アクセス防御、VPN 通信等を同時に実現でき、設定等も比較的卖純化していることから、特に管 理者のいない中堅中小企業向け市場及び大企業の地方拠点向けなどに積極的に受け入れられるよ 21 http://www.jnsa.org/active/2004/active2004_15a.html - 39 - 11.4% 2.8% 2.2% 9.7% 10.1% 18.0% 6.8% うになっている。平成 16(2004)年度に、その前年から登場し出した各種製品がようやく市場に浸 透するようになって 50 億円程度の市場規模となっていたのが、低価格の普及タイプのものが中 小事業所に広く浸透することで拡大を続け、平成 17(2005)年度には 98 億円と 100 億円の大台に 近づいていた。平成 18(2006)年度には更に成長を続けて 145 億円規模に達したものと推測される。 図13 平成 18(2006)年度の国内情報セキュリティツール市場 システムセキュリ ティ管理製品 384億円(13.3%) 暗号製品 253億円(8.8%) 統合型アプライア ンス 145億円(5.0%) アクセス管理製品 467億円(16.2%) アクセス制御製品 480億円(16.7%) セキュアコンテンツ 管理製品 1,147億円(39.9%) <(xx.x%)は構成比> 「システムセキュリティ管理製品」も高い成長を示した。従来統制なく導入されてきた各種情 報セキュリティ製品の統合管理化による、セキュリティレベルの向上と管理性の向上を目指す動 きが背景にある。これに加えて、情報漏洩対策の主軸が、外部の脅威に対する防御から、内部か らのミスや不正による情報流出に移る中で、従業員の情報操作そのものを監視・抑止・コントロー ルするニーズが急速に高まった。 このことが市場が大きく伸びる要因になったものと分析される。 その結果、 「システムセキュリティ管理製品」カテゴリは、平成 17(2005)年度には 275 億円の規 模だったものが、平成 18(2006)年度には 39.4%成長して 384 億円に達したと推定する。こうした 傾向は平成 19(2007)年度以降も続くことが予想され、比較的高い伸びが続くと予測する。 「暗号製品」に関しては、情報漏洩対策や個人情報保護法への対応から、情報の保護に市場の 意識が向かうことにより、 「システムセキュリティ管理製品」と同様、内部からのミスや不正によ る情報流出対策が進む中で、データの暗号化を提供する製品が急速な普及を見せている。平成 17(2005)年度 191 億円程度の市場が、平成 18(2006)年度には前年度比 32.0%増と大幅な伸びを 見せ、253 億円に達したものと推定される。この傾向は「システムセキュリティ管理製品」と同 じ理由で平成 19(2007)年度も続くと見られ、 「システムセキュリティ管理製品」以上に高い伸び が続くと想定される。 「アクセス制御製品」は市場規模は「セキュアコンテンツ管理製品」に次ぐものの、その伸び 率は平成 18(2006)年度で前年比 6.8%増と情報セキュリティツール市場の中では極端に低くなっ ている。これは市場の成熟化と統合型アプライアンスへの需要のシフトが要因と推測される。そ のため、平成 19(2007)年度、平成 20(2008)年度とも 1 桁台の下の方の、極めて緩やかな伸びに - 40 - 留まると見られる。 図 14 に国内情報セキュリティツール市場の経年推移のグラフを示す。 図14 国内情報セキュリティツール市場推移 4,000 億円 3,500 合計2,875 3,000 2,500 2,000 合計3,453 合計3,233 合計2,387 191 275 253 395 335 498 453 384 523 574 1,147 1,239 1,267 450 98 480 145 498 512 186 207 平成17年度 平成18年度 平成19年度 平成20年度 467 390 1,500 1,000 500 0 982 統合型アプライアンス アクセス管理製品 アクセス制御製品 システムセキュリティ管理製品 セキュアコンテンツ管理製品 暗号製品 平成 19(2007)年度には、国内「情報セキュリティツール」市場全体としては、対前年度比 12.5% と成長の持続が見込まれ、市場規模は推定 3,233 億円に達すると予測する。カテゴリ別には、情 報漏洩対策と特に関係が深い「暗号製品」が 30%以上のかなり高い伸びを維持するほか、 「統合 型アプライアンス」が 30%近い高成長を維持し、「システムセキュリティ管理製品」も 18%程度 と高成長を続けるものと推測される。また、 「アクセス管理製品」が平成 18(2006)年度以降の各 年に各々19.7%、17.9%、10.1%と安定した高成長を続けると予想される背景には、内部統制への 対応の影響がある。IT 統制においては、従業員に対し、システムやデータのどの範囲に対してど のような利用権を許諾するかの管理が、その基幹に関わる要素となって来る。それに対応する製 品群として、 「アクセス管理製品」の必要性が改めて見直されると考えられる。 平成 20(2008)年度については、情報漏洩対策が、個人情報だけでなく、企業秘密や知的財産と いう企業の価値や競争力の源泉にまで向うことと、内部統制対応も引き続き需要を喚起すると見 られることから、暗号製品、システムセキュリティ管理製品、アクセス管理製品の分野を中心に 成長を続け、全体としては平成 19(2007)年度比 6.8%増の 3,453 億円規模にまで達するものと予 測される。 - 41 - 7.2 情報セキュリティツール市場のカテゴリ別分析 7.2.1 統合型アプライアンス市場 (1)製品の特性と市場の動向 統合型アプライアンス製品は、ファイアウォール、VPN、IDS/IPS といったアクセス制御機 能群と、アンチウイルス、アンチスパム、URL フィルタリングといったコンテンツ管理機能群の 両機能を併設し、これら機能のうち尐なくとも 2~3 種類以上が搭載されたものと定義できる。 本調査の機能別市場区分ではどこにも分類できないために、独立のカテゴリとして調査集計する。 なお、近年、UTM(Unified Threat Management =統合脅威管理=)という呼称が一般的になっ てきている。これは、米国のメーカや調査会社がつけた名前が一般に使われるようになった結果 と見られる。Unified Threat Management の訳語としては「統合脅威管理」が一般化しつつあ るが、本調査のアンケートに際しての定義表上は「複合脅威対策」という訳語を当てている。ま た平成 17 年度調査に際しては UTM の意味として「複合型脅威対策」という説明をした。 Management という言葉から連想する「管理」よりは対策機能が主体であることに留意したい。 統合型アプライアンスが製品として成立し市場に受け入れられるに至った要因は、ハードウェ ア性能の飛躍的な向上にある。以前は、複数の機能を1台のハードウェアで稼動させることは性 能の务化を招くことから敬遠されていた。しかし、ハードウェア性能の向上によって実用に耐え るレベルの性能を発揮することが可能になった。その結果、普及機レベルでは、汎用の IA22機で 実用上問題ないレベルのパフォーマンスが実現している。一方、パケットフィルタリングなどの 特定機能をハードウェア化して非常に高いスループットを実現する技術も発展しており、それを 利用することで、飛びぬけてハードウェア性能の高い専用機を実現することも可能になった。ユ ーザは利用目的によってこのどちらかを選択できることになり、適用の場が大きく広がっている。 1 台の装置を設置することで複数の対策が実現できるという使い勝手のよさも貢献して、統合型 アプライアンスの普及が進んできている。 低価格の普及機は、特に中小企業、大企業の出先事業所、小売業のような多店舗展開している 企業等に多く受け入れられている。専門家の確保が難しい事業所のネットワーク環境に導入する 場合に、複数の機能を一元的に簡易に実現できる一括ソリューションとして、統合型アプライア ンスの需要は急速に高まっていると見られる。小規模ネットワーク環境への普及機クラスの統合 型アプライアンスの導入需要は今後も衰えることはないであろう。 またハイエンド機種は、データセンタや企業の基幹ネットワークといった高性能を期待される 環境への導入が進みつつある。海外においては、TCO23に対する合理的判断に基づき、高性能タ イプの統合型アプライアンスの利用が進んでいる。国内では、投資判断の保守性のためか、卖機 能ごとに従来型製品の高性能機を利用しつづけている事例も多く見られる。しかし以下の理由か ら、統合型アプライアンスのハイエンド機種の導入機運が盛り上がっている模様である。 まず挙げられるのは、ネットワークを卖純化できるメリットである。特に故障時に備えて冗長 22 23 インテル・アーキテクチャ インテル社製 CPU を用いて PC 機能を実現するハードウェアセット Total Cost of Ownership 総保有コストまたは利用(使用)総コスト - 42 - 構成を組んだネットワークの場合、卖一のアプライアンスで構成できればネットワークを卖純化 でき、障害発生率を下げることができる。さらに、卖一の管理画面から複数の機能の設定が可能 であり、管理者の負荷や作業ミスの危険性の低減も期待できる。運用現場でのミスやこれに伴う 事故を未然に防止できるメリットは大きい。また、データセンタのハウジング利用においては、 通常、設置棚(ラック)に対する占有率で利用金額が決定されるケースが多く、尐ない占有率で 多くの機能を実現できる統合型アプライアンス製品は、ハウジング費用の軽減というメリットも ある。統合型アプライアンスは、このように運用面での負荷軽減という面から魅力的である。 このように、統合型アプライアンスは、廉価版の普及が急速に進み、高価格版の採用が浸透し てきたことから、市場が急拡大している。特に平成 18(2006)年には、Winny24のようにピアツー ピア方式25でファイル交換するプログラムを悪用する不正プログラムの被害が急速に拡大26し、政 府が異例の警告を出すまでに深刻化した。それに対して、機能を複合的に組み合わせることで強 固なセキュリティ環境を実現でき、容易に導入可能な統合型アプライアンスが、中小企業を中心 に需要を喚起し、導入を促進したと見られる。 なお、ファイアウォール機能を持たない統合型アプライアンスも現れてきている。認証機能や 検疫システム機能といった、これまでは専らソフトウェア製品で実現されていたものがアプライ アンス化され、それらの機能群を1台のアプライアンスの上で実現する製品が登場している。ま た、帯域管理とコンテンツフィルタリングを組み合わせたようなものもある。このような非ファ イアウォール起源の統合型アプライアンスの動向も注目される所である。 統合型アプライアンスは、市場が急拡大していることから供給サイドから見ても魅力的な市場 となっている。市場の初期は統合型アプライアンス専業ベンダが市場を開拓し、急成長したが、 ファイアウォールベンダの路線転換や、大手ネットワーク装置ベンダからの参入もあり、特に低 価格の普及機クラスは価格競争も発生して競争の激しい市場となりつつある。 (2)市場規模とその推移 表 8 に国内統合型アプライアンス製品市場の市場規模実績推定値と予測値を、図 15 にその市 場規模の推移のグラフを示す。 表 8 国内統合型アプライアンス市場規模 実績と予測 平成 17 年度 平成 18 年度 平成 19 年度 平成 20 年度 売上金額(百万円) 対前年度比成長率 9,823 - 14,479 47.4% 18,590 28.4% 20,713 11.4% 統合型アプライアンス製品は、平成 17(2005)年度までにセキュリティ市場における地位を確立 ピアツーピア型の PC 同士の通信により、ファイルの交換や共有をする無償のソフトウェア。個人利用者が多 い。著作権侵害や、情報の意図せざる流出をもたらすウイルスの感染で社会的に問題になっている。 25 サーバ等を介さずにクライアント同士の直接通信によりファイル転送等を行なう仕組み 26 日本ネットワークセキュリティ協会 2006 年情報セキュリティインシデントに関する調査報告書 より 「ワーム・ウイルス」による個人情報漏えいは 2005 年は 0.2%であったが、2006 年は 12.2%に増加している。 この原因は、2006 年に Winny、Share などのファイル交換ソフトを悪用したウイルス感染による情報漏えい インシデントが多数発生したためである。 24 - 43 - したと言える。その勢いを維持して、平成 18(2006)年度には、47.4%と依然高い前年度比成長率 を示して、市場規模は 145 億円に達したと推定される。今後の市場成長率の予測値は、平成 19(2007)年度は 28.4%、平成 20(2007)年度は 11.4%であり、伸び率は鈍化するものの、引き続 き高い成長率を維持するものと予測される。その結果、平成 20(2008)年度には 207 億円と、200 億円台に到達するという予測結果となった。伸び率が鈍化する理由としては、これまで進んでき た多機能低価格化が今後もこの傾向が続き、販売台数の増加の割には販売金額が伸び悩むことが 予想されるからである。ただし、市場動向で述べたように、海外市場と同様に高価格機の導入が 急速に進めば、予測以上の市場成長を示す可能性もあると思われる。 図15 国内統合型アプライアンス市場推移 億円 250 200 150 100 50 0 平成17年度 平成18年度 平成19年度 平成20年度 統合型アプライアンス また、大手ネットワーク装置ベンダによる統合型アプライアンスの本格的販売の動きも見られ、 統合型アプライアンス製品がセキュリティ製品群の中でも成長性の高い、安定した地位を保つこ とは間違いないであろう。 7.2.2 アクセス制御製品市場 (1)製品の特性と市場の動向 アクセス制御製品カテゴリの平成 18(2006)年度におけるセグメント分布を図 16 に示した。 アクセス制御製品とは、ネットワーク通信に対する監視や制御をすることでセキュリティを確 保する目的を持った製品群である。ファイアウォール、IDS/IPS、VPN 製品等が該当する。フ ァイアウォール製品は、ネットワーク系路上の、組織の外部と内部の通信のゲートウェイ(玄関 口)にあり、通信の種類・内容によってアクセスの許可・不許可を制御する製品を意味する。IDS (Intrusion Detection System、侵入検知システム)は、通信経路のパケットを監視・分析し、 不正侵入やその兆候となるアクセス(通信論理経路確立の試み)があれば管理者に通知すること を主な機能とする。IPS(Intrusion Prevention System、侵入防止システム)はさらに一歩踏み 込んで、不正侵入またはその試みを察知したらその通信を自動的に遮断する制御機能まで持つ製 - 44 - 品群である。VPN(Virtual Private Network、仮想私設通信網)製品は、特定の通信相手との間 にあたかも専用線経由のように仮想的な閉域通信経路を形成し、その中での通信を、第三者によ る盗み見や改ざんから守る機能を提供する製品群を意味する。 図16 平成 18(2006)年度のアクセス制御製品市場 アプリケーションファイ アウォール 13億円(2.7%) その他のアクセス制御 製品 44億円(9.1%) ファイアウォール・アプ ライアンス 179億円(37.3%) IDS/IPSソフトウェア 24億円(5.1%) IDS/IPSアプライアン ス 105億円(21.9%) VPNアプライアンス 51億円(10.5%) <(xx.x%)は構成比> VPNソフトウェア 25億円(5.3%) ファイアウォール・ソフト ウェア(企業向け) 37億円(7.8%) ファイアウォール・ソフト ウェア(デスクトップFW) 1億円(0.3%) これらの製品は、初期にはソフトウェア製品として登場したが、21 世紀を迎える頃から専用の ハードウェアと一体化して製品化するアプライアンスタイプへの移行が進んだ。特にファイアウ ォールは、ごく一部の製品を除き、主な商品はほとんどアプライアンスタイプに移行している。 更に、7.2.1 項で見たように、複数の機能を統合して 1 台で実現する統合型アプライアンスが目 覚ましい普及を見せており、卖機能型から複数機能統合型へのシフトも進んでいる。 次に、ネットワークへの不正アクセスでなく、内部ネットワークにあるサーバ上のアプリケー ションに対する不正な動きを制御する製品が登場している。典型的な例がウェブアプリケーショ ンファイアウォールである。これは、SQL インジェクションやクロスサイトスクリプティングな どの、ウェブアプリケーションの脆弱性を狙った新たな攻撃手法27への対応を目的とした、ファ イアウォールタイプの製品である。アクセス制御機能は、通常「プロトコル」を構成する通信の 内容に対して判断を行うが、アプリケーションゲートウェイの技術を活用することで、アプリケ ーションレベルでの攻撃を検知し防御する。OWASP28という団体の活動や、PCI DSS29でウェブ アプリケーションの防御が要求されていることからも注目を集めている。日本でも取扱い事業者 間で普及のための連携の動きがある30が、使い勝手の面で普及が進みにくい実情があるようであ 27 ウェブアプリケーションの脆弱性とその対策については、独立行政法人情報処理推進機構のウェブサイトを 参照。 http://www.ipa.go.jp/security/vuln/documents/2005/website_security.pdf 28 OWASP (Open Web Application Security Project) アメリカで組織され世界的に展開している非営利活動団 体。ウェブアプリケーションのセキュリティ対策を中心に活動している。 http://www.owasp.org/index.php/Main_Page 29 PCI DSS: Payment-Card Industry Data Security Standard クレジットカード事業者の団体が制定した、ク レジットカード事業者や加盟店に準拠を要求するセキュリティ対策基準。 https://www.pcisecuritystandards.org/index.htm 30 http://www.wasf.net/index.html - 45 - る。この他にデータベースをガードする製品もあり31、これらをまとめてアプリケーションファ イアウォールとして、今回調査から独立セグメントとした。 もう一つ注目すべき技術が、NAC32という呼称が共通化しつつある、ネットワークアクセス認 証である。主として持ち運び可能な PC を社内のネットワークに接続する時に、その PC が接続 を許可されたものであるかどうかを判断して接続の可否を決定する。認証という意味でアクセス 管理の機能とも言えるが、内部ネットワークへのアクセスのコントロールという意味でアクセス 制御に位置づけられると考える。方法としては VLAN(仮想的 LAN)、ゲートウェイ方式、ルー タに付加機能として載せる形等があり、アプライアンスタイプの製品も登場している。認証の方 式もマシン固有の ID による場合や、OS のパッチレベル、ウイルス対策ソフトの定義ファイルが 最新か等まで踏み込んで接続可否を判断するものなどがある。今回調査では、前回同様「その他 のアクセス制御製品」に含めて調査した。 このように新しい製品が登場する一方で、全体としては、卖機能のアクセス制御製品は、統合 型アプライアンスまたは UTM と言われる製品形態に移行する傾向にあり、市場の伸びは限定的 になっている。特に、ファイアウォールや IDS 製品のソフトウェアタイプのものは、ブレードサ ーバ33搭載等の可能性はあるものの、アプライアンス化と UTM 化の両面から押されて、市場は 縮小に向っている。但し、VPN のクライアント機能はソフトウェアタイプが主流であり、リモー トアクセスの利用拡大から、金額面ではっきり増加が現れなくても、尐なくとも数量ベースでは 増加傾向をたどるものと考える。 (2)市場規模とその推移 表 9 に国内アクセス制御製品市場の市場規模実績推定値と予測値を、図 17 にその市場規模の 推移のグラフを示す。 アクセス制御製品のカテゴリは、平成 18(2006)年度における売上実績推定値が 480 億円と、セ キュリティツール市場の中では 2 番目に大きい規模となっているが、その平成 17(2005)年度(449 億円)からの伸び率は 6.8%に留まっており、セキュリティツール市場のほかのカテゴリが 2 桁 の市場成長率を示す中で唯一 1 桁の成長に留まっている。ウイルス対策製品と共に最も早くから 登場したセキュリティ対策手段であり、市場の成熟化が進んでいる。これに加え、前述の通り、 統合型アプライアンスへのシフトが進んだ事が伸び率鈍化の要因と言える。特筆すべきは、ソフ トウェア型製品のセグメントは平成 18(2006)年度以降本調査対象期間を通じて軒並みマイナス 成長となっていることである。ソフトウェア型製品からアプライアンス型への移行が一層進むも のと予想される。 31 業界団体としては、国内ではデータベース・セキュリティ・コンソーシアム(DBSC)が活動している。 http://www.db-security.org/ 32 NAC: Network Access Control あるいは Network Admission Control の頭文字。ベンダにより異なる。同様 の機能・コンセプトを Trusted Network Connect と呼ぶ団体もある。その意味する内容も尐しずつ異なり、ま だ業界の統一見解や統一規格にまでは至っていない。 33 1枚のプリント基板に、CPU、メモリ、ハードディスク等コンピュータの構成要素を搭載し、コネクタ端子と スロットを備えた専用筐体に格納する構造のサーバ用コンピュータ、またはその集合した装置。筐体側に電源 や制御機構等を集合的に持つ。 - 46 - 表 9 国内アクセス制御製品市場規模 売上金額(百万円) 実績と予測 平成 17 年度 平成 18 年度 平成 19 年度 平成 20 年度 ファイアウォール・アプライアンス ファイアウォール・ソフトウェア(企業向け) ファイアウォール・ソフトウェア(デスクトップ FW) VPN ソフトウェア VPN アプライアンス IDS/IPS アプライアンス IDS/IPS ソフトウェア アプリケーションファイアウォール その他のアクセス制御製品 合計 18,176 4,383 165 2,366 4,125 9,366 2,809 648 2,929 44,967 17,932 3,747 142 2,529 5,059 10,539 2,426 1,296 4,363 48,033 17,773 2,794 125 2,737 6,152 10,829 1,731 2,074 5,542 49,758 18,456 2,017 100 2,868 6,714 10,848 860 2,961 6,345 51,168 40.4% 9.7% 0.4% 5.3% 9.2% 20.8% 6.2% 1.4% 6.5% 100.0% 37.3% 7.8% 0.3% 5.3% 10.5% 21.9% 5.1% 2.7% 9.1% 100.0% 35.7% 5.6% 0.3% 5.5% 12.4% 21.8% 3.5% 4.2% 11.1% 100.0% 36.1% 3.9% 0.2% 5.6% 13.1% 21.2% 1.7% 5.8% 14.5% 100.0% -1.3% -14.5% -13.7% 6.9% 22.7% 12.5% -13.7% 99.9% 49.0% 6.8% -0.9% -25.4% -12.3% 8.2% 21.6% 2.7% -28.6% 60.1% 27.0% 3.6% 3.8% -27.8% -19.9% 4.8% 9.1% 0.2% -50.3% 42.8% 12.4% 2.8% 構成比 ファイアウォール・アプライアンス ファイアウォール・ソフトウェア(企業向け) ファイアウォール・ソフトウェア(デスクトップ FW) VPN ソフトウェア VPN アプライアンス IDS/IPS アプライアンス IDS/IPS ソフトウェア アプリケーションファイアウォール その他のアクセス制御製品 合計 対前年度比成長率 ファイアウォール・アプライアンス ファイアウォール・ソフトウェア(企業向け) ファイアウォール・ソフトウェア(デスクトップ FW) VPN ソフトウェア VPN アプライアンス IDS/IPS アプライアンス IDS/IPS ソフトウェア アプリケーションファイアウォール その他のアクセス制御製品 合計 - - - - - - - - - - ファイアウォール・アプライアンス製品のセグメントは、アクセス制御製品のカテゴリの中で は 1 番大きいセグメントであるが、調査対象期間である平成 17(2005)年度から平成 20(2008)年 度までを通じて、ほぼ 180 億円前後で推移すると見られる。ファイウォール・ソフトウェア製品 は供給も限られ、アプライアンスへのシフトもあることから、縮小に向かうと考えられ、平成 20(2008)年度には 20 億円強と、平成 17(2005)年度の半分以下にまで縮小するという予測結果と なった。 アクセス制御製品のカテゴリの中では 2 番目に大きいセグメントである IDS/IPS アプライア - 47 - ンス製品は、平成 18 年(2006)年度は前年度比 6.9%増の 105 億円という市場規模となっている。 しかし平成 19 年(2007)年度以降は伸び率が急速に鈍化し、ファイアウォール・アプライアンス同 様、ほぼ横這いの推移になると見られる。一方、IDS/IPS ソフトウェアは製品供給も限定され、 アプライアンスへの移行が進む中で、平成 18 年(2006)年度に前年度比 13.7%と大幅な落ち込み を見せたが、平成 19 年(2007)年度以降更に大きく落ち込み、平成 20(2009)年度は 9 億円弱にま で縮小するという推定値となった。ほとんどのベンダがアプライアンス製品に移行しており、パ ブリックドメインのソフトウェア IDS が使われている他は、商用の供給はほとんどなくなりつつ あることを示している。 図17 国内アクセス制御製品市場推移 億円 200 180 160 140 120 100 80 60 40 20 0 平成17年度 平成18年度 平成19年度 平成20年度 ファイアウォール・アプライアンス ファイアウォール・ソフトウェア(企業向け) ファイアウォール・ソフトウェア(デスクトップFW) VPNソフトウェア VPNアプライアンス IDS/IPSアプライアンス IDS/IPSソフトウェア アプリケーションファイアウォール その他のアクセス制御製品 VPN アプライアンス製品は、平成 17(2005)年度から平成 18(2006)年度への成長率が 22.7%と 比較的高く、51 億円という推定市場規模になった。この市場は平成 19(2007)年度は 21.6%成長 して 61 億円に拡大すると推測される。これは、ブロードバンド通信環境の一層の充実を背景に、 いわゆるモバイルワーカーやテレワーキング(ホームオフィスやサテライトオフィス)が一層盛 んになっている結果であると考えられる。リモートアクセスの VPN における端末側の VPN クラ イアントソフトウェアは低価格化・無料化やブラウザ化が進むことで金額面での伸びはそれほど 大きくないが、普及は着実に進むものと見られる。 今回調査から独立セグメントとしたアプリケーションファイアウォールは、平成 18(2006)年度 の市場規模が 13 億円とまだ小さいが、前年度からは倍増したと見られる。このうちウェブアプ リケーションファイアウォールは、2005 年に著名企業のウェブへの攻撃による事件が起こったこ とと、PCI DSS 標準の導入要件となったことで伸びが期待されるが、コスト、運用、導入面での 課題も多く、業界では足元の一服感が強い。一方、データベースへの防御機能を提供するタイプ は、企業秘密の漏洩事件や内部統制への対応から需要が高まっている模様で、市場規模を押し上 げるものと期待される。全体としてはこの先も急成長を続けて平成 20(2008)年度には 30 億円弱 の規模にまで拡大すると予測する。 その他アクセス制御製品も高成長を続けるセグメントであると考えられる。平成 18(2006)年度 - 48 - に前年度比 49%増の 44 億円の規模となっており、更に平成 19(2007)年度 27%、平成 20(2008) 年度 15%と高成長を続け、同年度に 63 億円と VPN アプライアンスに肩を並べる規模に達する との予測結果となった。 7.2.3 セキュアコンテンツ管理製品市場 (1)製品の特性と市場の動向 セキュアコンテンツ管理製品とは、コンテンツ(通信される情報の内容)についてセキュリテ ィに関わる不都合の有無をチェックすることを主目的とした製品群である。アンチウイルス・ア ンチワーム、アンチスパム、URL フィルタリング、メールフィルタリング、アンチフィッシング 製品等が該当する。このカテゴリでは以下の7種類の中分類(セグメント)にて市場区分を行っ ている。 ①アンチウイルス・アンチワーム・ソフトウェア(企業向けライセンス契約)/アプライア ンス メールの送受信、ファイルのコピーやダウンロード等、データ受け渡しの際に、ウイルス やワームの感染の有無をチェックし、発見した際には警告を発したり、隔離したり、除去 したりする機能を有する製品。企業や組織で複数使用することを想定して商品化されてお り、ソフトウェアの場合はライセンス契約により使用するモデルが一般的である。また、 アプライアンスタイプの製品も複数ベンダから提供されるようになってきている。 ②アンチウイルス・アンチワーム・ソフトウェア(個人ユーザ向けパッケージタイプ) アンチウイルス・アンチワーム製品の個人向けパッケージタイプ。端末にインストールす るクライアント型であり、FW、IDS、アンチスパム、URL フィルタリング等の機能を併設 するものも含む。主たる製品形態は CD-ROM、マニュアル、ライセンスキー情報を一つの 箱に収納したパッケージタイプであり、家電量販店等の店頭で販売される形が一般的であ る。また、ソフトウェアのダウンロード販売や、インターネットサービスプロバイダがメ ールサーバに機能を設置して月額課金でフィルタリングサービスサービスを提供する ASP モデルも増えている。 ③アンチスパム・ソフトウェア/アプライアンス いわゆる迷惑メールを識別し、警告や削除といった対策を行う製品群である。 ④URL フィルタリング・ソフトウェア/アプライアンス 教育上あるいは業務上閲覧することが望ましくないウェブサイトや、ウイルス感染やフィ ッシング詐欺などアクセスしたものに被害を与えることを狙った有害なウェブサイトへの アクセスを制限する機能を有する製品。 ⑤メールフィルタリング・ソフトウェア/アプライアンス 主に情報漏洩防止の観点から、内部から外部へ発信されるメール本体や添付ファイルの内 容をチェックして不適切なものは送受信を防止したり管理者の事前チェックにまわすとい った機能を有する製品。また、同様のことを事後的にチェックすることで抑止力を期待し たり、事故発生時に解析することで源信を特定する目的で全通信を記録し解析する機能を - 49 - 搭載した製品も提供されている。 ⑥アンチフィッシング・ソフトウェア/システム フィッシングとは、正規のウェブサイトを偽装した偽サイトに誘導し、ユーザを欺くこと で情報を書き込ませ、不正にクレジットカード情報や銀行口座番号並びに暗証番号等の個 人情報を盗みとることを狙った不正行為である。アクセス先ウェブサイトの URL が、よく 知られた URL に似ているか否かといったポイントで「推定」したり、ブラックリストやホ ワイトリストを用いてフィッシングサイトか否かを判定し、警告を発したり接続を遮断し たりする機能を有する製品や、そのための判定を提供するシステムを含む。 ⑦その他のセキュアコンテンツ管理製品 以上のような特定の機能以外の、コンテンツのセキュリティを目的とする製品。例えば個 人情報などの特定の情報が、ネットワーク上のどこにどういう形で保存されているか探知 する機能を持った製品や、権利者の意図する範囲と方法でファイルの利用を担保する DRM (詳細は後述)などがこのカテゴリに含まれる。ただし、コピーなどの「行為」を対象と して動作する製品は「システムセキュリティ管理製品」に分類することになり、製品によ ってはどちらに区分すべきか難しい要素を含む可能性もある。 これら 7 つのセグメント(中分類市場)の平成 18(2006)年度における市場分布は図 18 の通り である。 図18 平成 18(2006)年度のセキュアコンテンツ管理製品市場 URLフィルタリング・ソフ トウェア/アプライアン ス 52億円(4.6%) メールフィルタリング・ソ アンチフィッシング・ソフ トウェア/システム フトウェア/アプライア 9億円(0.8%) ンス 88億円(7.7%) アンチスパム・ソフト ウェア/アプライアンス 23億円(2.0%) <(xx.x%)は構成比> その他のセキュアコン テンツ管理製品 38億円(3.3%) アンチウイルス・アンチ ワーム・ソフトウェア(企 業) 489億円(42.7%) アンチウイルス・アンチ ワーム・ソフトウェア(個 人) 447億円(39.0%) ウイルス対策の企業における実施率は 100%に近い所まで上がっており34、その普及度はきわめ て高い。その割に「アンチウイルス・アンチワーム・ソフトウェア(企業向けライセンス契約) /アプライアンス」の市場規模は安定して拡大するとの調査結果となっている。一部のアクセス 制御製品のようにマイナス成長とならない要因としては、ウイルス定義ファイルの更新サービス 34 JNSA「IT セキュリティ対策施策の導入・実施状況とその満足度調査」 http://www.jnsa.org/result/result2004.html - 50 - を毎年継続的に購入する必要があるビジネスモデルにより、売上のベースライン(基礎部分)を 確保する戦略が取られていることが大きいと見られる。設置場所のバリエーションとしては、イ ンターネットや内部ネットワークセグメント間に置くゲートウェイ型、サーバにインストールす るサーバ型、端末にインストールするクライアント型等がある。このようにウイルス・ワーム対 策は複数階層で製品が展開されており、内部外部を問わず感染源がやってくるような複雑な感染 経路・感染パターンに対応している。このような複数階層でのウイルス・ワーム対策は、大企業 中心に導入されてきたが、ウイルスフィルタリング専用アプライアンスの登場などもあり、近年 では、中小規模の企業等でも実施しようとの動きが出ている。IT 化の進展と浸透により、一人複 数台の PC 配備がされる職場も増えており、稼働端末(PC)の絶対数の増加にともなって、市場 の裾野自体も順調に拡大していくと予測されることから、市場は引き続き安定成長を続けると思 われる。 個人ユーザ向けウイルス対策製品の市場も順調に拡大してきた。ウイルス、スパム、フィッシ ングといった脅威が幅広く報道され、また行政サイドからも積極的に注意喚起や啓発イベント35 が実施されている。このような動きが市場を活性化させており、平成 18(2006)年度までは、市場 はかなりのペースで拡大を続けてきた。平成 19(2007)年度頃から、一部ベンダで定義ファイルの 更新料が不要な売切り型や、同一価格で複数ライセンスが使用可能な商品の提供など、市場は価 格競争の様相を呈し出している。更に、ISP がメールサービスに付帯のサービスとして低価格で ASP 型サービスを提供するビジネスモデルの参入も続いており、競争は激しくなる兆候が見られ る。このため、平成 19(2007)年度以降は、市場規模は比較的安定した緩やかな拡大に転換するの ではないかと予測される。 ウイルス対策製品の供給ベンダは、世界的にビジネスを展開する比較的規模の大きい企業が中 心であった。これは、24 時間 365 日、全世界を対象に、新種のウイルスを検出してそれに対応 するウイルス定義ファイルを数時間以内に作成し、全ユーザに提供するというサービスモデルが 必須であり、組織と資本の力への依存度が高かったことによる。しかし近年、ハードウェア価格 の下落と対応システムの自動運転や効率的に定義ファイルを開発するアルゴリズムの多様化が進 み、小規模でも特徴あるサービスを提供するベンダが台頭してきた。その結果アメリカ企業だけ でなく、ヨーロッパ、ロシア、アジア等供給源の多様化も進み、市場の成熟と競争の多様化が同 時進行する珍しい構造が見られるようになっている。 ウイルスやワーム同様外部から巧妙に送り込まれるが、取り付いた先での破壊活動は行わず、 そこから盗み出した情報をひそかに外部に送る機能を果たすものをスパイウェアと呼ぶ。スパイ ウェアの中には、インターネット利用の利便性のために情報を送出するプログラムもあり、全て が不正と言えない面もあるが、悪意や不正な目的で使われるものは「マルウェア」(悪意を持った ソフトウェア)と呼ばれることもある。そのフィルタリングはウイルス検知とワンセットで行な われるケースも多いが、既に侵入してしまった不正プログラムのパトロール機能を持った専用製 品も存在する。 35 経済産業省の委託により JNSA で推進している「インターネット安全教室」の開催や「チェック!PC キャン ペーン」も、草の根レベルでの啓発に貢献していると思われる。 - 51 - 商品やサービスの販売、そのためのウェブサイトへの誘導を目的に、不特定多数に繰り返し多 量に送りつけられるメールをスパムメールと呼ぶ。その中には、ポルノ系、出会い系など公序良 俗に反するものや未成年者に有害なもの、更には個人情報の詐取など悪意を持ったウェブサイト への誘導を図るものなど、社会的に問題となるものも急増している。また、多量・無差別にばら 撒かれ、メールサーバからサーバへの転送機能も利用することから、回線容量を浪費し、通信の 質や速度に悪影響を与えるという問題も引き起こしている。これに対応するアンチスパム製品は アンチウイルス製品に組み込まれたりオプションとして提供されるケースと、逆に卖独で専用ア プライアンスとして製品化されるケースとが混在している。 スパム判定を行うフィルタリング(選別)エンジンは、各国の言語特性に合せた開発が必要で あり、またフィルタリングのための URL リストの開発にスピードと信頼性が求められている。 このために大手アンチウイルスベンダが市場の中心であるが、専業アプライアンスベンダの参入 も目立つようになっている。新しい動きとしては、メールチェック(スパム・マルウェア対策) を、メールボックスを企業から預かってサービスするサービスモデルが売上を伸ばしている。ま た、メールのフィルタリングをユーザ企業側で行うのでなく、ISP やベンダのサーバであらかじ めソースアドレスによりフィルタリングする、ERS(E-mail Reputation Service)というサービス も登場している。 このように、端末にとっての脅威は、不正アクセス・不正侵入の他に、ウイルス・ワーム、ス パイウェア、スパムメールと益々多様化・複雑化している。これらの対策は総合化する方向に向 かっており、端末をまとめて守るという趣旨から、 「エンドポイントセキュリティ」という言葉が 使われるようになってきた。つまり端末防御は総合化に向かっていると言える。一方で、端末側 での負担の増大を緩和するために、サーバ側、あるいはインターネット経路上でフィルタリング 等の機能をサービスとして提供する方向も見えてきている。上述した ERS やメールボックスサ ービスがその一例と言える。つまり ASP、SaaS 化も新しいトレンドとして見えてきていると言 える。 URL フィルタリング製品は、導入の主目的が、閲覧して欲しくないウェブサイトへのアクセス 制限からネットワーク帯域の節約へと変化し、更に Web2.0 の時代に入ってからは情報セキュリ ティ対策(内部からの情報漏洩対策)のツールへと変化してきている。それはウェブ技術の進化 が情報発信の多様化と利便性の向上をもたらした反面、ウェブサイトがサイバー犯罪の拠点とし ても活用が進んでしまったことに対する対策の必要からである。この分野では、言語の問題やウ ェブサイトの地域性の問題から、国産ベンダの製品供給が目立っている。市場の動向としては、 内部統制や証跡管理などニーズの多様化に伴い、製品の細分化が進むのではないかと思われる。 メールフィルタリング製品は、情報漏洩リスクへの関心の高まりから需要は拡大する方向にあ り、製品の供給も活発化する傾向が見受けられる。また、言語の問題から、URL フィルタリング 同様、国産ベンダの製品供給が目立っている。なお、大量のコンテンツを効率よくスキャンする 必要や、アーカイブ型製品における蓄積スピードの問題から、アプライアンス化に向かう傾向が 見られる。 これらの、組織外部とのネットワーク通信に伴って、意図しない情報流出が起きるのを技術的 - 52 - に防止するという捉え方から、DLP(Data Leakage Protection)という概念が提唱され出している。 通信をスキャンして、 キーワードやデータパターンを用いてフィルタリングを行うもので、 「情報 防衛」ニーズに対応した動きと言える。 フィッシングとは、偽メールと偽ウェブサイトの組合せで銀行口座やクレジットカードといっ た金銭に関連する情報を得ようとする欺瞞行為である。インターネットバンキングにおける不正 引き出しは、平成 18(2006)年度には被害件数 67 件(前年度比 1.7 倍) 、被害金額 6 千万円(前年 度比 1.9 倍)36と増加傾向にある。その被害の深刻化に伴って、盗難キャッシュカード被害と同 等に被害補償を実施する動きも出てきている。金融業界やネット通販などの小売業界を中心に対 策の導入が進む方向にあり、ISP や PC ベンダの対応も含め、市場の拡大が進むのではないかと 見られる。 「その他のセキュアコンテンツ管理製品」の中では DRM(Digital Rights Management)と呼ば れる技術が注目される。一般的に DRM というと動画や楽曲といった著作権保護を目的としたも のを指すが、企業の持つ営業秘密や設計図面等の知的財産権の保護にも利用されており、デジタ ルドキュメントの利用権管理という意味合いがある。具体的には、対象となるファイルに暗号化 等によりアクセス・利用の制限をかけ、その制限を利用する人の属性、方法、時間、場所、回数等 によってコントロールすることで、権利者の意図する範囲と方法での利用を担保することが可能 となる。用途としては、契約書等重要書類向け、CAD データ等の下請け等への提供に際しての技 術漏洩対策、有価証券等の電子化に際しての原本性確保や複製防止等が考えられている。設計情 報の盗難や漏洩の事例が注目を集めたことから、企業の情報防衛意識が急速に高まっており、需 要の拡大が見込まれる。 (2)市場規模とその推移 表 10 に国内セキュアコンテンツ管理製品の市場規模実績推定値と予測値を、図 19 にその市場 規模の推移のグラフを示す。 「セキュアコンテンツ管理製品」は平成 18(2006)年度は 1,147 億円と「情報セキュリティツー ル」市場の4割を占める最大のカテゴリである。また、その8割は企業向けと個人向けをあわせ た「アンチウイルス・アンチワーム・ソフトウェア」が占めている。 「アンチウイルス・アンチワーム・ソフトウェア(企業向けライセンス契約)/アプライアンス」 市場は平成 17(2005)年度には 449 億円だったものが、8.9%の成長で、平成 18(2006)年度は 489 億円の市場規模に達したものと推定される。その後の推移としては、平成 19(2007)年度は 527 億円(前年度比伸び率 7.8%)に拡大、平成 20(2008)年度は 538 億円(同 2.1%)に達すると予測 される。これは「情報セキュリティツール」市場全体と比較するとかなり緩やかな伸びであるが、 その普及率の高さにも拘らず拡大基調は続くと予測される。 36 全国銀行協会「インターネット・バンキングによる預金等不正引出し」に関するアンケート結果 http://www.zenginkyo.or.jp/news/2008/02/07110000.html - 53 - 表10 国内セキュアコンテンツ管理製品市場規模 売上金額(百万円) アンチウイルス・アンチワーム・ソフトウェア(企業) アンチウイルス・アンチワーム・ソフトウェア(個人) アンチスパム・ソフトウェア/アプライアンス URL フィルタリング・ソフトウェア/アプライアンス メールフィルタリング・ソフトウェア/アプライアンス アンチフィッシング・ソフトウェア/システム その他のセキュアコンテンツ管理製品 合計 実績と予測 平成 17 年度 平成 18 年度 平成 19 年度 平成 20 年度 44,907 37,175 1,821 3,237 6,994 495 3,586 98,214 48,921 44,710 2,268 5,234 8,833 861 3,831 114,657 52,718 45,933 2,615 6,076 11,104 1,274 4,185 123,905 53,813 46,444 2,626 6,100 11,535 1,545 4,587 126,651 45.7% 37.9% 1.9% 3.3% 7.1% 0.5% 3.7% 100.0% 42.7% 39.0% 2.0% 4.6% 7.7% 0.8% 3.3% 100.0% 42.5% 37.1% 2.1% 4.9% 9.0% 1.0% 3.4% 100.0% 42.5% 36.7% 2.1% 4.8% 9.1% 1.2% 3.6% 100.0% 8.9% 20.3% 24.5% 61.7% 26.3% 73.9% 6.8% 16.7% 7.8% 2.7% 15.3% 16.1% 25.7% 48.0% 9.2% 8.1% 2.1% 1.1% 0.4% 0.4% 3.9% 21.2% 9.6% 2.2% 構成比 アンチウイルス・アンチワーム・ソフトウェア(企業) アンチウイルス・アンチワーム・ソフトウェア(個人) アンチスパム・ソフトウェア/アプライアンス URL フィルタリング・ソフトウェア/アプライアンス メールフィルタリング・ソフトウェア/アプライアンス アンチフィッシング・ソフトウェア/システム その他のセキュアコンテンツ管理製品 合計 対前年度比成長率 アンチウイルス・アンチワーム・ソフトウェア(企業) アンチウイルス・アンチワーム・ソフトウェア(個人) アンチスパム・ソフトウェア/アプライアンス URL フィルタリング・ソフトウェア/アプライアンス メールフィルタリング・ソフトウェア/アプライアンス アンチフィッシング・ソフトウェア/システム その他のセキュアコンテンツ管理製品 合計 - - - - - - - - 「アンチウィルス・アンチワーム・ソフトウェア(個人ユーザ向けパッケージタイプ)」市場 は、平成 18(2006)年度には前年度比 20.3%増と、法人向けよりかなり高い成長率で拡大したもの と見られる。これは、法人向けに比べて低い普及率のために、啓発活動等の効果で対策ソフトの 導入が進んだ結果であると見ている。その一方で、平成 18(2006)年度から平成 19(2007)年度にか けて、前述のように価格競争が一気に噴出し、金額面での拡大に対してブレーキ要因になりつつ あると見られる。その結果、平成 19(2007)年度には前年度比伸び率は 2.7%と急減速して市場規 模は 459 億円となり、平成 20(2008)年度の成長は更に低迷して前年比 1.1%増の 464 億円程度に 留まるものと予測される。それでもセキュリティツール市場の中では企業向けアンチウイルス・ アンチワーム製品に次ぐ大規模市場を形成していると見られる。なお、セキュリティツール、サ ービスの全市場の中で、このセグメントだけが個人消費者向けの大規模市場を形成している。 アンチウイルス製品以外のセグメントで比較的規模が大きいのが「メールフィルタリング・ソ フトウェア/アプライアンス」の市場で、平成 18(2006)年度は前年度比 26.3%増加して 88 億円 - 54 - に達したものと見られる。この市場は平成 19(2007)年度も 25.7%伸びて 111 億円と、100 億円の 大台を捉えるものと予測される。 図19 国内セキュアコンテンツ管理製品市場推移 600 億円 500 400 300 200 100 0 平成17年度 平成18年度 平成19年度 アンチウイルス・アンチワーム・ソフトウェア(企業) アンチスパム・ソフトウェア/アプライアンス メールフィルタリング・ソフトウェア/アプライアンス その他のセキュアコンテンツ管理製品 平成20年度 アンチウイルス・アンチワーム・ソフトウェア(個人) URLフィルタリング・ソフトウェア/アプライアンス アンチフィッシング・ソフトウェア/システム この他、成長率の面で突出しているのが「アンチフィッシング・ソフトウェア/システム」市 場である。平成 18(2006)年度は 9 億円と「セキュアコンテンツ管理製品」市場の 0.8%の構成比 だが前年度比伸び率 73.9%と高い伸び率であり、平成 19(2007)年度は 13 億円(前年度比伸び率 48.0%) 、平成 20(2008)年度には 15 億円(前年度比伸び率 21.2%)と急速な市場の拡大が予測さ れる。 7.2.4 アクセス管理製品市場 (1)製品の特性と市場の動向 アクセス管理製品市場は、ネットワーク資源、コンピューティング資源にアクセスし利用する ユーザを電子的手段で特定し、予め設定されたルールに基づいて、アクセスや利用の許可を行う 機能を提供する製品群により構成される。本人特定(アイデンティファイ)と認証、アクセス権 限の付与と管理、電子証明の発行と管理等の機能を提供する、いわゆる Authentication(認証)、 Authorization(承認) 、Access Control(アクセス権の管理・制御) の機能を提供する製品群で ある。このカテゴリには、各種認証デバイス(装置・機器) 、アイデンティティ管理システム、デ ィレクトリ管理システム、PKI 関連システム、シングルサインオンシステムなどが含まれる。 また、5.2 項でも触れたが、このカテゴリの製品が備える機能の呼称について、 「アクセス制御」 と呼ぶケースが多いが、本調査では「アクセス管理」と定義している。原語は上記のように Access Control であり、 control の訳語の選択の問題であるが、機能の本質としては制御が目的ではなく、 管理と表現することが適当だと考えている。 アクセス管理とは、情報システムやネットワーク、あるいはファイルといった IT 資源にユー - 55 - ザがアクセスする際に、そのアクセスする本人がシステムに登録された正規のユーザであるかを 確認・検証し、IT 資源の利用を正規の権限を認められている範囲とレベルに限定することで、情 報システムの安全を確保する技術的手法である。 電子化されたファイルやデータとして保存された、多くの重要な情報に対し、ネットワークを 通して様々な場所から、昼夜を問わずアクセスできるようになった昨今、ネットワークに対する アクセス制御の必要性に疑問を挟む余地はない。しかし、それだけでは十分な対策とは言えず、 サーバ環境、ウェブアプリケーション環境下も含め、システムを使用する個人を識別し、適切な アクセス権を付与し、運用するアクセス管理の重要性はますます高まっていると言えよう。企業 の情報資産を情報漏洩や改ざん、盗難、紛失、消去といったセキュリティ上の脅威から守るため にも、 「アクセス管理」は非常に重要な機能である。業務効率を重視し、誰もがアクセスできると いう利便性を第一優先にする考え方を変え、リソース(情報<処理>資源)にアクセスできる人 間を、必要最小限に限定するというセキュリティ重視の思想に基づくシステムを構築・導入する 企業が、個人情報保護法や情報漏洩事件を契機に増加する傾向にある。また、近年では特に日本 版 SOX 法(10.3 項参照)への対応に牽引される形で、IT 内部統制のフレームワークとして広く 認知されている COBIT37を中心とした対策が注目を浴びている。最新の COBIT4.1 では 34 の IT プロセスが定義され、その上位として4つのドメインが定義される。その中で「サービス提供と サポート」のドメインに属する IT プロセスのうち、「DS5 (システムセキュリティの保証)」に 揚げられている項目の多くが、この「アクセス管理製品」カテゴリの製品で対応可能なことから、 IT の内部統制におけるインフラとしても特に注目度が高い分野である。 システムの適正な運用や、システム内での各個人のアクセス管理が、システムにおける内部統 制を考えた際に、インフラ面で重要なポイントとなる。セキュリティポリシーに則り、必要な人 間のみが、必要なシステムにのみアクセスできる環境、すなわち万が一の間違いアクセスや不正 アクセスにも、IT 技術で管理することで、不必要なアクセスの発生を最小限に抑止する環境を実 現することと、データの改ざんやプログラムの改ざんが行われず正確な処理を実施するシステム 運 用 が 、 今 後 、 さ ら に 重 要 視 さ れ て く る で あ ろ う 。 つ ま り 、 情 報 セ キ ュ リ テ ィ の CIA (Confidentiality:機密性、Integrity:完全性、Availability:可用性)という3大基本要素の中 の、機密性と完全性という面に、よりフォーカスが当たっていると言えよう。 また昨今、 「PCI DSS(PCI データセキュリティ基準)」と呼ばれる基準が注目を集めている。 PCI DSS は、多くの顧客情報を取り扱うクレジットカードビジネス関連事業者向けに策定された ものであるが、一般企業のセキュリティ対策にも有効なものと認識され、具体的な実施策として 普及の動きがある。PCI DSS は 12 項目の要件で構成されており、中でも要件 8「コンピュータ にアクセスする際,利用者ごとに識別 ID を割り当てること」を実現するための製品として、「ア クセス管理製品」カテゴリの製品への需要が高まることが予測される。今までセキュリティとい えばアクセス制御製品やセキュアコンテンツ管理製品がメインで拡大してきた市場において、ア クセス管理製品が今後より重要度を増す可能性を示していると見られる。 37 COBIT は、Control Objectives for Information and related Technology の略称。IT ガバナンス協会(IT Governance Institute: ITGI)が公表した IT のための内部統制フレームワーク。 http://itgi.org/ http://www.isaca.org/ - 56 - 「アクセス管理製品」カテゴリの中の、 「個人認証用デバイス及びその認証システム」製品に関 しては、ワンタイムパスワード、IC カード、USB キー、携帯電話等を用いて本人確認する機能 を提供するデバイス、及びそのシステム(生体認証を除く)などが存在する。「個人認証用生体認 証デバイス及びその認証システム」製品に関しては、指紋・静脈等の生体の特長のみならず、声 紋・筆跡等身体機能の特徴に着目して本人を特定する機能を提供するデバイスとその認証システ ムが存在する。認証は、ユーザを特定するための情報(ID)と、そのユーザが本人であることを 確認するための情報(通常は本人しか知らないものや本人しか持っていないもの(一意性のある 生体的特長を含む)で、コンピュータシステムにより認識ができるもの)の組合せにより行うの が一般的である。ワンタイムパスワードとして実用化されているものには、ハードウェアタイプ とソフトウェアタイプの2種類の製品が存在する。ハードウェアタイプには、時刻同期、カウン タ同期、チャレンジレスポンス等の方式が存在し、ソフトウェアタイプには、PC や携帯電話に ソフトウェアをインストールするものや、ウェブブラウザを利用し、位置情報やイメージ情報か らワンタイムパスワードを生成する製品が存在する。 「個人認証用生体認証デバイス及びその認証システム」 は、実用化されているものとして指紋、 手や指の静脈パターン、虹彩や網膜のパターン、顔そのもの、更には行為や行動の癖や特徴、声 といったものがある。生体認証に使われる情報は ID・パスワードと違って、個人を特定する上で 代替のきかない性格を持つため、一旦そのデジタルデータが漏洩した場合の影響は大きく、その データ自身の管理に対して、システム的に厳格な管理が求められる。また運用面についてもユー ザの心理面への配慮が求められる。 「ログオン管理製品」には、OS などと連動した認証機能が含まれているが、特に個人認証用 の各システムとも関わりが深い。例えばシングルサインオン(1 回の認証で複数のシステムへの アクセスを可能にする管理システム)を導入することで、ユーザの利便性を上げるとともに、個 人認証用の各システムと連携させることで、入り口部分の個人認証を強化し、ユーザがアクセス できるアプリケーションを制限するようなシステムを導入する場合も多い。 「アクセス許可製品」は、正しいユーザにアクセス権限を付与することで、保護対象となる情 報処理資源に対してのアクセスをコントロール(管理・制御)する。ポリシールールに基づきア クセスコントロールリスト(ACL)を作成し、それを運用することで、どのようなユーザにどの ようなアクション(システムやネットワークへのログオン、アプリケーションの実行、データベ ースの参照、ファイル操作等)が許されるのか、を管理する。アクセス許可製品で保護対象とな る情報処理資源はファイルやディレクトリをはじめ、ポートやログインアプリケーション、マシ ン名、ネットワーク ID、メモリ等、多岐に渡る。 「PKI システム及びそのコンポーネント」には、電子証明書の発行、管理、証明サービスを提 供するシステム及びその構成要素などの製品が存在する。但し、構築サービス(SI)は含まない。 また電子認証サービスも含まない。これらは各々「情報キュリティサービス」に計上される。 「その他のアクセス管理製品」には、卖独で販売されるディレクトリサービス製品、ネットワ ーク統合管理製品におけるユーザ管理モジュール、また、人事情報等と連携してユーザのアクセ ス権限を動的に管理する、いわゆるプロビジョニング(ユーザ別のシステム利用権限の定義)や アイデンティティ(本人特定情報)管理製品等がこのカテゴリを構成している。社員の流動化と - 57 - 派遣・パート等従業員構成の複雑化に伴い、システム上のユーザ管理も必然的に複雑化する。ま た同時に、業務の IT 化、システムのネットワーク化もますます進展するため、アクセス管理と ユーザ管理の重要性と難しさが共に深まっていく。特にユーザ ID は、システムやアプリケーシ ョンが個人を識別するためのものであり、その個人を主体に、企業内に種々点在するシステムの ID 管理を統合するアイデンティティ管理ツールは、物理的な一元化が困難な環境において、論理 的に一元化できる仕組みを構築するためのツールとして今後普及が見込まれる。 本人認証の手法として、 「リスクベース認証」という方法が登場している。これはアクセスして きたユーザの PC の識別記号、地理的場所、アクセス履歴や行動パターン、予め登録された質問 と答えのセット(本人しか知り得ない情報による)等を組み合わせて、高い精度で本人確認を実 現するという手法で、インターネットバンキングなど、IT に不慣れな人でも特定できる技術であ る。何をどう組み合わせれば実用目的に耐える精度が得られるかのアルゴリズムが開発されて実 用化が始まっている。 図 20 に平成 18(2006)年度のアクセス管理製品市場のセグメント別分布を示す。 図20 平成 18(2006)年度のアクセス管理製品市場 その他のアクセス管理 製品 43億円(9.2%) 個人認証用デバイス及 びその認証システム 158億円(33.8%) PKIシステム及びそのコ ンポーネント 49億円(10.5%) ログオン管理/アクセ ス許可製品 166億円(35.5%) 個人認証用生体認証 デバイス及びその認証 システム 51億円(11.0%) <(xx.x%)は構成比> 「個人認証用デバイス及びその認証システム」と並び、 「アクセス管理製品」カテゴリの市場の 約3分の1を占める「ログオン管理/アクセス許可製品」は、一般にシステム全体に対するアク セスを統合的に管理するため、機能間の連携が求められる領域であり、大規模ベンダによるトー タルソリューション提供が行われるケースが多い。従ってベンダ数も限られることになる。そし てインプリメンテーション(導入・設置)サービスで各企業のセキュリティポリシーや業務プロ セスに合った構築をすることが成功の鍵となる。 (2)市場規模とその推移 表 11 に国内アクセス管理製品の市場規模の実績と予測を、図 21 にその市場規模の推移のグラ フを示す。 アクセス管理製品の市場規模は、平成 18(2006)年度の実績で 467 億円(表 11 参照) 、「情報セ キュリティツール」市場全体 2,875 億円に対する構成比は 16.2 %であったと推定する。セキュ - 58 - アコンテンツ管理製品、アクセス制御製品に次ぐ規模の市場である。 「アクセス管理製品」カテゴ リ全体としては、平成 18(2006)年度には、467 億円(前年度比伸び率 19.7%)であった市場が、 翌年の平成 19(2007)年度には 500 億円を突破し、523 億円(前年度比伸び率 12.0%)に拡大、更 に平成 20(2008)年度には 574 億円(同 9.7%)に達すると予測される。 表11 国内アクセス管理製品市場規模 実績と予測 売上金額(百万円) 個人認証用デバイス及びその認証システム 個人認証用生体認証デバイス及びその認証システム ログオン管理/アクセス許可製品 PKI システム及びそのコンポーネント その他のアクセス管理製品 合計 平成 17 年度 平成 18 年度 平成 19 年度 平成 20 年度 12,254 4,251 14,649 4,604 3,264 39,022 15,790 5,140 16,582 4,914 4,280 46,706 18,556 5,474 17,390 5,028 5,879 52,325 21,315 5,867 18,377 5,156 6,705 57,420 31.4% 10.9% 37.5% 11.8% 8.4% 100.0% 33.8% 11.0% 35.5% 10.5% 9.2% 100.0% 35.5% 10.5% 33.2% 9.6% 11.2% 100.0% 37.1% 10.2 32.0% 9.0% 11.7% 100.0% 28.9% 20.9% 13.2% 6.7% 31.1% 19.7% 17.5% 6.5% 4.9% 2.3% 37.4% 12.0% 14.9% 7.2% 5.7% 2.6% 14.1% 9.7% 構成比 個人認証用デバイス及びその認証システム 個人認証用生体認証デバイス及びその認証システム ログオン管理/アクセス許可製品 PKI システム及びそのコンポーネント その他のアクセス管理製品 合計 対前年度比成長率 個人認証用デバイス及びその認証システム 個人認証用生体認証デバイス及びその認証システム ログオン管理/アクセス許可製品 PKI システム及びそのコンポーネント その他のアクセス管理製品 合計 - - - - - - 「アクセス管理製品」カテゴリでは、「ログオン管理/アクセス許可製品」セグメントが平成 18(2006)年度に 35.5%と最も大きな部分を占めた。市場規模は 166 億円であり、平成 19(2007) 年度は 174 億円に達すると見込まれる。前年度比成長率としては平成 18(2006)年度 13.2%、平成 19(2007)年度 4.9%、平成 20(2008)年度 5.7%と、比較的低い伸び率に留まると推測され、平成 19(2007)年度には、 「個人認証用デバイス及びその認証システム」セグメントと構成比においての 逆転が予測される。 「アクセス管理製品」カテゴリのうち、もっとも高い成長率が見込まれているのが「その他の アクセス管理製品」であり、平成 18(2006)年度から平成 20(2008)年度の各年度の前年度比成長率 が、各々31.1%、37.4%、14.1%と予測される。コンプライアンスや内部統制への対応や、プロ ビジョニング管理という視点から、ディレクトリサービス製品やアイデンティティ管理ツールな どへの需要は高まっており、このセグメントの製品の導入は増加するものと予測される。また、 「個人認証用デバイス及びその認証システム」については、平成 18 年度から 20 年度の各年度の 前年度比成長率が、各々28.9%、17.5%、14.9%と予測され、情報システムへのアクセスの入り - 59 - 口部分における認証強化の需要に対し、高い成長を続けることが推測される。 図21 220 200 180 160 140 120 100 80 60 40 20 0 国内アクセス管理製品市場推移 億円 平成17年度 平成18年度 平成19年度 個人認証用デバイス及びその認証システム ログオン管理/アクセス許可製品 その他のアクセス管理製品 平成20年度 個人認証用生体認証デバイス及びその認証システム PKIシステム及びそのコンポーネント 一方、「個人認証用生体認証デバイス及びその認証システム」、「PKI システム及びそのコンポ ーネント」については、1 桁台の緩やかな伸びに留まると見られる。生体認証デバイスについて は、その使い勝手や精度の面から急速な普及が期待されたが、銀行 ATM やオフィスの出入口で の認証用途には普及が進んでいるもの、IT 資源へのアクセス管理用途では一部の PC での組み込 みログオン認証程度に留まっており、市場の規模や伸びは限定的である実態が見えてきた。 「アクセス管理」は、大規模システムや基幹系システムでは以前から組み込まれており、成熟 市場のイメージがあったが、内部統制からの必要性や情報セキュリティ対策の面から適用対象が 拡大し、また管理の高度化も進展して、比較的高い市場成長が見込まれる状況となってきた。 7.2.5 システムセキュリティ管理製品市場 (1)製品の特性と市場の動向 「システムセキュリティ管理製品」カテゴリは、市場規模は本調査対象の全体に比べると比較 的小規模だが、平成 18(2006)年度に非常に高い成長率を示している事から、注目を集めている市 場であると言える。このカテゴリには以下の 4 種類の中分類市場区分(セグメント)が存在する。 ①「セキュリティ情報管理システム/製品」 セキュリティ対策機器の情報を統合管理する製品や、ネットワーク管理システムにおいて 特にセキュリティ情報に関して取りまとめ、ネットワーク管理コンソール等にリアルタイム に情報やアラート(警報・警告)を上げる製品。ファイアウォール、IDS、アンチウイルス、 URL フィルタリング等のセキュリティ対策製品やルータ、スイッチ等のネットワーク管理製 品、サーバなどのログやアラート情報等複数の情報を集約する事により、ネットワークセキ ュリティの一元管理を行い、リアルタイム監視を実現する製品を指す。 - 60 - ②「脆弱性検査製品」 システムや製品に対して擬似的な攻撃を実施したり設定内容をチェックする事により、対 象となるシステムや製品の脆弱性を洗い出す製品が中心。サーバ、クライアント、ネットワ ーク機器のみならずウェブアプリケーションやデータベース等を検査の対象とする製品も含 まれる。 ③「ポリシー管理・設定管理・動作監視制御製品」 ネットワーク上の各マシン(サーバやクライアント PC)に対して OS のパッチ適用状況 やアプリケーションのインストール状況及び設定等の情報をチェックし、定められたポリシ ーに準拠しているか監視したり、ポリシー違反の操作を制御する事により管理を実施する機 能を提供する製品。 ④「その他のシステムセキュリティ管理製品」 過去に発生した事象の証拠保全や不正アクセスの追跡のために、電磁的記録の証拠保全及 び調査・分析を行う機能を有するデジタルフォレンジック製品や、セキュリティ目的のログ 収集・保管・解析機能を有する製品をこのセグメントにまとめている。(但し、ログ収集・解 析機能を有する製品の内、リアルタイム監視を目的とする製品は「セキュリティ情報管理シ ステム/製品」に分類しており、 「その他のシステムセキュリティ管理製品」では主に傾向解 析等スタティックな目的のものを対象としている。 ) これら4セグメントの平成18(2006)年度における分布を図22に示す。 図22 平成 18(2006)年度のシステムセキュリティ管理製品市場 セキュリティ情報管 理システム/製品 128億円(33.5%) その他のシステムセ キュリティ管理製品 67億円(17.6%) ポリシー管理・設定 管理・動作監視制御 製品 157億円(41.0%) 脆弱性検査製品 31億円(8.0%) <(xx.x%)は構成比> 「セキュリティ情報管理システム/製品」はSIM38またはSEM39とも呼ばれており、ネットワー ク及びネットワーク上の各資源の可用性を確保する必要性から、ネットワーク管理全体を中核に 据え、その一要素としてセキュリティ管理を実施しようという発想をベースとしている。セキュ リティの脅威に対抗するために企業等ではファイアウォール、IDS/IPS等のアクセス制御製品や、 38 39 Security Information Management:セキュリティ情報管理 Security Event Management:セキュリティイベント管理 - 61 - アンチウイルス、URLフィルタリング、スパムメール対策等セキュアコンテンツ管理製品を導入 している。また、近年増加している情報漏洩事件の対策として、中小規模の企業等で複数のセキ ュリティ対策製品を新たに導入するケースも増えている。その結果、運用管理すべき製品が増加 しているが、運用管理者は、各製品から出力されるアラート情報への対応や影響度合いの把握等 をその都度行わなければならない。ネットワークやサーバ構成の高度化に加え、ネットワーク脅 威が複雑化していることから、運用管理者の負担が高まり、迅速で的確なインシデント対応が困 難となっている。そのため、各々の製品から出力されるアラートへの対応、製品運用の効率化、 コスト削減、リアルタイム分析による総合的なセキュリティ強化等のニーズが高まり、セキュリ ティ情報の一元管理や各製品の統合管理を実現するSIMの必要性が増し、需要を拡大させている と分析される。また、元々米国では2002年に成立したSOX法対策としてSIMが注目された経緯も あり、日本版SOX法対策としても非常に注目を集めている。ここ数年、国内でもSIMという名称 が広く認知されてきている事からもその注目度の高さが伺える。 「セキュリティ情報管理システム/製品」はセキュリティ専業ベンダから卖体製品で提供され るものが多いが、大手システムベンダが取り扱う場合は、トータルソリューションとしてのネッ トワーク管理プラットフォームの一部として提供されるケースが多い。また、最近では別の製品 との連携を行いリアルタイムで相関分析等を行う機能を有する製品も出てきており、供給側とし ても従来の製品との差別化を図ろうとしている傾向が伺える。 「ポリシー管理・設定管理・動作監視制御製品」は、クライアントマシンやサーバマシンに対し て、次のような管理をするための機能を提供する製品である。 ① インベントリ管理 管理対象マシンの OS 情報やセキュリティパッチ適用状況、インストールされているソ フトウェアの情報、ウイルス対策ソフトのバージョンや定義ファイルの情報等のインベン トリ情報や、CPU の使用率やハードディスクの空き容量等のハードウェア情報を収集し、 表示する機能。 ② ポリシー管理 OS やアプリケーションに対するアクセス権の設定やパスワード管理機能等の状態等、 サーバやクライアント PC 内部の設定や運用状況が、あらかじめ定められたポリシーに準 拠して行われているかをモニタし報告する機能。 ③ 動作監視 管理対象マシンにおいてユーザが行う、ファイルの編集、更新、複写、印刷、外部記憶 装置への書き出し、転送といった、情報操作のための動作や行為に対しての監視、制御、 警告、報告機能。 情報漏洩や流出事故を未然に防止するため、従来はユーザの各マシンに対する操作内容や、マ シン個別の設定について規則を定めて守らせることに依存していた。しかし、規則による制御は 人的な要素が強く、ユーザの意識やスキルに大きく左右され、また管理対象・項目が増加するに つれて実際に規則が遵守されているかをチェックする際のコストも増大していった。そのような 状況の中で、 「ポリシー管理・設定管理・動作監視制御製品」を導入する事により、技術的な管理・ - 62 - 制御が可能となり、規則のみで制御を行っていた時よりも厳密で詳細なポリシーを定める事も可 能となった。例えば、パッチの適用状況やアクセス権の設定状況、パスワード管理についてもそ の更新頻度や指定する属性が決められたポリシーの要件を満たしているか等の調査や、OS 等の 脆弱性を塞ぐために配布されるセキュリティパッチの適用状況を確認する事により、管理対象の マシンが適正な状態を保っているかを確認する事も可能である。これらの状態を適切に管理する 事により、セキュリティレベルを高めることができる。また、外部媒体へのファイルコピー等規 則違反の操作をした場合に操作を制御し、管理者にアラートを上げる等、情報セキュリティポリ シーの遵守(コンプライアンス)状態を把握し、制御するためのツールとしても利用価値は高い。 システムの中でポリシーがどのように設定に反映され、運用されているかを監視する事は組織 の情報セキュリティ管理策を実現するための非常に重要な要素となっている。そのための管理ツ ールとしての「ポリシー管理・設定管理・動作監視制御製品」は、日本版 SOX 法において内部 統制の基本要素として盛り込まれている「IT の活用」における重要なポイントとなるため、引き 続き高い需要の伸びが予測される。 「ポリシー管理・設定管理・動作監視制御製品」については、ユーザの関心が、外からの攻撃 等の外部的要因による脅威から、内部犯行やミスに起因する情報漏洩等の内部的要因による脅威 に対する対策に向かうにつれて、需要が顕在化したとも言える。この分野については、未だ導入 が進んでいない中小企業をターゲットに設定の簡易化や収集情報のレポート機能を強化した製品 の供給も見られる等、国内ベンダを中心に供給側の営業の活発化と多様化が見られ、市場の急成 長を牽引している模様である。 「脆弱性検査製品」は、ネットワーク機器やサーバを検査して、外部からの不正アクセスや攻 撃等の脅威に対して、侵入を許すセキュリティホール等の脆弱性が存在しないかを確認するため のツールである。脆弱性検査製品には、ネットワーク型とホスト型が存在しており、このうちホ スト型と呼ばれる製品は、検査対象のマシンにエージェントソフト(もしくは検査ツール自体) をインストールし、 「ポリシー管理・設定管理・動作監視制御製品」の②の機能と同等の働きをす る。ホスト型の利点としては、対象のマシン上で検査を実施するため、より詳細な情報が得られ る事である。但し、検査対象のマシン上で動作するかを確認するために、動作環境のチェックや 動作検証の実施等を事前に行っておく必要がある。 ネットワーク型またはスキャンタイプと呼ばれる製品は、検査ツールをインストールしたマシ ンからネットワーク越しに検査対象マシンに対して擬似攻撃を仕掛けるもので、攻撃者と類似の 手法を使うことで外部からの攻撃に対する脆弱性をチェックする機能を提供する。実際に擬似攻 撃を仕掛ける事により、攻撃者が検査対象マシンを攻撃する事が可能かを確認する事ができる。 ウェブアプリケーションの脆弱性が問題化していることから、プラットフォームでなくウェブア プリケーションを対象とした脆弱性検査製品も数種類登場している。ネットワーク型の脆弱性検 査については、ネットワーク越しに検査を実施するという性質から、ASPとしてサービスを提供 している業者も存在する。脆弱性検査製品については、専門知識が必要なことから一般ユーザへ の普及は限られており、専門知識を有するサービス提供事業者が脆弱性診断サービス等のために 使用するケースが多い。今後は、近年増加しているウェブアプリケーションの攻撃に対して、ア - 63 - プリケーションベンダが品質確保のために脆弱性検査製品を利用する等の使われ方も増えていく と推測される。 「その他のシステムセキュリティ管理製品」の主なものは、セキュリティ事象や不正アクセス を追跡するために、電磁的記録の証拠保全及び調査・分析を行う機能を有する、いわゆるデジタ ルフォレンジック製品を含む。近年多発している情報漏洩事件に対して、不正アクセス・不正行 為の記録を追跡するためにもログ確保の重要性は増しており、その機能としても卖一のシステム のログを分析するだけでなく、複数のシステムの大量なログを統合し統計分析を行える機能や、 証拠保全のためのログの改ざん防止機能を保有している必要がある。また、日本版SOX法におい て要求されるIT統制の有効性を証明するために導入されるケースも増加しており、今後も需要が 見込まれていく分野であると考えられる。 需要の顕在化に伴ってログ統合管理ソリューションが各ベンダから提供され始めており、内部 統制等をキーワードとして売り込みが図られている。ログ統合管理ソリューションの導入に伴い、 今後はその結果を分析・活用するサービス等の他の分野も含めて市場が一層活性化することが期 待される。 (2)市場規模とその推移 表12に国内システムセキュリティ管理製品市場の市場規模実績推定値と予測値を、図23にその 市場規模の推移のグラフを示す。 「システムセキュリティ管理製品」市場は平成 18(2006)年度には全セグメント合せて 384 億円 程度の市場を形成しており、平成 17(2005)年度の 275 億円に比べて 39.4%増と高い成長率を示し ている。平成 19(2007)年度も前年度比 17.9%伸びて 453 億円に、平成 20(2008)年度には同 10.1% の成長率で 498 億円と、 短期間のうちに市場規模が 500 億円台に達する勢いを示すと予測される。 これは、構成比率でこのカテゴリ全体の約 4 割を占める「ポリシー管理・設定管理・動作監視制御 製品」が、情報漏洩対策、日本版 SOX 法対応等の需要促進要因に引っ張られて高成長を遂げる ことによる。 各セグメントの内容を見てみると、 「セキュリティ情報管理システム/製品」は前年度比成長率 で平成 18(2006)年度 17.5%、平成 19(2007)年度 19.9%と成長を続けるが、平成 20(2008)年度に は市場への浸透が一巡して伸びも止まるものと予測する。市場規模としては平成 17(2005)年度の 109 億円から平成 20(2008)年度には 157 億円に達すると予測する。 「ポリシー管理・設定管理・動作監視制御製品」は平成 18(2006)年度に前年度比成長率 61.0% と極めて高い伸び率を示し、 「セキュリティ情報管理システム/製品」の市場規模を超えている。 今後も近年高まりつつある内部要因の脅威対策としての需要が見込まれる。その結果、平成 19(2007)年度 20.4%、平成 20(2008)年度 17.4%と順調に市場を拡大していくと推測され、市場規 模は平成 17(2005) 年度の 98 億円から平成 20(2008)年度には 223 億円に達すると見られる。 - 64 - 表12 国内システムセキュリティ管理製品市場規模 売上金額(百万円) セキュリティ情報管理システム/製品 脆弱性検査製品 ポリシー管理・設定管理・動作監視制御製品 その他のシステムセキュリティ管理製品 合計 実績と予測 平成 17 年度 平成 18 年度 平成 19 年度 平成 20 年度 10,922 2,436 9,778 4,389 27,525 12,838 3,051 15,741 6,745 38,375 15,391 3,373 18,957 7,538 45,259 15,686 3,626 22,254 8,260 49,827 39.7% 8.8% 35.5% 15.9% 100.0% 33.5% 7.9% 41.0% 17.6% 100.0% 34.0% 7.5% 41.9% 16.7% 100.0% 31.5% 7.3% 44.7% 16.6% 100.0% 17.5% 25.2% 61.0% 53.7% 39.4% 19.9% 10.6% 20.4% 11.7% 17.9% 1.9% 7.5% 17.4% 9.6% 10.1% 構成比 セキュリティ情報管理システム/製品 脆弱性検査製品 ポリシー管理・設定管理・動作監視制御製品 その他のシステムセキュリティ管理製品 合計 対前年度比成長率 セキュリティ情報管理システム/製品 脆弱性検査製品 ポリシー管理・設定管理・動作監視制御製品 その他のシステムセキュリティ管理製品 合計 - - - - - 「脆弱性検査製品」は平成 18(2006)年度には前年度比成長率 25.2%とやや高い伸びを見せた。 この分野は比較的早くから製品が提供され市場に浸透しており、また需要層も限られているが、 平成 17(2005)年度から平成 18(2006)年度にかけてはウェブアプリケーションの脆弱性検査ツー ルが登場したことで短期的に市場が拡大したものと見られる40。今後も卖独製品としての新規需 要は限定的であると考えられ、平成 19(2007)年度以降の伸び率は落ち着いていくものと予測され る。 「その他のシステムセキュリティ管理製品」についても平成 18(2006)年度に前年度比成長率 53.7%と極めて高い伸び率を示している。これは、監査対応としてのログ収集・解析の需要が大 きかった事を表していると考えられる。ユーザの関心度が非常に高い分野であり、フォレンジッ クという用語が一般的に認知されてきている事からもその事が伺える。今後も監査対応の需要が 続く事が見込まれており、各年度 10%程度の伸びが予測される。 40 日本では 2004 年に Web Application Security Forum が結成され、2005 年頃から活発な普及活動を推進して いる。 http://www.wasf.net/index.html - 65 - 図23 国内システムセキュリティ管理製品市場推移 250 億円 200 150 100 50 0 平成17年度 平成18年度 平成19年度 セキュリティ情報管理システム/製品 ポリシー管理・設定管理・動作監視制御製品 平成20年度 脆弱性検査製品 その他のシステムセキュリティ管理製品 7.2.6 暗号製品市場 (1)製品の特性と市場の動向 「暗号製品」は、 「データ暗号化製品」 、すなわちユーザが直接取り扱うメール、ファイル、デ ィスク、 記憶デバイス等のデータを暗号化することを主たる機能とする製品群、「暗号化ミドルウ ェア」 、 すなわちシステムやアプリケーション上でやり取りされるデータの暗号化を行う暗号ライ ブラリや、他の製品やアプリケーションに組み込むための暗号化モジュール等の中間製品群、及 び電子透かし等の「その他暗号製品」が市場を形成している。どの製品群とも権限外使用、盗聴、 漏洩、改ざん等を防止したり発見したりすることが主目的である。 「データ暗号化製品」は共通鍵暗号方式を利用することが多く、データを利用するユーザ自身 は暗号化をほとんど意識しない透過的な暗号化機能を提供する製品と、ユーザがデータの暗号化 のために個別的にアクションを取る必要のある製品に大きく分けられる。 透過的な暗号化を利用した製品としては、PC のディスクや USB などの外部デバイスを暗号化 するなどデータが存在しているデバイス自体を暗号化する製品が主流である。このような製品は PC や外部デバイス自体の紛失・盗難対策として利用される。PC を利用するユーザは PC 起動時 にパスワードや認証デバイスによる認証を行うことによってログインし、一旦ログインするとユ ーザは暗号化を意識せずに PC や外部デバイスを利用することができる。また PC を外部へ持ち 出す営業や技術者の情報漏洩の対策のために HDD の暗号化製品の導入も大企業から始まり、大 企業と取引を行う中小企業にも普及している。 この種の製品は、ユーザの利便性をほとんど変えずに導入及び利用ができ、PC や外部デバイ スの盗難や紛失対策として有効なことから非常に注目されている。ただし、PC や外部デバイス 全体を守る目的の製品であるため、データがメールや対象外の外部デバイスなどで暗号化対象領 域から移動した場合に、自動で暗号化が解除されてしまうことが多い。そのため紛失・盗難対策 - 66 - としては有効であるが、メール誤送信による情報漏洩や、内部犯が故意に持ち出したデータなど を守ることは難しい。そこでメール関連のセキュリティ製品との連携やデバイス認証・制御機能 を実装することにより情報の移動を制限する製品や、暗号化対象外への出力時には強制的に暗号 化する製品が提供されている。 ユーザが暗号化を意識する製品としては暗号・復号鍵を用いることによって権限に応じてデー タ暗号を行う製品が主である。このような製品は、組織やグループなどで共通鍵を作成すること により、組織内では暗号化されたデータは復号できるが、組織の外部に対しては権限外の利用、 盗聴を防げる構造となっている。 電子メールでの誤送信による情報漏洩を防ぐために、添付ファイルを自動的に暗号化して送信 する製品やメール本文までを暗号化する製品もある。情報漏洩による取引先への影響を考慮した 企業が先進的に導入を開始しているが、添付ファイルを zip41暗号化して送信する、運用による対 策に頼っている企業も未だ尐なくない状況である。他にもパスワードを利用した自己復号型の暗 号化製品もあり、鍵を利用した暗号に比べてセキュリティ強度は低いが、パスワードという手軽 さからユーザニーズが高く、他の暗号化機能と組み合わせた製品が普及している。 平成 18 年度における暗号化製品市場の内訳は図 24 のような分布となっている。メール、フ ァイル、ディスク、記憶デバイス等の暗号化を主とする「データ暗号化製品」が暗号化製品市場 の殆どを占めており、続いてシステムやアプリケーション上でやり取りされるデータを暗号化す る「暗号化ミドルウェア製品」が続き、他の製品やアプリケーションに組み込む「その他暗号化 製品」といった市場となっている。組み込み用の暗号化モジュールは、電子ゲームや家電製品の ネット対応機能が進むにつれ、内部でデータ等を暗号化して保持する必要から組込みニーズが急 速に拡大している。これら暗号化製品の多くに言えることは、内外を問わず情報漏洩を防止する ために導入されるほか、内部統制の観点でのデータの改ざんを防止するために導入する、という ケースも増えてきている点で、IT 化の進展と共に様々な場と形で利用が広がるものと見られる。 図24 平成 18(2006)年度の暗号製品市場 その他の暗号製品 14億円(5.6%) 暗号化ミドルウェア 35億円(14.0%) データ暗号化製品 203億円(80.4%) <(xx.x%)は構成比> 41 データの圧縮形式及びそのファイルフォーマット。世界的に利用され、圧縮ファイルのデファクトスタンダー ド。パスワードを設定することで簡易暗号化が可能。 - 67 - 企業間取引や企業内においての情報漏洩対策や内部統制対策として注目を浴びているのが DRM(Digital Rights Management)と呼ばれる製品群で、元は音楽や動画コンテンツの著作権保 護目的で開発されたが、取引先等にデータを渡した後も、利用目的外や利用範囲外を制御できる ことから、知的財産権の保護目的を中心に普及が進んでいる。DRM は暗号技術の応用製品であ るが、その目的がコンテンツの保護に重点があるとの理解から、本調査では「セキュアコンテン ツ管理製品」として集計し、 「暗号製品」には含めていない。 暗号製品の供給サイドについて言えば、 「暗号」という概念自体が歴史的に非常に古いことから 世界中で研究されており、開発主体・提供主体は多岐にわたる。一方、相互運用や互換性の必要 や、安全保障の観点から暗号鍵をどう管理するかの課題もあり、市場を形成するベンダの数は比 較的限られることとなる。 国内ベンダも国際的に通用する暗号技術を持っている企業も多くあり、 内外ベンダの共存と競争が存在している。 なお、暗号のもつ新しい課題として、「危殆化」が課題になっている。現在の暗号は、暗号デー タからの鍵の解読に天文学的時間を要することで実用性を確保する仕組みが主流だが、コンピュ ータ性能の進化により、その時間は加速度的に短縮され、いつかは解読される可能性を秘めてい る。DES や SHA-1 が“破られる”という経験から、暗号アルゴリズムが解明される前に更に安 全な暗号に移行させることで機密を保持する仕組みの研究が進められている。 (2)市場規模とその推移 表13に国内暗号製品の市場規模実績推定値と予測値を、図25にその市場規模の推移のグラフを 示す。 暗号製品市場は平成 18(2006)年度に前年度比成長率 32.0%と高い伸びを示して 253 億円の市場 規模に達したものと見られる。個人情報保護法対策が盛んであった平成 17(2005)年度にも市場は 大きく拡大したものと推測されるが、平成 18(2006)年度、平成 19(2007)年度と引き続き高成長を 維持するとの推定結果となった。この結果、平成 19(2007)年度の市場規模は 335 億円に達し、更 に平成 20(2008)年度には 395 億円と、400 億円近い規模にまで拡大するものと予測される。 ISMS 認証取得企業におけるセキュリティ対策やセキュリティポリシーにより、あるいは日本 版 SOX 法対応における取引の真正性確保の必要から、拠点間や取引先との交換データの保全を 実現するための対策として暗号製品が採用されるという背景の存在がうかがえる。 「暗号製品」市場の約 8 割を占める「データ暗号化製品」は、平成 17(2005)年度に 157 億円であ ったものが平成 18(2006)年度には 29.0%の成長で 203 億円に達し、平成 19(2007)年度の 265 億 円(前年度比成長率 30.3%)を経て平成 20(2008)年度には 310 億円規模(同 17.1%)にまで拡大 するものと見られる。 「暗号化ミドルウェア」のセグメントは、組込み用途の旺盛な需要に支えられて、平成 18(2006) 年度には前年度比 45.4%伸びて 35 億円規模となったものと見られるが、更に平成 19(2007)年度 に前年度比 41.2%、平成 20(2008)年度に同 23.4%増加して 62 億円に達するものと予測される。 - 68 - 表13 国内暗号製品市場規模 実績と予測 売上金額(百万円) 平成 17 年度 平成 18 年度 平成 19 年度 平成 20 年度 データ暗号化製品 暗号化ミドルウェア その他の暗号製品 合計 15,744 2,428 954 19,126 20,304 3,530 1,419 25,254 26,453 4,985 2,040 33,479 30,971 6,152 2,398 39,521 82.3% 12.7% 5.0% 100.0% 80.4% 14.0% 5.6% 100.0% 79.0% 14.9% 6.1% 100.0% 78.4% 15.6% 6.1% 100.0% 29.0% 45.4% 48.7% 32.0% 30.3% 41.2% 43.8% 32.6% 17.1% 23.4% 17.5% 18.0% 構成比 データ暗号化製品 暗号化ミドルウェア その他の暗号製品 合計 対前年度比成長率 - - - - データ暗号化製品 暗号化ミドルウェア その他の暗号製品 合計 これら暗号製品市場は、今後も情報漏洩対策、企業秘密保護対策、内部統制対策(真正性、耐 改ざん性確保)としてのデータ保護や、情報家電製品等におけるシステムのセキュリティ確保の 手段として、速い速度で成長していくものと考えられるが、平成 20(2008)年度には普及度の高ま りから成長率はやや落ち着くものと予測する。 図25 国内暗号製品市場推移(売上単位:億円) 350 億円 300 250 200 150 100 50 0 平成17年度 平成18年度 データ暗号化製品 平成19年度 暗号化ミドルウェア - 69 - その他の暗号製品 平成20年度 国内情報セキュリティサービス市場の分析 8. 8.1 情報セキュリティサービス市場の全体概要 「情報セキュリティサービス」とは、情報セキュリティ実現のための様々なサービスを指すも ので、 「情報セキュリティツール」がハードウェアもしくはソフトウェアという形のある商品、既 製品のイメージであるのに対して、全くソフト的なビジネス、形のない、個別対応型のいわゆる 役務契約型のサービス提供と定義している。 このカテゴリには、大分類として「セキュリティコンサルテーション」、「セキュアシステム構 築サービス」 、 「セキュリティ運用・管理サービス」 、「セキュリティ教育」、 「情報セキュリティ保 険」の 5 カテゴリを定義した。ツールに直接関連する保守・サポートや更新サービスはツールの 市場に付帯するものとしてツール側に含め、サービス分野には入れていない。ただし、ツール類 を導入するに際しての使用条件や各種パラメータの設定といった導入支援サービスについては、 それがツールと独立して価格付けされる場合にはサービス市場としてカウントするものとしてい る。似たケースで、特定のツールの納品に際して納入業者が無償で簡卖な設定やチューニングを 行うものについてはツールの対価の一部という仕訳になる。 表 14 に国内情報セキュリティサービス市場規模の実績推定値と予測値を示す。 表14 国内情報セキュリティサービス市場規模 実績と予測 金額卖位:百万円 年度別売上高推計値 セキュリティ・サービス セキュリティコンサルテーション セキュアシステム構築サービス セキュリティ運用・管理サービス セキュリティ教育 情報セキュリティ保険 セキュリティサービス市場合計 平成17年度 売上実績推定値 金額 構成比 平成18(2006)年度 売上実績推定値 金額 構成比 成長率 54,701 19.9% 63,485 21.1% 143,494 52.1% 142,397 47.3% 60,633 22.0% 71,946 23.9% 12,374 4.5% 16,331 5.4% 4,010 1.5% 7,064 2.3% 275,212 100.0% 301,223 100.0% 平成19(2007)年度 売上高見込推定値 金額 構成比 成長率 16.1% 72,218 21.7% -0.8% 145,394 43.7% 18.7% 86,267 25.9% 32.0% 20,480 6.2% 76.2% 8,477 2.5% 9.5% 332,837 100.0% 平成20(2008)年度 売上高予測値 金額 構成比 成長率 13.8% 77,413 22.2% 2.1% 140,781 40.4% 19.9% 96,800 27.8% 25.4% 24,046 6.9% 20.0% 9,491 2.7% 10.5% 348,532 100.0% ここに見るように、平成 17(2005)年度の「情報セキュリティサービス」市場規模は 2,752 億円 と推定される。平成 18(2006)年度は、「情報セキュリティサービス」市場全体で対前年度比成長 率 9.5%の伸びを示して推定 3,012 億円に達した。情報セキュリティサービス市場の最大のカテ ゴリである「セキュアシステム構築サービス」は 0.8%減と若干のマイナス成長になったが、次に 大きなセグメントである「セキュリティ運用・管理サービス」は平成 17(2005)年度比 18.7%増と 高い伸びを見せ、「セキュリティコンサルテーション」(同 16.1%増)、「セキュリティ教育」(同 32.0%増) 、「情報セキュリティ保険」(同 76.2%増)と共に市場を牽引して情報セキュリティサー ビス市場全体の同 9.5%の成長を引っ張る構造となっている。 図 26 に平成 18(2006)年度の国内情報セキュリティサービス市場のカテゴリ別分布を示す。ま た図 27 は国内情報セキュリティサービス市場の経年推移を表した図である。 - 70 - 7.2% -3.2% 12.2% 17.4% 12.0% 4.7% 「情報セキュリティサービス」市場の中で最大のカテゴリは「セキュアシステム構築サービス」 で、平成 17(2005)年度実績推定値で 1,435 億円と、情報セキュリティサービス市場全体の 52.1% を占めた。このカテゴリは、IT システムのセキュリティ機能を設計・製品導入・構築するサービ スである。システムインテグレーションに際してセキュリティ機能を組み込む部分のサービスや、 既存の IT システムに対してセキュリティ機能を付加したり強化したりするために、IT セキュリ ティシステムを設計・製品導入・構築するサービスが中心となる。システムインテグレーション的 要素が強いために、市場規模も大きなものになっている。 次に大きなカテゴリは「セキュリティ運用・管理サービス」で、平成 17(2005)年度実績は 606 億円と推定される。このカテゴリは、顧客のネットワークにセンサを設置し、あるいは顧客の社 内 LAN に設置したファイアウォール等の装置の情報を直接吸い上げ、顧客のネットワークのセ キュリティ状態を監視したり、インシデント発生時の対応を支援したりするサービスが主なもの である。外部からの攻撃等によるネットワーク上のトラブルは、専門の技術者でないと対応が難 しい。専門家のサービスを利用すべきという判断をする企業も多く、古くからこの種のサービス が専門事業者によって提供されている。このほか、リアルタイムの監視まではしなくても定期的 にログ解析を外部委託してネットワークの状態を把握したり、外部ネットワークからの擬似攻撃 により潜在的弱点をチェックしたり、といったサービスがこのカテゴリに含まれる。 図26 平成 18(2006)年度の国内情報セキュリティサービス市場 セキュリティ運用・ 管理サービス 719億円(23.9%) セキュリティ教育 163億円(5.4%) 情報セキュリティ 保険 71億円(2.3%) セキュリティコンサ ルテーション 635億円(21.1%) セキュアシステム 構築サービス 1,424億円(47.3%) <(xx.x%)は構成比> 「セキュリティ運用・管理サービス」に関しては、1990 年代後半から、ネットワークインテグ レーション分野で情報セキュリティに特化した企業等がプロフェッショナルサービスとして展開 してきており、比較的長い歴史を持つ。その主要顧客は経営の IT への依存度が高いか、セキュ リティに対する意識の高い一部企業に限られてきたと言える。それがここへ来て、複雑化するネ ットワーク、高度化し頻度が高まる攻撃、そして OS やネットワークの脆弱性発生(発見)の深 刻化等を背景に、専門サービスに対してアウトソーシングの形で積極活用しようという判断が増 - 71 - えてきている。 そのようなユーザ側の動向に加えて、 ベンダから提供される監視サービスなどが、 競争にさらされる中でサービス品質が高まると共に価格も相当程度低下が進み、魅力を取り戻し つつある。こうしたことも奏功して、漸く拡大期を迎えつつあると言える。 その結果平成 17(2005)年度は対前年度比 18.7%と相当に高い伸びで 719 億円に達し、平成 19(2007)年度も対前年度比 19.9%と高い伸びを維持して 863 億円となり、平成 20(2008)年度には 伸び率はやや鈍化するが対前年度比 12.2%の成長で 968 億円と、1,000 億円の大台を伺う規模に まで達するものと予測される。 金額規模では情報セキュリティサービス市場の中で3番目だが、ここに来て需要が一層高まっ ているのが「セキュリティコンサルテーション」である。特に「セキュリティ運用管理全般のコ ンサルテーション」 、 「セキュリティポリシー構築支援」、 「セキュリティ認証取得支援サービス」 等、情報セキュリティの技術的側面よりは、経営管理の視点から専門家の支援を活用する動きが 顕在化して来た。ツールのようにハードウェアのためのコストがかからず、SI のように工数も大 きくなりにくいために、金額はそれほど大きくならない。経営コンサルに近いところに位置する ので、会計監査法人系、SI 系、独立系等多様な事業者がサービスを提供している。 「セキュリティコンサルテーション」に関しては、情報漏洩対策や個人情報保護法対応による 効果で、従来は需要の尐なかった産業分野でも広く新規需要が発生している。特に小売業(典型 的には通信販売業等) 、信販業、旅行その他のサービス業等、個人消費者を多数顧客に抱える業態 にも浸透し出している。これら業種は、従来 IT 依存度がそれほど高くなく、高度なネットワー ク管理や情報セキュリティ対策に関心が低かった。個人情報保護法の施行に伴って対応を急ぐよ うになり、その際経験や知識を補う意味で、あるいは専門家の判断を仰ぐ意味で、セキュリティ コンサルティングや診断・監査を利用するケースが目立って増えている。この発想を一歩進めて プライバシーマーク認定や ISMS 認証の取得に踏み切るところも多く、その取得支援サービスや、 認証サービスの需要も高い伸びを示している。こうした需要に押し上げられて、平成 17(2005) 年度の「セキュリティコンサルテーション」市場は 547 億円に達したと見られる。この傾向は、 内部統制の適用開始年度となる平成 20(2008)年度にはやや落ち着くものの、それまでは平成 18(2006)年度が対前年度比 16.1%、平成 19(2007)年度が対前年度比 13.8%と、情報セキュリティ サービス全体の伸びをかなり上回るペースで拡大を続けると予測される。 「セキュリティ教育」は平成 17(2005)年度実績推定値が 124 億円に留まり、構成比も 4.5%と 小さい。従来情報セキュリティは情報システム部門の専管事項のような理解がされており、一般 社員等のユーザにも理解させる必要があることに対する認識が十分でなかった。それに対し、従 業員の故意、ミス、不作為、無知等を直接間接の原因とする情報の盗難、紛失、漏洩事故が後を 絶たないことから、従業員の知識と意識の底上げが必須であるとの認識が広がってきた。またウ イルスやマルウェアの被害を防ぐには脆弱性の理解と対応を各ユーザに知らせる必要も強まって いる。このような理由で教育ニーズが強まり、それに対応して教育コンテンツとサービスの提供 も活発化してきている。 - 72 - 図27 国内情報セキュリティサービス市場推移 億円 4,000 合計3,485 合計3,328 3,500 3,000 2,500 85 合計3,012 合計2,752 71 40 124 163 205 95 240 863 968 1,454 1,408 719 606 2,000 1,500 1,435 1,424 547 635 722 774 平成17年度 平成18年度 平成19年度 平成20年度 1,000 500 0 セキュリティコンサルテーション セキュリティ教育 セキュアシステム構築サービス 情報セキュリティ保険 セキュリティ運用・管理サービス この需要サイドの動きを反映して、 「セキュリティ教育」市場は平成 18(2006)年度には前年度 比 32.0%増と急進して 163 億円に至ったものと推測する。前述したように、情報漏洩対策のため には、社員の知識、理解、自覚の高揚が重要で最も効果的であるとの認識から、営業や保守サー ビスなど一般社員の末端まで情報セキュリティ教育の徹底・浸透が図られ、教育需要が急速に高 まった結果であると見られる。この傾向は、従業員のセキュリティ意識が定着して情報漏洩事故 が減る兆しを見せるまでは続くと見られ、平成 18(2006)年度の 32.0%という高い伸びに続いて、 平成 19(2007)年度も前年度比成長率 25.4%と高成長を維持し、さらに平成 20(2008)年度にはセ キュリティサービス分野で最も高い 17.4%の成長を続けて、同年度には 240 億円の市場規模に達 すると予測される。 情報セキュリティ保険は1カテゴリ1セグメントで商品バリエーションはないが、セキュリテ ィ対策と歩みを同じくして拡大してきた市場である。特に、情報セキュリティ対策が経営課題で あるとの認識が浸透しだした 21 世紀以降は、市場への定着と需要の裾野の拡大が進みだしたと 見られる。市場規模は、平成 17(2005)年度で 40 億円程度と見られるが、翌平成 18(2006)年度に は 76.2%と急拡大して 71 億円規模に至ったものと見られる。 市場はその後も順調に拡大を続け、 平成 20(2008)年度には 95 億円(前年度比成長率 12.0%)の規模に達するものと予測される。 - 73 - 8.2 情報セキュリティサービス市場のカテゴリ別分析 8.2.1 セキュリティコンサルテーション市場 (1)市場の特性と動向 図 28 に平成 18(2006)年度のセキュリティコンサルテーション市場のセグメント別分布を示す。 「セキュリティコンサルテーション」というカテゴリは、ここ数年で市場の構造が大きく変わ ってきていると見られる。従来は、投資対効果が見えにくい上に、比較的コスト負担が大きいこ とから、主な顧客層はこれまで大企業や官公庁に限られていた。しかし最近では、個人情報保護 法の施行に後押しされる形で従業員数人規模の企業がプライバシーマーク取得に取り組むなど、 市場の裾野が急速な広がりを見せている。対象人員数十万人のグローバル企業から数人のミニ企 業まで、総合的セキュリティ体制の構築からプライバシーマーク取得に特化したパッケージコン サルまで、 「セキュリティコンサルテーション」のバリエーションは大きく広がっている。コンサ ルテーションの種別は大きく分けると、マネジメント系、認証取得系、診断・監査系に分けるこ とができる。 マネジメント系については、主にセキュリティポリシーの策定やコンプライアンス対応、情報 保護対策全般が、セキュリティコンサルテーションの中心となる。大企業においては、セキュリ ティポリシーの策定のみならず、経営から IT 統制などのガバナンスまでを含めた総合的な観点 でのコンサルテーションへとニーズが拡大している。内部統制への対応、知的財産の防衛、コン プライアンス対応、事業継続管理等の課題に直面して経営ニーズが複雑化し、ユーザ自身では対 応が困難な状況となりつつある。このような状況から、供給サイドにおいては、システムインテ グレータのみならず監査法人やその系列のコンサルティングファームによるコンサルテーション が増加してきている。 図28 平成 18(2006)年度のセキュリティコンサルテーション市場 セキュリティ認証・審 査機関(サービス) 42億円(6.7%) セキュリティ認証取 得支援サービス 79億円(12.4%) その他のセキュリ ティコンサルテーショ ン 51億円(8.0%) セキュリティ診断・監 査サービス 134億円(21.2%) セキュリティポリシー 構築支援 124億円(19.6%) セキュリティ管理全 般のコンサルテー ション 204億円(32.2%) <(xx.x%)は構成比> - 74 - 認証取得系については、主としてプライバシーマークの認定と、ISMS(情報セキュリティマネ ジメントシステム)認証がある。プライバシーマークの基盤である JIS Q15001 は、個人情報 保護法よりも前に策定されたため、2006 年 5 月に「個人情報保護マネジメントシステム-要求 事項」として改訂され、法体系との整合が図られると共に、マネジメントシステムとしての運用 の要求がより明確化された。ISMS 認証の基準は国際標準 ISO/IEC27001 を JIS 化した JIS Q27001:2006 であり、国際的枠組みにおけるマネジメントシステムの情報セキュリティ対応版と 位置付けられる。プライバシーマークの認定取得企業数は 2008 年 3 月 3 日現在で 9,122 社に上 っており、 認証取得の動きは活発化している。 ISMS 認証取得企業数は 2008 年 3 月 3 日現在 2,533 社で、情報セキュリティ全般に対して体系的取組を目指す企業が認証取得を進めるようになって いる。 診断・監査系においては、制度的枠組みにおいて行なわれる情報セキュリティ監査42や、外部 の第三者による情報セキュリティ診断、ISMS やプライバシーマークの内部監査を外部委託する ケース等がある。さらに、日本版 SOX 法の適用初年度を目前にして IT 統制についても監査を行 うようになってきており、その需要も増えつつある。コンサルテーション自体はその特性から、 情報セキュリティに関する取組の先端を歩むことになり、必然的に時代の要求に即した内容や市 場の問題を反映したものとなる。平成 18(2006)年度から平成 19(2007)年度にかけては、内部統制 への対応が大きな関心事となり、その一環として IT 統制を支える柱の一つである情報セキュリ ティのあり方も意識されるようになった。また相次ぐ大規模地震の発生が事業継続対応の必要性 を実感させ、経済産業省の推進政策もあって、情報セキュリティに関わる課題として事業継続管 理への取組も進みだしている。これらの動きもセキュリティコンサルテーションの需要喚起につ ながっていると見られる。 拡大が予測されるコンサルテーション業界の問題として、急激な情報セキュリティニーズの高 まりと目まぐるしく変化する技術変化に対して、コンサルテーションを供給する側のスキルを持 った人員が不足しているという問題があげられる。情報セキュリティ対策は対症療法ではなく、 将来的な展望を含めた経営的な視点のもとに判断を行って戦略を立案し、計画的に実施していく 必要がある。マネジメントの知識と IT 技術への理解の両面が要求され、将来展望も語れる必要 がある。そのような知識と経験を持ち合わせたセキュリティアナリストの数は多くなく、それだ けのスキルを持った人員の育成が急務である。2007 年 10 月には「情報セキュリティ教育事業者 連絡会」も発足し、官民連携した動きが具体化してきた。有能な情報セキュリティのプロフェッ ショナルの安定的育成が早期に実現することを期待したい。 42 経済産業省は、2003 年 4 月に「情報セキュリティ監査制度」を開始した。情報セキュリティ監査制度は、中 央省庁をはじめとした地方自治体や民間企業などが対象であり、情報システムのセキュリティだけではなく、 情報資産全体のセキュリティマネジメントが監査の対象となる。すなわち、マネジメントサイクルが構築され、 適切な対策がなされているかの視点で監査がなされる。 (脚注 56 参照) 被監査主体が、監査企業を選定する際の目安となるよう 「情報セキュリティ監査企業台帳」が創設された。 一定の要件を満たせば登録が可能な任意登録制の台帳であり、情報セキュリティ監査業務が、受託可能な監査 企業を登録させ、監査を受ける企業等に公表している。 - 75 - (2)市場規模とその推移 表 15 に国内のセキュリティコンサルテーション市場規模の実績推定値と予測値を、図 29 にそ の市場規模の推移のグラフを示す。 平成 18(2006)年度においては、 「セキュリティコンサルテーション」市場は全体で 635 億円程 度となり、前年度比成長率は 16.1%であった。 平成 18(2006)年度において、比較的規模の大きなセグメントは「セキュリティ管理全般のコン サルテーション」の 204 億円、 「セキュリティ診断・監査サービス」の 134 億円、 「セキュリティ ポリシー構築支援」の 124 億円の 3 つである。そのうち、「セキュリティ管理全般のコンサルテ ーション」が、前年度比成長率 32.2%と成長が著しかった。 セキュリティコンサルテーション全体は、成長率が年々鈍化するものの平成 20(2008)年度には 774 億円となることが予測され、平成 17(2005)年度の 1.4 倍の規模にまで拡大していくものと見 込まれる。 表15 国内セキュリティコンサルテーション市場規模 売上金額(百万円) セキュリティポリシー構築支援 セキュリティ管理全般のコンサルテーション セキュリティ診断・監査サービス セキュリティ認証取得支援サービス セキュリティ認証・審査機関(サービス) その他のセキュリティコンサルテーション 合計 実績と予測 平成 17 年度 平成 18 年度 平成 19 年度 平成 20 年度 11,107 18,140 10,908 6,436 3,639 4,471 54,701 12,439 20,416 13,428 7,892 4,236 5,074 63,485 13,829 22,731 16,521 8,764 4,658 5,714 72,218 13,657 23,636 19,381 9,522 5,011 6,207 77,413 20.3% 33.2% 19.9% 11.8% 6.7% 8.2% 100.0% 19.6% 32.2% 21.2% 12.4% 6.7% 8.0% 100.0% 19.1% 31.5% 22.9% 12.1% 6.5% 7.9% 100.0% 17.6% 30.5% 25.0% 12.3% 6.5% 8.0% 100.0% 12.0% 12.5% 23.1% 22.6% 16.4% 13.5% 16.1% 11.2% 11.3% 23.0% 11.1% 10.0% 12.6% 13.8% -1.2% 4.0% 17.3% 8.6% 7.6% 8.6% 7.2% 構成比 セキュリティポリシー構築支援 セキュリティ管理全般のコンサルテーション セキュリティ診断・監査サービス セキュリティ認証取得支援サービス セキュリティ認証・審査機関(サービス) その他のセキュリティコンサルテーション 合計 対前年度比成長率 セキュリティポリシー構築支援 セキュリティ管理全般のコンサルテーション セキュリティ診断・監査サービス - - - セキュリティ認証取得支援サービス セキュリティ認証・審査機関(サービス) その他のセキュリティコンサルテーション 合計 - - - - 76 - セグメント別の市場規模の成長率を見ると、最大のセグメントである「セキュリティ管理全般 のコンサルテーション」は、平成 17(2005)年度の 181 億円から平成 18(2006)年度には前年度比 12.5%成長して 204 億円に達したと推測される。卖なるポリシー構築や認証取得だけでなく実効 性のある総合対策を求める取組が引き続きなされている現れと見られる。 個人情報保護法への対応や個人情報漏洩事故の頻発から取引先への取得要請が強まっているプ ライバシーマークの認定事業者数43は著しい増加傾向をたどっている。一方で、認証取得コンサ ルティングへの参入企業も多く、価格は下落傾向にある。比較的コンスタントな ISMS 認証取得 と合わせ、平成 18(2006)年度において 22.6%と高い前年度比成長率を示して、「セキュリティ認 証取得支援サービス」市場は 79 億円の規模に達したと見られる。 図29 国内情報セキュリティコンサルテーション市場推移 250 億円 200 150 100 50 0 平成17年度 平成18年度 平成19年度 セキュリティポリシー構築支援 セキュリティ診断・監査サービス セキュリティ認証・審査機関(サービス) 平成20年度 セキュリティ管理全般のコンサルテーション セキュリティ認証取得支援サービス その他のセキュリティコンサルテーション 平成 18(2006)年度において最も高い前年度比成長率を示したのは「セキュリティ診断・監査サ ービス」のセグメントで、平成 18(2006)年度の市場規模は前年度比 23.1%伸びて 134 億円に達し たと推測される。政府の重要インフラセキュリティへの取り組みや、地方公共団体へのポリシー ガイドラインに基づく情報セキュリティ監査の要請、更には民間における自主的な自己点検等の 需要が市場を押し上げたものと見られる。この傾向は継続すると予測され、平成 19(2007)年度の 前年度比成長率 23.0%、平成 20(2008)年度の前年度比成長率 17.3%と高い伸びを続けて同年度に は 194 億円の市場規模に達すると予測する。これを支えるものとして、平成 19(2007)年度に日本 セキュリティ監査協会(JASA)から提起された保証型監査制度の枠組みが活用され定着すること も期待される他、内部統制に万全を期す視点から第三者による診断や監査を積極的に取り入れる 43 プライバシーマーク取得企業数: 平成 14 年度 172、平成 15 年度 286、平成 16 年度 553、平成 17 年度 2,395、平成 18 年度 3,798。 ISMS 認証事業者数: 平成 14 年度 142、平成 15 年度 276、平成 16 年度 422、平成 17 年度 720、平成 18 年度 568。 出所:財団法人 日本情報処理開発協会の統計 http://www.jipdec.jp/ - 77 - 動きが強まると見られることも挙げられる。 8.2.2 セキュアシステム構築サービス市場 (1)市場の特性と動向 「セキュアシステム構築サービス」は、セキュリティ製品の導入や構築を含めた、IT セキュリ ティシステムまたは IT システムのセキュリティに関する構築、及び構築を支援するサービスの カテゴリである。本カテゴリの市場規模は大きく、平成 18(2006)年度も 1400 億円を超え、情報 セキュリティサービス市場の約 5 割弱を占めていると推定される。 図 30 に平成 18(2006)年度のセキュアシステム構築サービス市場のセグメント別分布を示す。 本カテゴリには、 「IT セキュリティシステムの設計・仕様策定」、「IT セキュリティシステムの 導入・導入支援」 、 「セキュリティ製品の選定・選定支援」、「その他セキュリティシステム構築サ ービス」の 4 セグメントが含まれ、主にネットワークインテグレータ、システムインテグレータ により提供されている。 図30 平成 18(2006)年度のセキュアシステム構築サービス市場 その他のセキュアシ ステム構築サービス 137億円(9.6%) ITセキュリティシステ ムの設計・仕様策定 339億円(23.8%) セキュリティ製品の 選定・選定支援 226億円(15.9%) ITセキュリティシステ ムの導入・導入支援 723億円(50.7%) <(xx.x%)は構成比> 「IT セキュリティシステムの設計・仕様策定」は、IT システムのセキュリティに関しての設 計、仕様の定義を実施するサービスである。システム設計時にセキュリティ対策についてセキュ リティ専門家による支援を提供する。また、既存のシステムに対してセキュリティを付加しまた は向上させるための対策を設計するニーズもあり、一定の需要を保っている。 「IT セキュリティシステムの導入・導入支援」は、セキュリティに特化したシステムまたはシ ステムのセキュリティに関する部分の構築に際して、セキュリティ製品などを導入し、システム を構築したり、その支援をするサービスであり、既存システムへのセキュリティ対策の追加やセ キュリティに特化したシステム導入なども含まれる。セキュリティに関するインテグレーショ ン・エンジニアリングサービスと言える。「IT セキュリティシステムの設計・仕様策定」と同様 に、情報セキュリティ対策またセキュリティレベル向上という目的のためには、専門家による総 - 78 - 合的セキュリティ機能の構築が必要だという認識が浸透することで、大きな需要を形成している。 「セキュリティ製品の選定・選定支援」は、顧客のポリシーや要求に基づいて、それに適した セキュリティ対策製品の選定またはそのための情報提供等の支援を行うサービスである。過去数 年で、個人情報保護法への対応や、内部統制に対応する IT 統制の準備などに伴って情報セキュ リティに対する重要性が意識され、 情報セキュリティ対策を実施する企業も増加した。 その結果、 セキュリティ製品の導入に際して、セキュリティの専門家による製品選定や製品の比較評価のサ ービスを活用するニーズが顕在化してきている。 上記3セグメントに当てはまらないセキュリティシステムの構築サービスを「その他のセキュ アシステム構築サービス」とした。 本カテゴリは、実需としては拡大が継続すると考えられるが、市場規模を示す金額としては横 這いか、徐々に下降していくと予測している。これは、セキュリティ対策をシステムレベルで考 える結果、 「セキュリティシステムの構築」という切り出し方が段々されなくなり、その部分の金 額を別立てで計上するケースが減ってくると推測されるためである。 「IT セキュリティの設計・仕様策定」、「IT セキュリティシステムの導入・導入支援」という 機能そのものについては、セキュリティに対するスキルが一般的に不足している現在、セキュリ ティ専門家によるシステム設計・構築時の支援は依然必要であり、実質の需要は今後も増加する と予測される。その一方で、今後の方向性としてセキュリティ対策が一般に浸透するとともに、 システム構築時の一検討要素、当然に組み込む要素としてセキュリティ設計も組み込まれるよう になると見込まれる。その場合、一般のシステムインテグレーションから独立した形でのセキュ アシステム構築サービスの発注は減尐し、見かけ上の市場規模は縮小する方向に向かうと考えら れる。システムにおけるセキュリティが「当り前」になって行く結果、見かけの需要は減尐する という現象となって表れることは皮肉ではあるが、セキュリティのあるべき姿としては望ましい 方向に向かう結果と理解したい。 (2)市場規模とその推移 表16に国内セキュアシステム構築サービス市場規模の実績推定値と予測値を、図31にその市場 規模の推移のグラフを示す。 「セキュアシステム構築サービス」市場は、平成 17(2005)年度、平成 18(2006)年度とも 1,400 億円強に達したと推定され、 「情報セキュリティサービス」の中で 50%前後を占めると推 定される大規模な市場である。ただし、市場の伸び率は、平成 17(2005)年度から平成 18(2006) 年度にかけてマイナス 0.8%、今後の予測においても平成 19(2007)年度は前年比 2.1%、平成 20(2008)年度は前年比 マイナス 3.2%と推定され、 「情報セキュリティサービス」全体の伸びと比 べると成長率は横這い状態である。 - 79 - 表16 国内セキュアシステム構築サービス市場規模 売上金額(百万円) 実績と予測 平成 17 年度 平成 18 年度 平成 19 年度 平成 20 年度 IT セキュリティシステムの設計・仕様策定 IT セキュリティシステムの導入・導入支援 セキュリティ製品の選定・選定支援 その他のセキュアシステム構築サービス 合計 33,504 73,260 22,881 13,850 143,494 33,861 72,256 22,616 13,663 142,397 34,550 73,860 23,312 13,672 145,394 33,805 70,649 23,251 13,075 140,781 23.3% 51.1% 15.9% 9.7% 100.0% 23.8% 50.7% 15.9% 9.6% 100.0% 23.8% 50.8% 16.0% 9.4% 100.0% 24.0% 50.2% 16.5% 9.3% 100.0% 1.1% -1.4% -1.2% -1.3% -0.8% 2.0% 2.2% 3.1% 0.1% 2.1% -2.2% -4.3% -0.3% -4.4% -3.2% 構成比 IT セキュリティシステムの設計・仕様策定 IT セキュリティシステムの導入・導入支援 セキュリティ製品の選定・選定支援 その他のセキュアシステム構築サービス 合計 対前年度比成長率 - - - - - IT セキュリティシステムの設計・仕様策定 IT セキュリティシステムの導入・導入支援 セキュリティ製品の選定・選定支援 その他のセキュアシステム構築サービス 合計 この中で「IT セキュリティシステムの設計・仕様策定」と「IT セキュリティシステムの導入・ 導入支援」の、平成 17(2005)年度から平成 18(2006)年度への減尐は、個人情報保護法対策が一段 落を迎えたためと推定される。平成 19(2007)年度は、米国 SOX 法と 2008 年度に適用の始まる 金融商品取引法に基づく内部統制報告制度への対応で微増すると推定する。平成 20(2008)年度は 内部統制対応準備が一段落つくことと、セキュリティシステムがシステム構築上必然の要素とし て埋没していくことから、この分野としての売上計上は 2%ほど減尐すると推定される。 図31 国内セキュアシステム構築サービス市場推移 億円 800 700 600 500 400 300 200 100 0 平成17年度 平成18年度 平成19年度 ITセキュリティシステムの設計・仕様策定 セキュリティ製品の選定・選定支援 - 80 - 平成20年度 ITセキュリティシステムの導入・導入支援 その他のセキュアシステム構築サービス 一方、 「セキュリティ製品の選定・選定支援」も前者と同様の理由で横這いか若干の減尐となる が、システム構築にセキュリティ製品の選定は欠かせなく安定した市場であると想定できる。 また「セキュアシステム構築サービス」の中でいずれの年度においても「IT セキュリティシス テムの導入・導入支援」が 50%強を占めると推定されるが、「セキュリティ製品の選定・選定支 援」といった部分的ソリューションだけでなく、システム構築全体を一括して外部委託すること で統合的対策を実施する考え方の反映と見られ、その結果として割合が高くなっていると分析で きる。 8.2.3 セキュリティ運用・管理サービス市場 (1)市場の特性と動向 「セキュリティ運用・管理サービス」は、大きく分けると、IT セキュリティシステムまたは IT システム上のセキュリティ対策機器等の運用や管理の支援を行い、システム・サーバ・ネットワ ーク状態等の監視を行う、いわゆる運用支援サービスと、インシデント対応や脆弱性に関する情 報の提供・検査等を提供する、より専門性の高いニーズを満たすプロフェッショナルサービス、 それに SSL サーバ証明書に代表される電子証明書の発行や PKI(公開鍵認証基盤)の構築に不 可欠な電子認証局の構築・運用を行う電子認証サービスの3つのカテゴリに大別される。 これらに共通の特徴は、セキュリティ対策機器・サービス等の運用管理が専門家の知識を益々 必要とする一方、そのような専門スキルを有する人材が利用組織内に不足していることや、問題 発生時には 24 時間 365 日の迅速な対応が必要とされるケースが多いことから、適切な社外の専 門サービス提供者に外部委託するというアウトソース需要を背景としているところにある。さら に、セキュリティ対策の初期導入のみならず、それが高度化・統合化に向う流れを背景に、この 「セキュリティ運用・管理サービス」分野は、各セグメントの成長率には差異があるものの、全 体としてはその重要性を増し、市場は拡大基調にあると言える。 図 32 に平成 18(2006)年度のセキュリティ運用・管理サービス市場のセグメント別分布を示す。 個々のセグメントを順に見ていくと、まず運用支援サービスについては、アクセス制御・セキ ュアコンテンツ管理の運用・監視、ログ解析等の運用・管理サービス群について、個別の「ファ イアウォール監視・運用支援サービス」、 「IDS/IPS 監視・運用支援サービス」、「ウイルス監視・ フィルタリング・運用支援サービス」が従来から各々の市場を形成しており、今後も堅調に推移 すると見られる。また、それらの機能を統合化した各種アプライアンス製品の普及を背景としつ つ、ネットワーク環境、サーバ稼働状況、場合によってはサーバ上で実行されるソフトウェアま でを統合的に監視・運用支援する「セキュリティ総合監視・運用支援サービス」の伸長が特に著 しい。 - 81 - 図32 平成 18(2006)年度のセキュリティ運用・管理サービス市場 インシデント対応関 連サービス 31億円(4.3%) その他の運用・管理 サービス 33億円(4.6%) 電子認証サービス 157億円(21.9%) セキュリティ情報提 供サービス 17億円(2.4%) 脆弱性検査サービス 102億円(14.2%) <(xx.x%)は構成比> ファイアウォール監 視・運用支援サービ ス 42億円(5.8%) セキュリティ総合監 視・運用支援サービ ス 228億円(31.7%) ウイルス監視・フィル タリング・運用支援 サービス 55億円(7.6%) IDS/IPS監視・運用 支援サービス 54億円(7.4%) 「脆弱性検査サービス」は、システムやアプリケーションの脆弱性を専門の検査ツールや専門 技術者による擬似攻撃等により技術的に検査するもので、独自のセグメントと一定の市場を形成 しており、今後も増加傾向にある。近年では特にインターネット上の公開サーバで実行されるウ ェブアプリケーションの脆弱性に関する関心が高まっている。関連する業界や研究者の活動も活 発である44。検査サービスも、従来型の専門技術者が個別に手作業で実施する脆弱性診断サービ スに加えて、既知の攻撃手法を自動化することでコストを大幅に抑えた ASP サービスなども登 場してきており、今後の動向が注目される。また、近年の情報セキュリティインシデントの増加 とその対応需要の範囲の拡がり(緊急対応、復旧対応、デジタルフォレンジック対応等)に伴い、 「インシデント対応関連サービス」も新たなサービスセグメントとして形成され始めており、今 後はある程度の市場規模となっていくものと思われる。その他、ますます複雑化・高度化する各 種インシデント・脆弱性・パッチ情報等に対応するための「セキュリティ情報提供サービス」に ついては、専門性の高いニーズとして、金額的には小規模ながら今後も一定の市場規模を維持す るものと思われる。 上述した外部からの攻撃対策や脆弱性対策とは異なり、積極的な本人・本物の認証対策や通信 路の安全性確保対策として大きなサービスセグメントを形成しているのが、 「電子認証サービス」 である。従来のウェブサーバやセキュリティ対策機器用の電子証明書に加え、ID・パスワードに 代わるネット上での本人確認手段の高度化の手段として、また電子情報・電子文書の真正性確認 の手段として、タイムスタンプを含めた各種電子認証サービスの利用が定着している。このセグ メントは、電子署名法、e-文書法、また個人情報保護法等の法的要請への対応の拡がりを含め、 その重要性の高まりと共に市場規模を拡大している。 44 WASC (Web Application Security Consortium) という、ウェブアプリケーション対策に関心の高い技術者や 製品ベンダを中心とした団体がアメリカを中心に活動している。http://www.webappsec.org/ 日本では WASF という団体がある。 (脚注 39 参照) - 82 - (2)市場規模とその推移 表17に国内セキュリティ運用・管理サービス市場規模の実績推定値と予測値を、図33にその市 場規模の推移のグラフを示す。 表17 国内セキュリティ運用・管理サービス市場規模 売上金額(百万円) 実績と予測 平成 17 年度 平成 18 年度 平成 19 年度 平成 20 年度 セキュリティ総合監視・運用支援サービス ウイルス監視・フィルタリング・運用支援サービス IDS/IPS 監視・運用支援サービス ファイアウォール監視・運用支援サービス 脆弱性検査サービス セキュリティ情報提供サービス 電子認証サービス インシデント対応関連サービス その他の運用・管理サービス 合計 19,782 5,109 5,102 4,133 7,623 1,574 12,494 2,186 2,630 60,633 22,789 5,494 5,354 4,164 10,225 1,727 15,745 3,113 3,334 71,946 27,373 5,847 5,566 4,326 12,503 1,823 20,627 4,434 3,768 86,267 30,208 6,050 5,576 4,317 14,585 1,849 24,238 5,593 4,384 96,800 32.6% 8.4% 8.4% 6.8% 12.6% 2.6% 20.6% 3.6% 4.3% 100.0% 31.7% 7.6% 7.4% 5.8% 14.2% 2.4% 21.9% 4.3% 4.6% 100.0% 31.7% 6.8% 6.5% 5.0% 14.5% 2.1% 23.9% 5.1% 4.4% 100.0% 31.2% 6.2% 5.8% 4.5% 15.1% 1.9% 25.0% 5.8% 4.5% 100.0% 15.2% 7.5% 4.9% 0.8% 34.1% 9.8% 26.0% 42.4% 26.7% 18.7% 20.1% 6.4% 4.0% 3.9% 22.3% 5.5% 31.0% 42.4% 13.0% 19.9% 10.4% 3.5% 0.2% -0.2% 16.6% 1.5% 17.5% 26.1% 16.4% 12.2% 構成比 セキュリティ総合監視・運用支援サービス ウイルス監視・フィルタリング・運用支援サービス IDS/IPS 監視・運用支援サービス ファイアウォール監視・運用支援サービス 脆弱性検査サービス セキュリティ情報提供サービス 電子認証サービス インシデント対応関連サービス その他の運用・管理サービス 合計 対前年度比成長率 セキュリティ総合監視・運用支援サービス ウイルス監視・フィルタリング・運用支援サービス IDS/IPS 監視・運用支援サービス ファイアウォール監視・運用支援サービス 脆弱性検査サービス セキュリティ情報提供サービス 電子認証サービス インシデント対応関連サービス その他の運用・管理サービス 合計 - - - - - - - - - - 「セキュリティ運用・管理サービス」の分野全体の市場規模は、実績推定値が平成 18(2006) 年度で 719 億円であり、平成 17(2005)年度の 606 億円と比較して 15.2%増という高い伸びを示 している。また、予測値でも平成 19(2007)年度では 863 憶円(前年比成長率 20.1%増)、平成 - 83 - 20(2008)年度で 968 億円(同 10.4%増)と、2 桁の成長率を維持していくものと期待されており、 情報セキュリティ市場全体の中でも特に成長率の高い分野であると言えるだろう。また金額ベー スでも、 「情報セキュリティサービス市場」において「セキュアシステム構築サービス」に次ぐ位 置を占めている。 セグメント別の内訳を見ると、 「セキュリティ総合監視・運用支援サービス」が最大のセグメン トであり、平成 18(2006)年度の推定実績市場規模は 228 億円(前年度比成長率 15.2%)であった。 今後も相対的に高い成長率を維持して、平成 19(2007)、20(2008)年度の市場規模は、各々274 億 円(前年度比成長率 20.1%) 、302 億円(同 10.4%)に達するものと予測される。 次に大きいセグメントは「電子認証サービス」で、平成 18(2006)年度の推定実績市場規模は 157 億円(前年度比成長率 26.0%)であった。今後も拡大基調が予想され、平成 19(2007)、20(2008) 各年度の市場規模は、各々206 億円(前年度比成長率 31.0%) 、242 億円(同 17.5%)と予測され る。 図33 国内セキュリティ運用・管理サービス市場推移 350 億円 300 250 200 150 100 50 0 平成17年度 平成18年度 平成19年度 セキュリティ総合監視・運用支援サービス IDS/IPS監視・運用支援サービス 脆弱性検査サービス 電子認証サービス その他の運用・管理サービス 平成20年度 ウイルス監視・フィルタリング・運用支援サービス ファイアウォール監視・運用支援サービス セキュリティ情報提供サービス インシデント対応関連サービス 個別機能のサービスである「ファイアウォール監視・運用支援サービス」、 「IDS/IPS 監視・ 運用支援サービス」 、 「ウイルス監視・フィルタリングサービス」は相対的に成長率の鈍化傾向が 見られる。実績市場規模推定値は平成 18(2006)年度で各々42 億円(前年度比成長率 0.8%)、54 億円(同 4.9%) 、55 億円(同 7.5%)で、伸び率はいずれも「セキュリティ運用・管理サービス」 全体の平均を下回っており、今後もこの傾向は続く(一部は減尐に転ずる)ものと予想される。 市場規模としては各々、平成 19(2007)年度に 43 億円(同 3.9%) 、56 億円(同 4.0%) 、58 億円 (同 6.4%) 、平成 20(2008)年度に 43 億円(同マイナス 0.2%) 、56 億円(同プラス 0.2%) 、61 億円(同 3.5%)と推移するものと予測される。 近年特に多様化・複雑化する脆弱性やインシデント対応に向けた専門性の高いサービスの需要 拡大を受けて、際立った増加傾向を示しているセグメントに「脆弱性検査サービス」、 「セキュリ ティ情報提供サービス」 、 「インシデント対応関連サービス」 がある。特に、「脆弱性検査サービス」 - 84 - は、平成 18(2006)年度の実績市場規模において、102 億円(前年度比成長率 34.1%)と 100 億円 の大台を突破し、 「セキュリティ運用・管理サービス」カテゴリの中で一つの極を形成していくも のと予測されている。また、 「インシデント対応関連サービス」についても、市場規模としては比 較的小さい規模で推移するものの、成長率としては、今後も高い伸び率を示すであろう。一方「セ キュリティ情報提供サービス」 、については平成 19(2007)年度以降、横這いとなることが予測さ れる。 8.2.4 セキュリティ教育市場 (1)市場の特性と動向 「セキュリティ教育」は、情報セキュリティ市場全体からみると決して大規模とは言えないが、 年々確実に成長しているカテゴリである。 教育とは、主に特定領域の知識やスキルを身に付けさせることを目的に、不特定多数を対象に 提供されるサービスである。提供される内容が情報倫理やリテラシ、社内規程の周知など、極め て基本的な知識やスキルである場合は、社員教育の一環として組織内部で作成・提供されること も多い。それでも、情報セキュリティに固有の要求事項をうまく理解させるために、専門家のノ ウハウを活用したい、あるいはe-ラーニングを活用し、絵やアニメを使って視覚的に理解させや すくしたい、といったニーズへの対応のために、専業ベンダを活用するケースも増加している。 また、ある程度以上の専門的知識やスキルの習得が教育目的である場合は、自社での対応は限 界があるので、セキュリティ専門家や専業ベンダより提供されるものが主となる。本調査では、 このようなセキュリティ専門家や専業ベンダより提供される教育サービスが集計対象となる。 ここでは、情報セキュリティの専門家や専業ベンダにより提供されるサービスとして、「セキ ュリティ教育の提供サービス」、「セキュリティ教育のe-ラーニングサービス」、「セキュリテ ィ資格認定及び教育サービス」、「その他のセキュリティ教育サービス」の4つのカテゴリに分 類した。 図34に平成18(2006)年度のセキュリティ教育サービス市場のセグメント別分布を示す。 「情報セキュリティ教育の提供サービス」は、教育コンテンツのみを提供して教育実施は客先 社内で賄うケースと、教育実施まで一貫して提供するサービスの両方を含めている。セキュリテ ィ教育コンテンツの作成・提供のみを行うサービスは、教育の中身そのものをテキストやデジタ ルファイルなどのコンテンツとして提供するサービスである。このサービスは、主に一般社員向 けの教育など、多様で多数の広い層を対象として提供されている。それに加え、近年はCIOやCISO などの経営陣、システム管理者、情報セキュリティ推進担当者など、特定の対象向けの需要も拡 大しつつある。教育コンテンツの作成からセキュリティ教育の実施まで一貫して行うサービスは、 実際に情報セキュリティ教育を外部からの「出張授業」として実施するサービスである。近年の 技術の進歩や社会的要請など企業をとりまく様々な環境変化から、社員教育で必要とされる知識 は広範囲となり、且つ多様化してきている。そのような背景から、セキュリティ専門家や専業ベ ンダによるサービスの需要が増大している傾向にある。 - 85 - 図34 平成 18(2006)年度のセキュリティ教育サービス市場 その他のセキュリ ティ教育サービス 6億円(3.4%) セキュリティ資格認 定及び教育サービス 16億円(9.5%) セキュリティ教育の e-ラーニングサービ ス 22億円(13.6%) 情報セキュリティ教 育の提供サービス 120億円(73.5%) <(xx.x%)は構成比> 「セキュリティ教育のe-ラーニングサービス」は、セキュリティ教育をe-ラーニングで実施する 方式のうち、企業がイントラネットなどで展開するものではなく、外部の専門業者がインターネ ット上でASP/SaaSの形で提供するものである。e-ラーニング用コンテンツの開発・提供をする サービスもこのセグメントに含む。e-ラーニングのASP/SaaSサービスは、学習履修管理サービ ス等を併せて利用することが可能、尐人数でも比較的充実したコンテンツを利用可能、等のメリ ットから、今後さらなる普及が期待されるサービスである。「セキュリティ教育の提供」のサー ビスでは実際に講師を招き、講習を実施する必要があるため、場所(特に首都圏、関西圏以外の地 域)や受講する側の時間的拘束など制約事項が多いが、このサービスでは、そのような要素にとら われることなく利用できることも大きなメリットである。さらに、ウェブ技術の進歩や通信回線 の大容量化・高速化などから、提供できるコンテンツや機会も増えてきている。 「セキュリティ資格認定及び教育サービス」は、資格の認定・提供サービス及び資格取得のた めの専門的な教育を提供するサービスである。この市場は、対象者が資格取得を目標とする者に 特定されるため、小規模な市場であると考えられてきた。しかし、近年国内で認定されるセキュ リティ関連資格に加え、グローバルなセキュリティ関連資格も普及しつつある。さらにそれらの 資格の維持・更新のために継続教育卖位(CPE: Continuing Professional Educations creditsなど と呼ばれる)が必要なものがあり、他資格の相互CPE認定も進み出していることなどから、この市 場が徐々に拡大してきている。また、SI事業者や情報セキュリティ事業を営む企業を中心に、さ らにはセキュリティへの先進的取組を行う一般企業においても、社員の資格取得を奨励・支援する 企業も増えている。このような、需要供給双方の動きに支えられ、今後この市場は急ピッチで拡 大していくと見られる。 このほか、以上の分類に当てはまらない講師派遣サービス等を「その他のセキュリティ教育」 とした。 セキュリティ教育サービスは市場での需要増加に伴い、供給も増加していくものと予測される。 だが、その需要に合った教育コンテンツと、その内容を実施する十分な知識とスキルを持った講 - 86 - 師の両方が、大幅に不足しているのが現状である。これらの状況は、情報セキュリティの全体的 な底上げ、情報セキュリティ人材の育成などに大きな影響を及ぼすため、情報セキュリティ資格 の体系化、教育・研修の多様化と体系化、セキュリティ専門職のキャリアパスや人材モデルなど、 政策的な対応も含めた社会的基盤整備の推進が必要と思われる。45 (2)市場規模とその推移 表 18 に国内セキュリティ教育市場規模の実績推定値と予測値を、図 35 にその市場規模の推移 のグラフを示す。 表18 国内セキュリティ教育市場規模 売上金額(百万円) 情報セキュリティ教育の提供サービス セキュリティ教育の e-ラーニングサービス セキュリティ資格認定及び教育サービス その他のセキュリティ教育サービス 合計 実績と予測 平成 17 年度 平成 18 年度 平成 19 年度 平成 20 年度 9,413 1,620 914 427 12,374 12,009 2,217 1,555 550 16,331 14,745 2,882 2,179 674 20,480 17,009 3,501 2,758 779 24,046 76.1% 13.1% 7.4% 3.5% 100.0% 73.5% 13.6% 9.5% 3.4% 100.0% 72.0% 14.1% 10.6% 3.3% 100.0% 70.7% 14.6% 11.5% 3.2% 100.0% 27.6% 36.9% 70.2% 28.7% 32.0% 22.8% 30.0% 40.1% 22.7% 25.4% 15.4% 21.5% 26.6% 15.5% 17.4% 構成比 情報セキュリティ教育の提供サービス セキュリティ教育の e-ラーニングサービス セキュリティ資格認定及び教育サービス その他のセキュリティ教育サービス 合計 対前年度比成長率 情報セキュリティ教育の提供サービス セキュリティ教育の e-ラーニングサービス セキュリティ資格認定及び教育サービス その他のセキュリティ教育サービス 合計 - - - - - 「セキュリティ教育」カテゴリは、セキュリティサービス全体の市場に占める割合が5%程度と 比較的小さい市場であるが、平成18(2006)年度には前年度比32.0%増と急成長し、163億円に達し たと推測される。平成19(2007)年度には前年度比伸び率25.4%と比較的高い成長を維持して205億 円に達し、平成20(2008)年度には更に17.4%成長して240億円規模に拡大すると予測される。 このカテゴリの最大のセグメントは70%以上を占める「セキュリティ教育の提供サービス」で あり、市場規模は平成17(2005)年度に94億円、平成18(2006)年度に120億円(前年度比成長率 45 人材育成並びに教育のための人材確保の必要性については、近年いくつかの研究報告や関連団体の創設がされ ている。 [1] 情報処理推進機構(IPA), 情報セキュリティプロフェッショナル育成に関する調査研究, 2003. http://www.ipa.go.jp/security/fy14/reports/professional/ikusei-seika-press.html [2] 経済産業省, 情報セキュリティ教育に関する調査報告書, 2004. http://www.meti.go.jp/policy/netsecurity/edu_report.html [3] JNSA 情報セキュリティ推奨教育の検討に関する調査報告, 2005 http://www.jnsa.org/ [4] 情報セキュリティ教育事業者連絡会(ISEPA) http://www.jnsa.org/isepa/index.html - 87 - 27.6%)と推移し、平成19(2007)年度には147億円(同22.8%)、平成20(2008)年度には170億 円(同15.4%)に達すると予測される。この要因は上記に見たように、社員教育を外部委託する動 きの結果であると分析できる。社員全員に対して情報セキュリティに対するリテラシを植え付け て、現場の末端まで情報漏洩対策を徹底する必要に迫られる一方、それを自社内でまかなうこと が困難なことから、コンテンツの制作や教育の実施等について、専門家による教育サービスに依 存しようという発想が、ここに明確に表れていると言える。 平成17(2005)~20(2008)年度各年度の市場規模推移が16億円、22億円、29億円、35億円と市場 規模としては小さいセグメントである「セキュリティ教育のe-ラーニングサービス」は、対前年 度比伸び率で見ると、平成18(2006)~20(2000)年度に各々36.9%、30.0%、21.5%と順調な拡大を 見せる。 「セキュリティ資格認定及び教育サービス」は平成17(2005)年度において9億円程度のマーケッ トであったのが、平成18(2006)年度には前年度比70.2%増と急成長して16億円の規模になったと 推測される。さらに平成19(2007)年度には22億円弱(前年度比伸び率40.1%)に拡大し、平成 20(2008)年度には28億円(同26.6%)の市場規模に達すると予測する。 図35 国内セキュリティ教育市場推移 180 億円 160 140 120 100 80 60 40 20 0 平成17年度 平成18年度 平成19年度 情報セキュリティ教育の提供サービス セキュリティ資格認定及び教育サービス 平成20年度 セキュリティ教育のe-ラーニングサービス その他のセキュリティ教育サービス 8.2.5 情報セキュリティ保険市場 (1)市場の特性と動向 「情報セキュリティ保険」とは、情報セキュリティインシデントによって生じる経済的損失を 補償する保険商品である。 情報セキュリティ保険の起源をさかのぼると、1980 年代にコンピュータ保険の付帯商品として 開発されたところに行き着く。同時期に、情報サービス事業者やネットワーク事業者(IT 事業者) 向けの賠償責任保険が開発されており、1990 年にはネットワークの中断リスクに特化したネット ワーク中断保険も開発された。これらの保険が出発点となる。1990 年代の後半に至って、企業向 け保険商品開発の自由化に伴い、本格的な情報セキュリティ保険が開発される。これらは、IT保 - 88 - 険やネットワーク保険などとも呼ばれるようになった。 このような保険商品が開発された背景には、事業活動のネットワークシステムへの依存度が高 まり、情報セキュリティインシデントが発生したときの経営へのインパクトが極めて大きくなっ ていったことと、その一方で IT システムやネットワークシステムの信頼性を 100%確保すること が困難であるという現実があると考えられる。従って、当初は保険を契約する主体は IT 事業者 がメインであった。 当初保険対象として想定していたリスクは、電源遮断、自然災害や誤操作などによるネットワ ークの停止やデータの喪失に伴う事業損失が中心であったが、ウイルス感染や不正アクセス等の 脅威が顕在化してくると、それらも必然的に保険対象となっていった。 2000 年代になると、LOVE ウイルス等の大規模感染や省庁ウェブサイトのハッキングなどを 通じて、情報セキュリティは広く社会及び企業の関心事となってくる。個人情報の大規模漏洩が 社会問題となり、損害賠償請求訴訟や、企業の「おわび金」支払いのような事例も発生したことか ら、個人情報漏洩に伴う一次的・二次的被害や復旧対策費を補償対象とする「個人情報漏洩保険」 なども開発され、情報セキュリティに対する様々な補償を提供する保険商品の充実を見るように なった。 現在では、IT 事業者だけなく、一般事業者なども対象に、個人情報漏洩、データ消失、ネット ワーク中断など様々な情報セキュリティに関わる損害を補償する保険商品が提供されている。 情報セキュリティ保険の需要側の状況としては、情報セキュリティマネジメントシステム (ISMS)においてリスク対策としての「リスクの移転」の考え方が示されていることから、そ の手段として位置付けられるようになった。ISMS の普及に伴い、回避、予防、抑止等のセキュ リティ対策と組み合わせて、情報セキュリティに対するリスクマネジメントを確立する取組が進 んでいる。情報セキュリティ保険は、いわゆるリスクファイナンスの考え方で利用するサービス と言える。 「情報セキュリティ保険」に加入しておくことで、情報セキュリティ事故が発生することを恐 れることなく、情報システムの利点を活かしたビジネス展開をより積極的に行うことができる。 このような位置付けから、企業が情報セキュリティ対策を本格化させ、経営的視点で総合的対応 を考えるようになってきた中で、様々な対策手段を組み合わせても、なお残るリスクをカバーす る最後の手段として採用するケースが増えている。 なお、本調査では、原則として、情報セキュリティを付保対象とする情報セキュリティ保険(コ ンピュータ保険等の一部である場合にはその部分のみ)を集計対象としている。 表19 国内情報セキュリティ保険市場規模 市場規模(百万円) 情報セキュリティ保険 対前年比成長率 (%) 情報セキュリティ保険 実績と予測 平成 17 年度 平成 18 年度 4,010 7,064 - 76.2% - 89 - 平成 19 年度 8,477 20.0% 平成 20 年度 9,491 12.0% (2)市場規模とその推移 表 19 に国内情報セキュリティ保険市場規模の実績推定値と予測値を、図 36 にその市場規模の 推移のグラフを示す。 「情報セキュリティ保険」市場は、平成 17(2005)年度には 40 億円規模であったと推測される が、平成 18(2006)年度には前年度比 76%と急速に市場を拡大し、71 億円に達したと見られる。 これは、2005 年度の個人情報保護法の全面施行により情報の紛失・漏洩の公表件数が飛躍的に増 え、企業におけるリスク認識と対策意識が強まったことが主因となって、リスクファイナンスの 視点から「個人情報漏洩保険」の購入が一気に進んだ結果と見られる。また供給側においても競 争が促進され、使い勝手のよい商品の供給が相次いだことが需要を刺激している面もあると見ら れる。市場はその後も順調な拡大を示し、平成 19(2007)年度には対前年度比伸び率 20.0%で 85 億円、平成 20(2008)年度には 95 億円(対前年度比伸び率 12.0%)に達すると予測される。 図36 国内情報セキュリティ保険市場推移 100 90 80 70 60 50 40 30 20 10 0 億円 平成17年度 平成18年度 平成19年度 平成20年度 情報セキュリティ保険 「情報セキュリティサービス」市場全体では成長率が鈍化する傾向を見せる中で、 「情報セキュ リティ保険」は、特に足元の平成 18(2006)年度に突出した成長率を示した。経営レベルでの情報 セキュリティ対策への取組が本格化する中で、引き続き高めの需要拡大が期待できるものと考え る。 - 90 - 9. 海外情報セキュリティ市場との比較 この項では、本調査において推計した国内情報セキュリティ市場規模を海外の情報セキュリテ ィ市場規模と比較する。比較対象として用いたデータは、国際的な市場調査会社である米国 IDC 社(International Data Corporation)の日本法人から、本調査との比較のために提供を受けた、 世界の情報セキュリティ市場に関する市場規模データである。なお、同社の推計方法と、本調査 における国内市場規模の推計方法が異なる。また、市場区分の定義も完全には一致しない。その 結果、本調査結果の数字と、IDC 社が日本市場の規模として推定している数字には、相当の乖離 がある。従い、海外市場の数字についても、違う基準で集計されていると考えられるが、本調査 と類似の市場定義により、世界各地域をカバーする調査データは他には尐ないことから、同社の データとの比較を行う。従い、あくまでも参考としての比較となることに留意いただきたい。 また、IDC 社の統計数字は 2006 年以降となっており、2006~2008 の 3 年間についてのみ、 比較を行った。 国内市場規模調査の対象期間は日本での一般的な会計年度卖位(当年 4 月~翌年 3 月)である のに対し、海外市場規模は全て暦年(当年 1 月~同年 12 月)であるが、便宜上そのまま比較す る。また、海外市場規模の原数字は米ドル表示であり、IDC 社の採用する基準レートによる円換 算額の提供も受けている。が、足元で急速に進んだ為替市場のドル安傾向を無視するわけには行 かないため、日本銀行が公表する為替レート統計を採用して日本円への換算を行い、日本円ベー スでの比較を行った。 換算に使用した為替レートは次の通りである。 平成 18(2006)年・暦年:116.31 円/米$(年間平均・中心相場ベース) 平成 19(2007)年・暦年:117.77 円/米$(年間平均・中心相場ベース) 平成 20(2008)年・暦年:107.16 円/米$(2008 年 2 月・月間平均・中心相場ベース) 9.1 市場区分の定義の比較 IDC 社は、市場の区分を基本的にアプライアンス、ソフトウェア、サービスの3区分に分類し ている。本調査では「アプライアンス」と「ソフトウェア」をまとめて「ツール」という括りと し、統合型アプライアンスを除いては機能別にカテゴライズした。 その対応関係は、概ね表 20、表 21 のように仕分けられると考えられ、両調査は、市場区分の 定義においては概ね対応関係にあると言える46。 46 複数の調査資料を合成して世界市場の数値を導き出すために、地域区分の不整合や、市場定義もしくは調査 対象範囲のばらつきの問題が発生する。本項における世界市場との比較はそのような制約の下に試みるもので あり、必ずしも一貫した視点で世界の市場の様子を映し出していない。従って一部にずれがある可能性を含ん でいる。しかし、大括りな比較は可能と考えて以下の論考を展開している。 - 91 - 表20 アプライアンスに関する IDC 定義と本調査の定義の対応 IDC 調査の定義47 セキュリティアプライアンス Security Appliance 表21 本調査の定義 統合型アプライアンス アクセス制御製品のうち ファイアフォールアプライアンス VPN アプライアンス IDS/IPS アプライアンス アプリケーションファイアウォール 情報セキュリティソフトウェアに関する IDC 定義と本調査の定義の対応 IDC 調査の定義 脅威管理及びセキュアコンテンツ管理 (Threat and Secure Content Management) アイデンティティ・アクセス管理 (Identity and Access Management) セキュリティ・脆弱性管理 (Security and Vulnerability Management) その他セキュリティソフトウェア (Other Security Software) 本調査の定義 アクセス制御製品 (アプライアンスを除く) セキュアコンテンツ管理製品 アクセス管理製品 システムセキュリティ管理製品 暗号製品 以下、日本の市場を世界市場またはその地域別市場との対比で検討することとする。 9.2 世界全体の情報セキュリティ市場の概観 表 22 に、世界全体の情報セキュリティの市場規模集計データを示す。 2006 年の全世界の情報セキュリティ市場は、 4 兆 4661 億円の規模であったと試算される。2007 年以降は、2007 年:5 兆 2565 億円、2008 年:5 兆 5586 億円との予測となった。この間の年平 均成長率は 11.6%となる。 セキュリティアプライアンス、セキュリティソフトウェア、セキュリティサービスという 3 区 分別に 3 年間の平均成長率を見ると、各々13.7%、9.2%、12.8%となる。セキュリティアプライ アンスが最も高い成長を遂げ、次いでセキュリティサービスも比較的高い伸びを示す一方、セキ ュリティソフトウェアは相対的に低い伸びに留まるという結果となった。セキュリティサービス とセキュリティアプライアンスのどちらがより高い伸びを示すかは、地域により、また年により ばらつくが、各地域ともこの両者が相対的に高い伸びを示し、セキュリティソフトウェアがやや 低めの伸びとなることは共通した傾向として見て取れる。 47 IDC 社の定義には、アンチウイルス、ウェブフィルタリング、メールフィルタリング等のアプライアンスを含 む。本調査ではこれらを分別集計していない関係上、アプライアンスとしては加算していない。 - 92 - 表22 世界全体の情報セキュリティ市場規模 世界情報セキュリティ 市場規模推計 (金額単位:百万円) 実績と予測 2006 年 2007 年 2008 年 売上実績推定値 売上見込推定値 売上予測値 金額 構成比 成長率 金額 構成比 成長率 金額 構成比 成長率 情報セキュリティ合計 4,466,140 100.0% - 5,256,478 100.0% 17.7% 5,558,617 100.0% 5.7% アプライアンス 611,098 13.7% - 720,819 13.7% 18.0% 789,651 14.2% 9.5% 1,689,271 37.8% - 1,962,141 37.3% 16.2% 2,015,697 36.3% 2.7% 2,753,269 49.5% 7.0% 2,805,348 100.0% 4.6% ソフトウェア サービス 2,165,771 48.5% - 2,573,518 49.0% 18.8% ツール合計 2,300,369 100.0% - 2,682,960 100.0% 16.6% 611,098 26.6% - 720,819 26.9% 18.0% 789,651 28.1% 9.5% 1,689,271 73.4% - 1,962,141 73.1% 16.2% 2,015,697 71.9% 2.7% アプライアンス ソフトウェア また、セキュリティアプライアンスとセキュリティソフトウェアを合せた情報セキュリティツ ール市場と情報セキュリティサービス市場の対比で見ると、2006 年から 2008 年にかけて、セ キュリティサービスがその構成比を一貫して上昇させ、市場がツールからサービスにシフトして きている。これは、情報セキュリティ対策の浸透と市場の拡大につれ、市場ニーズが専門家によ るサービスをより必要とする方向に動いて行くことを示している。 一方、情報セキュリティツールをアプライアンスとソフトウェアの対比で見ると、年平均成長 率は、セキュリティアプライアンスが 13.7%、ソフトウェアが 9.2%と、アプライアンスの伸びが ソフトウェアの伸びをかなり上回っており、ツールにおけるソフトウェアからアプライアンスへ のシフトの傾向をはっきりと示している。この結果、両者の相対比も、表 22 に見るように、2006 年の 73.4:26.6 が、2008 年の 71.9:28.1 へと 1.5 ポイント変化している。 9.3 世界情報セキュリティ市場と国内情報セキュリティ市場の全体比較 表 23 は本調査において推定した日本の情報セキュリティ市場のデータを、国際比較のために 再編成したものである。世界市場と比較するために、情報セキュリティツール市場をアプライア ンスとソフトウェアに分類し直して再集計した。 (脚注 47 参照) アプライアンスに含まれる製品は、統合型アプライアンスのカテゴリ全てと、アクセス制御製 品カテゴリのうち、ファイアウォール・アプライアンス、VPN アプライアンス、IDS/IPS アプ ライアンス及びアプリケーションファイアウォールの各セグメントである。なお、これ以外の数 値をソフトウェアとしてくくっているが、セキュアコンテンツ管理製品の中にはアンチスパムア プライアンス、URL フィルタリングアプライアンス、メールフィルタリングアプライアンスが含 まれ、アクセス管理製品の中には個人認証用デバイス及び生体認証デバイスとしてハードウェア が含まれる。これらは厳密にはソフトウェアとして集計するべきでないが、現データがハードソ フトの区別を得られないことと、重要性において影響が軽微と思われることから、便宜的にソフ - 93 - トウェアに組み込んで集計している48。 表23 日本の情報セキュリティ市場規模 日本情報セキュリティ 市場規模推計 (金額単位:百万円) 実績と予測 2006 年 2007 年 2008 年 売上実績推定値 売上見込推定値 売上予測値 金額 構成比 成長率 情報セキュリティ合計 588,726 100.0% - アプライアンス - ソフトウェア 49,305 8.4% 238,198 40.5% サービス 301,223 51.2% 金額 構成比 成長率 656,152 100.0% 11.5% 金額 693,831 構成比 成長率 100.0% 5.7% 7.7% 8.4% 12.4% 12.5% - 267,896 40.8% 332,837 50.7% 59,692 8.6% 285,608 41.2% 10.5% 348,532 50.2% 4.7% - 55,418 6.6% ツール合計 287,503 100.0% - 323,315 100.0% 12.5% 345,299 100.0% 6.8% アプライアンス 49,305 17.1% - 55,418 17.1% 12.4% 59,692 17.3% 7.7% ソフトウェア 238,198 82.9% - 267,896 82.9% 12.5% 285,608 82.7% 6.6% まず、日本市場のセキュリティアプライアンス、セキュリティソフトウェア、セキュリティサ ービスの各市場の成長率を見ると、 集計対象の 3 年間における年平均成長率は、各々10.0%、 9.5%、 7.6%となる。最も高い成長率を示すのがアプライアンス、続いてソフトウェア、最も伸び率の低 いのがサービスとなり、IDC の予測する世界市場とは、ソフトウェアとサービスの伸び率順位が 逆転している。 これは、7.項、8.項で見てきたように、日本市場におけるセキュリティツールの世界では、UTM を中心にアプライアンスの需要が高まると共に、内部からの情報漏洩脅威への対策や内部統制対 応から、端末での情報操作から情報を守るための端末管理、アクセス管理、暗号といったソフト ウェアの需要が急速に拡大している状況がある。一方、サービス市場は構成比率の高い「セキュ アシステム構築サービス」が 8.2.2 項で見たように数字としての伸びを欠く。このために、世界 市場ではセキュリティサービスの伸び率がセキュリティソフトウェアを上回っているのに、国内 市場ではその逆となっていると考えられる。 次に、セキュリティツール合計とセキュリティサービスの構成比を見ると、日本市場では、観 測した 3 年間に、セキュリティサービスは一貫してそのウェイトを下げ、2006 年に 51.2%だっ たものが 2008 年には 50.2%と 1%ポイント下っている。この間、表 22 に見られるように世界市 場ではセキュリティサービスがその構成比を高めているが、それとは逆の傾向を示している。セ キュリティサービスの構成比は、2005 年度には 53.6%と比較的か高かった。これは、2005 年度 という年が、個人情報保護対策が個人情報保護法の全面施行を受けて進んだことと、内部統制対 応の先取り需要のために、コンサルティングを中心とするサービス需要が旺盛であったという、 日本固有の事情によるものと見ることができる。 次に、日本市場の世界市場に対するシェアの視点で見てみる。表 24 は、表 23 の数値を表 48 IDC の集計においては、これらのうちアプライアンス製品はアプライアンスとして集計され、認証デバイス 類はどちらにも含まれないと見られる。 - 94 - 22 の数値で割って比率として示している。日本市場の 2006 年における対世界シェアは 13.2% であるが、2007 年には 12.5%に低下し、2008 年も同じく 12.5%になるとの予測結果となった。 このうちソフトウェアが 2006 年に 14.1%あるものが、2007 年度に 13.7%に 0.4%ポイント低下 し、2008 年度に 14.2%と回復するという動きを見せる。これは市場成長率が日本と世界で違 う動きを見せる結果であり、日本は相対的になだらかな伸び率の変化を示すのに、世界市場 は 2008 年に伸び悩む予測となっていることによる。 表24 日本の情報セキュリティ市場の世界市場に対する比率 2006 年 2007 年 推定実績 実績見込 日本市場の 対世界シェア 2008 年 予測 情報セキュリティ合計 13.2% 12.5% 12.5% アプライアンス ソフトウェア サービス 8.1% 14.1% 13.9% 7.7% 13.7% 12.9% 7.6% 14.2% 12.7% また、セキュリティサービスは 2007 年、2008 年と継続的にシェアを下げている。日本市場で は、セキュアシステム構築サービスが、一般的なシステムインテグレーションの一部に吸収され て表面に出にくくなる一方、世界市場では引き続き需要は拡大するとの読みの下に推計がなされ ている結果と推測する。 図 37 に世界と日本各々の情報セキュリティ市場規模の推移のグラフを示す。 図37 情報セキュリティ市場、世界市場と日本市場の市場規模推移の比較 (a)世界市場の構成と推移 億円 30,000 25,000 20,000 15,000 10,000 5,000 0 27,533 25,735 21,658 6,111 20,157 19,621 16,893 7,208 2006年 2007年 アプライアンス ソフトウェア - 95 - 7,897 2008年 サービス (b)日本市場の構成と推移 億円 3,500 3,485 3,328 3,000 3,012 2,500 2,000 2,856 2,679 2,382 1,500 1,000 500 0 597 554 493 2006年 2007年 アプライアンス ソフトウェア 2008年 サービス 9.4 世界の地域別市場と日本市場の比較 この項では、世界の各地域の市場データと、本調査における日本市場のデータの比較検討を試 みる。 表25 地域別市場区分別構成比 地域 北アメリカ 西ヨーロッパ アジア太平洋 日本<JNSA統計> その他 合計 市場区分 アプライアンス ソフトウェア サービス 計 アプライアンス ソフトウェア サービス 計 アプライアンス ソフトウェア サービス 計 アプライアンス ソフトウェア サービス 計 アプライアンス ソフトウェア サービス 計 アプライアンス ソフトウェア サービス 計 2006年 43.2% 45.6% 45.9% 45.4% 24.1% 29.7% 27.3% 27.8% 16.8% 6.8% 6.0% 7.8% 8.1% 14.1% 13.9% 13.2% 7.9% 3.8% 6.9% 5.9% 100.0% 100.0% 100.0% 100.0% - 96 - 2007年 42.0% 46.6% 46.6% 46.0% 25.4% 29.0% 27.6% 27.8% 17.4% 6.8% 5.9% 7.8% 7.7% 13.7% 12.9% 12.5% 7.5% 4.0% 6.9% 5.9% 100.0% 100.0% 100.0% 100.0% 2008年 39.8% 47.0% 46.9% 45.9% 26.5% 27.9% 27.9% 27.7% 19.4% 6.7% 5.6% 7.9% 7.6% 14.2% 12.7% 12.5% 6.7% 4.2% 7.0% 6.0% 100.0% 100.0% 100.0% 100.0% 表 25 は、今回用いたデータを、地域別・市場区分別に構成比で表したものである。全体として みると、北アメリカが全世界の 45%強を占め、圧倒的なシェアを誇っている。これに続くのが西 ヨーロッパで、28%弱で推移している。次が日本で 13%前後、更にアジア太平洋の 8%弱、その 他地域の 6%弱となる。 マクロでは、ほぼ各地域の経済規模を反映していると言える。比較のために、OECD 加盟 30 カ 国を同様の区分に分けて 2006 年の時価換算の GDP49を仕分けしてみると、表 26 のような分布 となる。OECD には、アジア太平洋地域からは韓国、オーストラリア、ニュージーランドのみが 加盟しており、その他地域に集計される中单米では唯一メキシコが加盟している状態で、IDC の 調査データとは差があるが、卖純比較をすれば、GDP 分布に比べて北アメリカのセキュリティ市 場シェアが高く、西ヨーロッパが低い。また母集団の差から当然ながら、アジア太平洋が高く、 その他地域が低い、という結果となっている。 通信やネットワークインフラの差、IT の社会への浸透度の差等もセキュリティ市場の分布に大 きく影響を与えるものと考えられるが、北アメリカが IT 先進地域でネットワークに深く依存し た社会構造になっていることの反映と考えられる。 表26 OECD 加盟国の地域別 GDP 分布 北米 39.1% 西ヨーロッパ アジア太平洋 35.4% 4.8% 日本 11.9% その他 8.8% 9.4.1 北アメリカ市場と日本市場 表 27 に、北アメリカ市場の市場規模データを示す。 この表のうち、セキュリティアプライアンスのデータは、アメリカ合衆国だけの数字である。 ソフトウェアとサービスは北アメリカ市場、すなわちアメリカ合衆国とカナダの合計額であり、 若干ベースが異なるが、元データの制約上、便宜的に北アメリカ市場の統計として取り扱う。 表27 アメリカの情報セキュリティ市場推計 北アメリカ 情報セキュリティ 市場規模推計 (金額単位:百万円) 2006 年 2007 年 2008 年 売上実績推定値 売上見込推定値 売上予測値 金額 構成比 成長率 金額 構成比 成長率 金額 構成比 成長率 情報セキュリティ合計 2,027,691 100.0% - 2,416,014 100.0% 19.2% 2,553,485 100.0% 5.7% アプライアンス - 18.6% 314,364 12.3% 948,170 37.1% 3.8% - 302,850 12.5% 913,484 37.8% 14.8% ソフトウェア 263,717 13.0% 770,228 38.0% サービス 993,745 49.0% - 1,199,681 49.7% 20.7% 1,290,951 50.6% 7.6% 49 3.8% ツール合計 1,033,945 100.0% - 1,216,334 100.0% 17.6% 1,262,534 100.0% 3.8% アプライアンス 263,717 25.5% - 302,850 24.9% 14.8% 314,364 24.9% 3.8% ソフトウェア 770,228 74.5% - 913,484 75.1% 18.6% 948,170 75.1% 3.8% http://www.oecd.org/dataoecd/48/4/37867909.pdf - 97 - 北アメリカのアプライアンス、ソフトウェア、サービスの構成比は、全世界合計のそれ(表 22 参照)と非常に似たものとなった。アメリカ経済のサービス化の進展から、サービスの比率が 世界平均より高めに出ることも想定されたが、アプライアンスやソフトウェアの市場も拡大を続 けていると見られ、サービスは足元では構成比 50%を下回り、2008 年にようやく 50%を超える と予測される。 一方、日本市場は表 23 で見たように、足元で 51%強のウェイトを占めるサービスが徐々にその 比率を下げ、2008 年度予測では 50.2%まで低下するとの結果になった。2006~2008 年のセキュ リティサービスの平均伸び率が、北アメリカでは 14.0%あるのに対し、日本は 7.6%に留まること からこのような彼我の逆方向展開となっている。 9.4.2 西ヨーロッパ市場と日本市場 表 28 に、西ヨーロッパ市場の市場規模データを示す。 西ヨーロッパ市場は、サービス化とアプライアンス化の同時進行という現象が見て取れる。観 測期間において、サービスの構成比は 47.6%から 49.9%へと高まって情報セキュリティ市場のほ ぼ半分を占めるに至り、アプライアンスも 2006 年の 11.9%が 2008 年には 13.6%までシェアを上 げる。その分、セキュリティソフトウェアは停滞気味で、2008 年には IDC はマイナス成長を予 測している。 表28 西ヨーロッパの情報セキュリティ市場推計 西ヨーロッパ 情報セキュリティ 市場規模推計 (金額単位:百万円) 2006 年 2007 年 2008 年 売上実績推定値 売上見込推定値 売上予測値 金額 構成比 成長率 金額 構成比 成長率 金額 構成比 成長率 情報セキュリティ合計 1,240,149 100.0% - 1,463,371 100.0% 18.0% 1,539,416 100.0% 5.2% アプライアンス - 13.2% 209,508 13.6% 562,106 36.5% 14.4% - 183,138 12.5% 568,785 38.9% 24.5% ソフトウェア 147,143 11.9% 502,501 40.5% サービス 590,506 47.6% - 711,449 48.6% 20.5% 767,801 49.9% 7.9% ツール合計 649,643 100.0% - 751,923 100.0% 15.7% 771,614 100.0% 2.6% アプライアンス 147,143 22.6% - 183,138 24.4% 24.5% 209,508 27.2% 14.4% 568,785 75.6% 13.2% 562,106 72.8% -1.2% ソフトウェア 502,501 77.4% - -1.2% ツールにおけるアプライアンス化と、ツール対サービスの比較におけるサービス化の傾向は世 界の趨勢であると言え、西ヨーロッパはその方向で市場が動いて行くものと見られる。逆に日本 の場合は、情報漏洩対策や内部統制対応でコンサルティングや SI 的サービスなどサービス需要 が増加していたのが、今回の予測期間では一段落する可能性を示唆しているものと見られる。 9.4.3 アジア太平洋地域市場と日本市場 表 29 に、アジア太平洋地域市場(日本を除く)の市場規模データを示す。 アジア太平洋地域には中国・韓国を含むアジア全域(中東地域は含まない)と大洋州を含んで - 98 - いる。地域のくくりという意味では日本も含めるべきだが、日本の規模がそれ以外のアジア太平 洋地域の全体より大きな市場を形成している状態では、日本市場の数値の影響で、その特徴が埋 没する可能性があることから、日本を除くベースのものを日本市場あるいは他の地域と比較する こととする。 表29 アジア太平洋地域の情報セキュリティ市場推計 アジア太平洋 情報セキュリティ 市場規模推計 (金額単位:百万円) 2006 年 2007 年 2008 年 売上実績推定値 売上見込推定値 売上予測値 金額 構成比 成長率 金額 構成比 成長率 情報セキュリティ合計 347,979 100.0% - 410,368 100.0% 17.9% アプライアンス 102,778 29.5% 114,232 32.8% - - 125,566 30.6% 133,515 32.5% 22.2% ソフトウェア サービス 130,969 37.6% - 金額 440,556 構成比 成長率 100.0% 7.4% 152,864 34.7% 134,718 30.6% 21.7% 16.9% 151,287 36.9% 15.5% 152,974 34.7% 1.1% 0.9% ツール合計 217,011 100.0% - 259,080 100.0% 19.4% アプライアンス 102,778 47.4% - 125,566 48.5% 22.2% 287,582 100.0% 11.0% 152,864 53.2% 21.7% ソフトウェア 114,232 52.6% - 133,515 51.5% 16.9% 134,718 46.8% 0.9% 他の地域と同様に、まずセキュリティサービスの構成比を見てみると、35%~38%と、世界全 体及び他の地域に比べて極端にその比率が小さいことが一目瞭然に見て取れる。含まれる国や地 域は多種多様で、地域としての特徴を語ることは困難である。それでも、全体としてその経済発 展段階から考えると、セキュリティ市場も成熟化の要素が最も尐ない地域と言えると思われ、そ れがセキュリティサービスの構成比を低くしていると分析できると考える。 もう一つ特徴的なこととして、セキュリティアプライアンスの占める比率が高いことが挙げら れる。推計対象年の 2006 年から 2008 年の間で、情報セキュリティ市場全体に対する構成比が 29.5%から 34.7%まで高まっており、世界全体の 13.7%~14.2%とは倍以上の開きがある。この 地域でアプライアンスが高いウェイトを占める特定の要因があると考えられる。 第一の要因としては、アプライアンスが持つ、導入の容易さ、スループット等性能の良さ、コ ストパフォーマンスの良さ等の特性が挙げられる。初めてアクセス制御製品を導入しようとする 時にこの特性は魅力的であると言える。また、セキュリティ対策の第一歩として、アクセス制御 製品やアンチウイルス製品の導入から始めるということからも、アプライアンスの比率が高まる 可能性がある。日本や欧米の、比較的早期にアクセス制御対策を導入した地域は、その導入が盛 んだった 1990 年代後半にはアプライアンス型製品の供給は活発でなかったことから、ソフトウ ェア製品の導入による対策が実施され、既に製品の導入が一巡している面も考えられる。 更に、アプライアンスの場合は、不具合等の発生に際してサポート・メンテナンスが容易であ る点も挙げられる。地域が広く経済密度が薄い場合には、地域経済卖位では、販売事業者が高度 のサポート力を備えるだけの規模の経済が働かない。その結果、サポート技術への投資を最小限 に抑えられるアプライアンスを選好する可能性が高くなる。アプライアンスの場合は障害が発生 - 99 - したら代替品との交換で対応することが多く、分析や修理の技術を必要としないからである。現 に世界的ベンダがアジア太平洋地域で物流業者と組んで短時間の代替品交換体制の整備に乗り出 している事例もあり、アプライアンス製品の浸透戦略を後押しする形になっている。 9.5 分野別・地域別分布の全体像分析 図 38 に、2006 年の分野別地域別並びに地域別分野別の世界市場の構成比をグラフ化したもの を示した。 大括りで見ると、アメリカが、セキュリティアプライアンス、セキュリティソフトウェア、セ キュリティサービスの合計で、世界の 45.4%を占めて圧倒的に大きな市場を形成している。これ に次ぐのが西ヨーロッパで、27.8%と世界の 4 分の 1 強を占める。日本がこれに続き 13.2%とほ ぼ西ヨーロッパの半分を占める。アジア太平洋地域は 7.8%と、日本の半分強のマーケットと言え る。 地域ごとの特徴としては、上にも見たように、アジア太平洋地区におけるアプライアンスの構 成比の突出した高さが挙げられる。これとの対照において、日本は 8.4%と逆に極端に低い構成比 となっている。日本においても、中小事業所において低価格タイプの統合型アプライアンスが浸 透するなど、アプライアンス化の方向は明確に見えるものの、他地域に比較してその移行の度は 必ずしも高くないと言わざるを得ない。統計的に、メールフィルタリング等のいくつかのアプラ イアンス製品を含まないことも、若干影響している可能性がある。 図38 情報セキュリティ市場、世界市場と日本市場の構成比推移の比較 (a)2006 年情報セキュリティ市場分野別地域別構成比 アプライアンス 43.2% 24.1% 8.1% 45.6% サービス 45.9% 27.3% 13.9% 6.0% 6.9% 合計 45.4% 27.8% 13.2% 7.8% 5.9% 10% 北米 20% 30% 西ヨーロッパ 40% 50% 60% 日本<JNSA統計> - 100 - 14.1% 7.9% ソフトウェア 0% 29.7% 16.8% 70% 80% アジア太平洋 6.8% 3.8% 90% 100% その他 (b)2006 年情報セキュリティ市場地域別分野別構成比 0% 10% 20% 30% 40% 50% 60% 70% 80% 北アメリカ 13.0% 38.0% 49.0% 西ヨーロッパ 11.9% 40.5% 47.6% 日本<JNSA統計> 8.4% アジア太平洋 合計 40.5% 29.5% 13.7% 90% 100% 51.2% 32.8% 37.8% アプライアンス 37.6% 48.5% ソフトウェア サービス 一方、地域別分野別の構成比の比較では、アメリカと日本でサービスの比率がかなり高まって いることが見て取れる。アメリカは調査対象期間中一貫してサービスの比率が上昇する傾向を見 せており、経済のサービス化と同様の現象が想定される。これに対して、日本は調査期間の後半 にはサービスの比率が低下する傾向を見せている。これは経済成熟化に逆行する要因があるか、 2006 年度に特異的にサービスのウェイトを高める要因があったかのどちらかと思われるが、後者 の可能性が高いと見られる。その要因としては 2005 年 4 月から全面施行となった個人情報保護 法への対応ニーズと、2006 年度に改訂された JIS Q15001 への対応需要があげられる。後者はプ ライバシーマーク制度における基準となっており、2008 年までに新基準による認定への切り替え が必要なことから、2006 年度、2007 年度と更新コンサル需要を喚起している。また、2008 年 4 月以降に始まる会計年度からの対応が義務付けられた、 いわゆる日本版 SOX 法への対応準備も、 この両年度にセキュリティ関連コンサル等への需要となって現れてきている。このような特定要 因の影響が薄れるであろう 2008 年度には、日本市場のサービスの構成比と西ヨーロッパのそれ とは、50.2%対 49.9%と、ほぼ等しくなる見込みである。 9.6 情報セキュリティソフトウェアのカテゴリ別・地域別比較分析 情報セキュリティソフトウェアについては、大分類レベルで比較可能な地域別データが得られ たので、日本市場と世界各地域のセキュリティソフトウェアの種類別比較を試みる。表 30 に、 地域別・カテゴリ(市場大分類)別の市場規模推計値の一覧を、また表 31 に、表 30 の世界合計 を 100%としたときの各市場のシェア分布を示す。このうち日本市場については、本調査の数字 であり、その他は IDC 社の提供数字を元に整理したものである。 なお、IDC 社のセキュリティソフトウェアの市場区分が改訂され、4 区分となっている。本調 査の大分類レベルでは、統合型アプライアンスを除けば 5 区分であり、差異がある。が、表 21 - 101 - に対照を示すように、本調査の「アクセス制御」と「セキュアコンテンツ管理」の合計がほぼ IDC 社の「脅威+コンテンツ管理」に相当すると見られるので、そのくくりで対比を行う。IDC 社が、 比較的規模が大きいにも拘らずこの 2 市場区分を統合した意味は、どちらもネットワーク外部か らやって来る脅威に対応する機能という意味で共通性があり、同一区分に位置づけられると判断 したためと想定される。なお、IDC 社が「その他」としているものは、実質的に暗号製品分野が 中心と考えられるので、本調査の区分における「暗号製品」を対応させることとする。 表30 世界の情報セキュリティソフトウェア地域別市場規模 セキュリティソフトウェア 地域別カテゴリ別 市場規模推計 北 ア メ リ カ 西 ヨ ー ロ ッ パ ア ジ ア 太 平 洋 脅威+コンテンツ管理 ID+アクセス管理 安全+脆弱性管理 その他(暗号) 合計 脅威+コンテンツ管理 ID+アクセス管理 安全+脆弱性管理 その他(暗号) 合計 脅威+コンテンツ管理 ID+アクセス管理 安全+脆弱性管理 その他(暗号) 合計 アクセス制御+セキュアコ ンテンツ管理 アクセス管理 日 本 システムセキュリティ管理 暗号製品 合計 2006年 売上実績推定値 実績と予測 2007年 売上見込推定値 金額 452,744 168,148 110,123 39,213 770,228 323,733 105,711 58,487 14,569 502,501 69,017 25,268 16,854 3,093 114,232 構成比 58.8% 21.8% 14.3% 5.1% 100.0% 64.4% 21.0% 11.6% 2.9% 100.0% 60.4% 22.1% 14.8% 2.7% 100.0% 成長率 - - - - - - - - - - - - - - - 金額 549,498 185,156 132,772 46,058 913,484 356,584 123,843 71,658 16,699 568,785 79,562 30,679 19,785 3,489 133,515 構成比 60.2% 20.3% 14.5% 5.0% 100.0% 62.7% 21.8% 12.6% 2.9% 100.0% 59.6% 23.0% 14.8% 2.6% 100.0% 127,865 53.7% - 136,834 51.1% 46,706 38,375 25,254 238,198 19.6% 16.1% 10.6% 100.0% - - - - 52,325 45,259 33,479 267,896 19.5% 16.9% 12.5% 100.0% 2008年 売上予測値 成長率 21.4% 10.1% 20.6% 17.5% 18.6% 10.1% 17.2% 22.5% 14.6% 13.2% 15.3% 21.4% 17.4% 12.8% 16.9% 成長率 4.6% -1.3% 7.8% 2.8% 3.8% -4.5% 3.7% 6.3% 2.0% -1.2% -3.4% 8.9% 5.8% 1.5% 0.9% 金額 574,852 182,796 143,166 47,357 948,170 340,522 128,395 76,156 17,033 562,106 76,855 33,397 20,927 3,540 134,718 構成比 60.6% 19.3% 15.1% 5.0% 100.0% 60.6% 22.8% 13.5% 3.0% 100.0% 57.0% 24.8% 15.5% 2.6% 100.0% 7.0% 138,840 48.6% 1.5% 12.0% 17.9% 32.6% 12.5% 57,420 49,827 39,521 285,608 20.1% 17.4% 13.8% 100.0% 9.7% 10.1% 18.0% 6.6% 9.6.1 北アメリカ市場と日本市場の比較 北アメリカ市場は、上に見たようにセキュリティ市場全体でも世界の 45%程度を占めているが、 セキュリティソフトウェアにおいても全てのカテゴリにおいて世界の 45%程度を占めているこ とがわかる。このうち、シェアとしては、「脅威+コンテンツ管理」が 2006 年でやや低く、 「安 全+脆弱性管理」がやや多い。但し、「脅威+コンテンツ管理」は 2008 年には、ほぼ横這いのシ ェアで推移する「安全+脆弱性管理」を上回る 48.7%のシェアに拡大する。 日本と北アメリカ市場の規模の比較においては、北アメリカ市場は日本の約 3.2~3.3 倍の規模と なっている。OECD 統計における 2006 年の GDP で比較すると、アメリカとカナダの合計は日 本の 3.3 倍となっており、対 GDP 比では、日本と北アメリカのセキュリティ市場の規模は同レ ベルと見ることができる。 9.6.2 西ヨーロッパ市場と日本市場の比較 西ヨーロッパ市場は、世界市場の概ね 30%弱を占めている。日本市場の 2 倍程度の規模とシェ アである。その特徴的な点は、 「脅威+コンテンツ管理」の構成比が他の地域に比べて高く、逆に - 102 - 「安全+脆弱性管理」が若干低い点にある。その「脅威+コンテンツ管理」も、2008 年にはマイ ナス成長で対世界シェアを下げるシナリオが示されている。これは、アプライアンスの高い成長 率を見込んでいることから、アプライアンスへのシフトが進むことを織り込んでいるものと解釈 される。 もう一つの特徴点は、暗号が主体の「その他」のシェアが、他のカテゴリに比べて著しく低い ことである。アジア太平洋地区でも同様の傾向が見られるが、「安全+脆弱性管理」の比率が低い ことと合わせ、外部脅威への備えに対する関心が高い一方、内部からの漏洩対策や資産保全に対 する意識が熟していないことを示唆するものかもしれない。 逆に日本市場は、セキュリティソフトウェア合計では世界市場の 14%程度にも拘らず、暗号製 品は倍以上の 29.6%(2006 年度)あり、更に 2008 年度には 35.5%までシェアを高める。北アメ リカ市場が万遍なく各カテゴリのソフトウェアを活用しているのに対して、日本市場が暗号の利 用度が高く、西ヨーロッパとアジア太平洋の低さを埋め合わせている構図となっている。 表31 世界の情報セキュリティソフトウェア地域別市場シェア 地域別ソフトウェア種別シェア分布 北アメリカ 西ヨーロッパ アジア太平洋 日本 JNSA統計 脅威+コンテンツ管理 ID+アクセス管理 安全+脆弱性管理 その他(暗号) 合計 脅威+コンテンツ管理 ID+アクセス管理 安全+脆弱性管理 その他(暗号) 合計 脅威+コンテンツ管理 ID+アクセス管理 安全+脆弱性管理 その他(暗号) 合計 アクセス制御+セキュア コンテンツ管理 アクセス管理 システムセキュリティ管理 暗号製品 合計 実績と予測 2006 44.9% 46.2% 47.4% 46.0% 45.6% 32.1% 29.0% 25.1% 17.1% 29.7% 6.8% 6.9% 7.2% 3.6% 6.8% 2007 47.1% 44.7% 47.4% 44.6% 46.5% 30.6% 29.9% 25.6% 16.2% 29.0% 6.8% 7.4% 7.1% 3.4% 6.8% 2008 48.7% 43.0% 47.5% 42.6% 47.0% 28.8% 30.2% 25.3% 15.3% 27.8% 6.5% 7.9% 6.9% 3.2% 6.7% 12.7% 12.8% 16.5% 29.6% 14.1% 11.7% 12.6% 16.2% 32.4% 13.6% 11.8% 13.5% 16.5% 35.5% 14.1% 9.6.3 アジア太平洋市場と日本市場の比較 アジア太平洋市場は、セキュリティソフトウェア合計の対世界市場シェアは比較対象の 3 年間 ほぼ横這いの 6.8%程度で推移する。特徴としては、前述のように「その他」の構成比が 3.6%(2006 年)~3.2%(2008 年)と低いことが挙げられる。理由としては、情報そのものの保護に対する 感覚の差と考えられる。 - 103 - 一方、 「ID+アクセス管理」は 2006 年のシェア 6.9%から 2008 年には 7.9%と、1%ポイント上 昇する(その分シェアを落とすのは北アメリカ市場)。「ID+アクセス管理」は、外部からの脅威 でなく、内部者からのシステムやデータへのアクセスを厳密に管理することでセキュリティを高 める意図の反映である。このように内部リスクへの対応が高まる一方で暗号の利用度が極端に低 く、かつその伸びもあまり見られないのは、やや解釈に苦しむ傾向である。 更に、アジア太平洋市場は、セキュリティソフトウェア全体では世界シェアが 6.8%程度と横這 いで推移する中で、前述のように「ID+アクセス管理」の比率が高まる分、他の 3 カテゴリの全 てで 0.3%~0.4%ポイントシェアが下落する構造となっており、何らかの市場構造の変化を捉え ている可能性もあるが、データの推移だけからは要因を推し量ることは困難である。 9.6.4 他地域との比較で見た日本のセキュリティソフトウェア市場 日本のセキュリティソフトウェア市場は、2007 年度の前年度比成長率が 12.5%で他の主要 3 地域に比べて最も低い伸び率である一方、2008 年度は一転して、6.6%の成長率で他地域に比べ て最も高い成長率を示すという結果になっている。逆に言えば、日本市場は他の市場に比べて相 対的に安定した成長を持続する一方、他の 3 市場は 2008 年にマイナス成長になるカテゴリもあ る等、成長率の波の大きい 3 ヵ年であると言える。 2006 年から 2008 年への 2 年間の平均成長率で見ると、北アメリカ:11.0%、西ヨーロッパ: 5.8%、アジア太平洋:8.6%、日本:9.5%と、北アメリカ市場が最も高く、次いで日本市場とい う順番になる。北アメリカ市場は規模が最も大きい「脅威+コンテンツ管理」で高い成長が見込 まれることが成長要因である。一方、日本の暗号市場は 2 年間の平均で年率 25.1%と突出した伸 びを見せる。日本においては、個人情報漏洩対策としての暗号活用が強く意識されると共に、技 術情報などの営業秘密や軍事秘密の漏洩・流出による被害が際立っており、その対策としての暗号 活用が急速に広まっている可能性がある。規模は小さいながら暗号製品の高い伸びが日本市場の 北アメリカに次ぐ成長を担う結果になっていると言える。 前回調査結果と同様に、日本の情報セキュリティ市場には他地域と比較して二つの特徴的構造 が表れている。一つはツールに対するサービスの比率の高さである。これは特に 2006 年度に顕 著で、その後 2008 年度にかけて比率を下げて行く姿となっている。もう一つがセキュリティソ フトウェア市場の高い伸び率である。これはクライアントやサーバ自体の対策、いわゆるホスト 対策の導入が進んでいるために、外部脅威対策の要素が強いアプライアンスでなく、ソフトウェ アに偏重した成長になっていることによる。その結果、アプライアンスの構成比を一層低下させ る方向に働いている。ここ数年間における個人情報保護法の施行や JIS Q15001 の改訂、内部統 制報告制度の法的義務化の動きへの対応が進められた結果と考えられる。 図 38 に見られるように、日本の情報セキュリティ市場の構造は、アプライアンスの構成比の 差はあるものの、アメリカに最も近いものになっていると見ることができる。対 GDP 構成比で 比較した時に、GDP の世界シェアより高い情報セキュリティ市場シェアを示すのはアメリカと日 本だけである。このことからも、日本の情報セキュリティ市場のアメリカとの類似性が推測でき る。 - 104 - 10. 情報セキュリティをめぐる新しい動きについて 10.1 情報セキュリティに関わる最近の動き概観 情報セキュリティに関わる状況は、様々な要素で構成される。それは①インターネット環境か らもたらされる、外部からの攻撃の脅威、②外部脅威に対する対策のためのツール・サービス類 や、セキュアな IT 環境(IT システム、ネットワーク、OS 及びプラットフォーム、アプリケー ションプログラム)実現のための情報や知識、ノウハウ、③情報セキュリティを組織の経営と業 務運営の中で守るためのマネジメントシステム、すなわち経営対応(IT 環境のセキュアな運用に 関わる、IT 環境の設定や運用ルール等を含む。また、組織の構成員の過失や故意による情報漏洩・ データロスやシステム障害に対する人的・組織的対策もここに含まれる)、④政府や公的機関が定 める法令や規格・基準類や立案実施する政策、等である。 これらの各々につき、状況は日々変化している。脅威は残念ながら衰える所を知らないが、ネ ットワークセキュリティの技術も進化し、広い意味でのコンプライアンス対応も進んでいる。マ ネジメントシステムも、規格・基準関係も、進化と深化を続けている。 情報セキュリティの脅威が日々深刻化する一方で、それへの対策の幅も広がっている。情報セ キュリティ状況の構成要素の各々が、日々変化して相互に影響を与えつつ、関わりを持って動い ている。その結果、情報セキュリティを取り巻く環境は流れを形成しながら変化を続けていると 言える。その多くを、本調査報告の中で、7.項、8.項、9.項を中心に見てきた。 以下では、その中で取り上げなかった、あるいは断片的に触れるに留まった動きの中から、特 にこの数年の間の動きの中で注目すべき点について、簡卖に触れることにする。取り上げるテー マは、次の通りである。 ① 外部からの脅威の最近の動向(外部からの攻撃の脅威) ② いわゆる日本版 SOX 法を中心とした、内部統制に関わる法規制上の要求とそれへの 対応(法令関連) ③ 情報セキュリティ監査、特に保証型情報セキュリティ監査の考え方とその意味(マ ネジメントシステム関連) ④ セキュリティ対策の ASP/SaaS 化の動向(対策ツール・サービス類関連) ⑤ 物理的セキュリティと情報セキュリティの連携(人的・組織的対策) ⑥ セキュリティ対策の実効性評価に関する様々な動きと試み(IT 環境、マネジメント、 規格・基準などの全てに関わる) 10.2 外部からの攻撃の脅威 外部からの攻撃は、ますますその悪質度を強めていると言える。その事例については、セキュ リティ関連ベンダ、研究・対策機関が毎日のように警告を発し、各種メディアの報道が行なわれて いる。研究・対策機関の中心的存在の一つである情報処理推進機構からは、「情報セキュリティ白 - 105 - 書」というタイトルで、年間の外部脅威の動向をまとめた報告書が出されている。2007 年度版50で は、 「2006 年の 10 大脅威」として、次の 10 点を指摘している。 第1位 漏洩情報の Winny による止まらない流通 第2位 表面化しづらい標的型(スピア型)攻撃 第3位 悪質化・潜在化するボット 第4位 深刻化するゼロデイ攻撃 第5位 ますます多様化するフィッシング詐欺 第6位 増え続けるスパムメール 第7位 減らない情報漏洩 第8位 狙われ続ける安易なパスワード 第9位 攻撃が急増する SQL インジェクション 第 10 位 不適切な設定の DNS サーバを狙う攻撃の発生 これらの脅威の個別の説明や対策については、同白書に詳しいのでそちらに譲るとして、ここ で注目すべきいくつかの点を挙げると、①Winny のようなピアツーピア型ネットワークに一度流 出した情報を完全に消し、取り戻すことの困難さ、②攻撃がより巧妙になることで引っかかりや すく、かつ被害の発生をなかなか認知できないケースの増加、③OS やアプリケーションの脆弱 性の発見が後を絶たず、その対策が行き渡る前に攻撃される恐怖、④人の心理の弱点や認識・自 覚不足を防ぐ決め手がないために、情報漏洩やフィッシング被害の拡大を止められないこと、な どが言える。 これに加えて最近警告された深刻な脅威では、正規のウェブサイトを巧みに偽装した悪質サイ トに誘導され、閲覧しただけでボットに感染するタイプの攻撃が確認され、対策の困難さを指摘 されている例がある。第 10 位に挙げられた、DNS51サーバを狙う攻撃も含め、普通にインター ネットを利用するだけで危険にさらされる状態が出現している。 ネットワーク上の攻撃や犯罪が経済的利益に結びつく仕組みが存在し拡大していることと、イ ンターネットの接続範囲と良好な利用環境が拡大を続けることで、インターネットからの脅威は 今後も強まることが予測され、一層の対策の充実が望まれるところである。 10.3 内部統制と情報セキュリティ (1)日本版 SOX 法における内部統制 日本版 SOX 法とは、米国の SOX 法にならい内部統制を強化するために整備された一連の各種 法制度を総称して、日本版 SOX 法52と呼びならわしているものである。株式を公開している企業 http://www.ipa.go.jp/security/vuln/documents/2006/ISwhitepaper2007.pdf DNS: Domain Name System 52 エンロン事件やワールドコム事件などによる相次ぐ不祥事のため失墜した証券市場の信頼回復を目指して、 2002 年に制定された米国連邦法である Sarbanes-Oxley Act,(サーベンズ・オクスリー法)は、日本では企業 改革法と呼ばれる。同法 404 条にて、財務報告に係る内部統制の経営者評価を規定している。この米国 SOX 法 にならい、日本で株式公開する企業の内部統制の評価・報告及び監査について 2006 年 6 月に成立した「金融商 品取引法」で定め、2007 年 9 月から全面施行された。その間に 2006 年 5 月には大会社の内部統制システムの 基本方針作成を義務化した会社法が成立している。一連の制度をまとめて一般的には「日本版 SOX 法」もしく は「J-SOX」と呼んでいる。 50 51 - 106 - を中心に、2008 年 4 月以降に始まる会計年度から適用される。現在、企業はその対応に追われ ている状況であろう。 財務計算に関する書類その他の情報の適正性を確保するための体制を評価し、投資家をはじめ とする利害関係者に報告する制度として、いわゆる内部統制報告制度の適用が、金融商品取引法53 によって規定された。企業の経営者は、企業活動のあらゆる面において管理と統制が適切に行わ れ、財務報告の適正性と信頼性が担保されていることを確認して、財務報告に合わせて報告する 義務がある。また、その報告が適正であることについて第三者の会計監査人の監査を受け、その 報告を公表することも合わせて義務付けられている。 この手続を制度化し、可視化し、文書化(証拠とトレーサビリティの確保)するために、業務 フロー図、業務記述書、リスクコントロールマトリクスの 3 種類の書類を作成し、管理する取組 を、ほとんどの企業が導入している。これをすることで、業務処理の一つ一つのポイントにおけ る、統制の不備をもたらす可能性のあるリスクを洗い出し、必要な管理策を定義して実施に移す ことが可能になる。これを確立して PDCA サイクルを廻して管理すれば、内部統制管理は機能し、 それを監査することで、財務報告の適正性と信頼性の確認ができることになる。 そもそも米国における内部統制評価制度では、内部統制の基本的枠組みの定義として COSO フ レームワーク54を取り入れている。COSO キューブと呼ばれているこのフレームワークでは、内 部統制を 3 つの目的と 5 つの構成要素で定義している。これに対し、我が国の実施基準55では、 COSO フレームワークをベースとしながらも、我が国の実情を考慮し、 「資産の保全」が目的に、 「IT への対応」が基本的要素にそれぞれ追加され、4 つの目的と 6 つの要素として定義された。 特に注目すべき点は、IT への対応を基本的要素の1つに加えたことである。 その結果、日本における内部統制とは、基本的に①業務の有効性及び効率性、②財務報告の信 頼性、③事業活動に関わる法令等の遵守並びに④資産の保全、の 4 つの目的が達成されていると の合理的な保証を得るために、業務に組み込まれ、組織内のすべてのものによって遂行されるプ ロセス、と定義できる。すなわち、企業内部において、違法行為や不正、ミスやエラーなどが行 われることなく、組織が健全かつ有効・効率的に運営されるような各業務における基準や手続き を定め、それに基づいて管理、維持、保証を行うことである。 そのための「基本的要素」として、①統制環境、②リスクの評価と対応、③統制活動、④情報 と伝達、⑤モニタリング(監視活動) 、⑥IT への対応が定義されている。そしてそれを組織卖位、 事業卖位の各々に適用するということで、図 39 のような立方体(キューブ)モデルとして示さ れる。 年 8 年 6 月、法律第 65 号)に基づき、 「証券取引法」は「金融 商品取引法」に改題されることとなる。金融商品取引法は 2007 年 9 月に施行された。 54 1992 年に米国トレッドウェイ委員会組織委員会(COSO: the Committee of Sponsoring Organization of the Treadway Commission)が公表した内部統制のフレームワーク。 55 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施 基準の設定について(意見書) 」(2007 年 2 月 15 日 企業会計審議会)は、日本版 SOX 法における実施基準で あり、これにより運用の具体化に向けた企業の取組が本格化した。 53「証券取引法等の一部を改正する法律」 (2006 - 107 - 図39 内部統制のフレームワーク モデル図 この内部統制報告制度において、その対象となる情報は財務報告の信頼性に関連するものに限 定される。しかし、IT が深く企業活動に浸透している現状では、財務報告の信頼性に関わる情報 は、全て IT システムを通じて管理され提供されると言っても過言ではない。 (このために、日本 版モデルではあえて「IT への対応」が挙げられている。 )そのために、IT システムの信頼性と完 全性の確保、さらにはその可用性が問われることになり、IT セキュリティが重要な役割を担うこ とになる56。内部統制においても情報セキュリティが重要であるとされ、体制の整備が進むに連 れてセキュリティ対応が意識されるようになったのは、このような背景による。 (2)内部統制における「IT への対応」 内部統制における「IT への対応」項目導入・定義の意味・狙いは上に見てきたとおりである。内 部統制における「IT への対応」の意味するところは、日本での制度導入の検討段階でこの要素が 当初「IT の活用」と呼ばれていたことからも分るように、内部統制活動において、企業活動に深 く組み込まれている IT を有効かつ適正に活用して、統制活動を円滑かつ有効に実施する狙いが 先ずある。一方で、その IT 自体の信頼性・完全性も問われ、その適正性が内部統制の適正性担保 に不可欠であるという文脈から、内部統制のための「IT 統制」の意味も強くこめられている。IT 統制は、IT 全般統制と業務処理統制の二つのフェーズが定義されている。 IT 全般統制 経済産業省では、平成 19 年 3 月、情報システムの適正な管理等を目的として策定している「システム管理基 準」等と、財務報告に係る内部統制で求められている「IT への対応」との間の具体的な対応関係を明らかにす るため、 「システム管理基準 追補版(財務報告に係る IT 統制ガイダンス) 」を公開した。 http://www.meti.go.jp/press/20070330002/systemkijun-tsuiho.pdf 56 - 108 - IT 全般統制とは、内部統制の対象である個々の業務処理を行うアプリケーションが動作する基 盤である IT システム全般、特にそのインフラストラクチャが内部統制の目的に沿って機能し、 それを阻害しないことを担保するための統制活動である。つまり、個別の業務処理のためのアプ リケーションシステムは企業の中に複数存在するが、それらはデータの共有やネットワーク通信 のように相互に連携して動いている。またデータのバックアップやログの保全といったアプリケ ーションに共通する機能を横断的に配置し運営することも必要である。このような、個別業務処 理とそのためのアプリケーションの共通基盤である IT インフラ部分の統制を担うのが IT 全般統 制である。 IT 業務処理統制 IT に係る業務処理統制は、業務を処理し業務データを取り扱うシステムにおいて、行われた業 務が全て正確に処理、記録されていることを確保するために、業務プロセス並びに業務処理アプ リケーションに組み込まれた統制のことである。具体的には、入力情報の完全性、正確性、正当 性等を確保する統制や、例外処理の修正と再処理や、マスタ・データの維持管理、システムの利 用に関する認証、操作範囲の限定などアクセスの管理等がある。 (3)内部統制と情報セキュリティ 上に見てきたように、内部統制における IT 統制は、非常に重要な位置にあり、要となる意味 を持っている。統制活動は IT 統制が万全に機能しないと困難であると想定されるし、情報の伝 達も IT に依存する部分が多い。またモニタリングも IT により自動化できる要素が多く、逆に IT がモニタリング可能な状態に整備されていなければ機能しない。 IT 統制を実現するために IT に備えるべき機能や特性には、次のようなものが挙げられる。 ① アプリケーションの正確な動作を保障するハードウェア、OS、ネットワークシステ ム、データストレージ等(すなわちプラットフォーム)の適正な構成と運用 ② プラットフォームが悪意による侵入を許し、運転障害、データの損失・改ざん・流 出・盗難等を起こすことがないような防御システムの構築とモニタリング ③ 個別のアプリケーションが、意図したとおりの業務処理を行い、データを正しく処 理することを担保し、また意図した以外の処理が行われないことを保障する、開発 と運用の仕組み ④ 権限のない者がアプリケーションを操作できる状態やデータを改変できる状態を起 こさないように、権限のある者だけがシステムにアクセスできる仕組み これらの要請を実現するためには、先ずシステム開発段階でのプロジェクト管理プロセスのレ ビューや開発手順書の整備が必要である。次に、外部からの不正なアクセスや悪意あるコードの 侵入を防ぐためのセキュリティ対策ツールの導入と適正な設定・運用が必要になる。さらに、シス テムを使用するフェーズにおいては、使用者に与えられた権限に従って、その権限の範囲でのみ システムの操作とデータの処理ができ、それ以外のことができない仕組みの組み込みと運用が必 要になる。最後に、保存されているデータが変成したり消失したり利用不能になったりしないた めのシステムの安全措置とバックアップ・リカバリの仕組みが必要である。最初の要素はよりシ ステム開発管理の問題に近いが、その他の要素はセキュリティの切り口で対処すべき課題が大半 - 109 - であることが分る。 具体的には、次のようなものが必要になるであろう。 ① ファイウォールと IDS/IPS(あるいは UTM)により外部(あるいは内部)からの 不正侵入を防ぎ、またモニタリングする、アクセス制御機能 ② ウイルス対策ソフトその他のセキュアコンテンツ管理製品により、悪意あるコード の侵入を阻止し、また侵入したコードを発見する機能 ③ 本人認証機能とアクセス管理機能により、権限を与えられている者がその与えられ ている範囲でのみシステムやデータを操作でき、権限を失ったらそのような操作が 直ちにできなくなるような、認証・アクセス管理機能 ④ 端末におけるデータ処理操作に際して、権限外または想定外の編集、印刷、複写、 送信等を防ぐために動作を監視し、警報を発し、報告し、記録する、ポリシー設定・ 動作監視制御機能 ⑤ データの不正な利用や改ざんからデータを守るために必要に応じてストレージやア プリケーションに付加すべき暗号機能 ⑥ 万が一不正や過誤が起きた場合に、いつ、どこで、誰によって、あるいは何によっ て、どのような不正・過誤が起きたのかを追跡し復元できる機能 すなわち、本調査で取り上げているほとんどのセキュリティツールが、内部統制における IT 統制の実現のためには、なくてはならないものであり、内部統制の要請はセキュリティへの要請 でもあることが確認できる。 このうち、IT 全般統制レベルで実現すべきなのがアクセス制御機能、バックアップ・リカバリ 機能、ログ管理・トレーサビリティ機能などである。また業務処理統制レベルではアクセス管理機 能とポリシー設定・動作監視制御機能がその中心となる。暗号は必要に応じ、どちらのレベルで も使われるであろう。 認証・アクセス管理については、アイデンティティ・マネジメント・システム(IDM)が注目さ れている。システムへのアクセス権限は、システムごとに細かく設定することが必要だが、細分 化されればされる程、組織変更、システム変更、人事異動に伴う設定の変更負荷は膨大になる。 また権限がなくなった人のアクセス権削除は、内部統制上特に大事な統制である。これを着実に 実現するために、システム全体にわたるアクセス権の情報を一元管理し、その上ですべての変更 を一括して実現・配信する仕組みが登場し利用範囲を広げている。この応用として、ユーザ側がシ ステムごとに認証とアクセス許可の手続を取らなくても、一度 IDM 上で認証されれば、権限の ある全てのシステムへのログオンが承認される、シングルサインオンの仕組みもまた、広がりつ つある。これらは業務処理統制レベルのアクセス管理を、IT 全般統制レベルで対応する例とも言 える。またシングルサインオンなどをうまく活用することで、内部統制のための仕組みを業務効 率化につなげることも可能になる一例とも言える。 多くの企業は日本版 SOX 法以前に、個人情報保護法57の施行を契機として、情報漏洩対策を中 57「個人情報の保護に関する法律」 2005 年 4 月より全面施行された。 - 110 - 心にセキュリティ強化を図っている。日本版 SOX 法への対応は、経営管理により近いところで のセキュリティ対策を一層意識させ、体系的な導入を進める契機となる可能性が強い。特に日本 版 SOX 法対応の運用段階に入る今後はその認識が一層強まると期待される。セキュリティ対策 も内部統制も、一度構築したらそれでよいというものではなく、毎年、継続してさらに改善を行 い、さらに進化し続けなければならないものである。プライバシーマークや ISMS(Information Security Management System:情報セキュリティマネジメントシステム)により、情報セキュ リティに関わるマネジメントシステムも定着しつつあるが、PDCA サイクルの中でそのレベルが 継続的に改善されることが望まれる。内部統制の見直しをきっかけに、ビジネスプロセスを支え、 適切な情報管理を実現するために、組織戦略に基づいた付加価値向上と情報活用の仕組みの再構 築が実現できれば、内部統制の経営への積極的な意味が見えてくる。その中で、情報セキュリテ ィの果たす積極的な意味もよりはっきりと見えてくることを期待したい。 10.4 情報セキュリティ監査 情報セキュリティ監査制度は、経済産業省により 2003 年 4 月に開始された。58 情報セキュリティ監査は、企業などの情報セキュリティ対策が有効に実施されているかどうか を一定の規準に照らして(主に第三者が)評価を行うことである。情報セキュリティ監査の主な 目的は、自組織の情報資産に対する情報セキュリティ対策が適切に整備・運用されているか否か を、独立かつ専門的な立場から検証・評価することである。これにより、組織内部には情報セキ ュリティ対策の有効性を評価することで安心感を与えることができ、組織外部の顧客や投資家な どの関係者(ステークホルダー)には、その説明責任を果たし、信頼を提供できることになる。 情報セキュリティ監査には大きく分けて、2 つの方式がある。 監査の対象となる組織の情報セキュリティに関するマネジメントや、マネジメントにおけるコ ントロールが監査手続を実施した限りにおいて適切である旨を伝達する監査を、 「保証型監査」と 呼ぶ。ただし、この監査は「インシデントが発生しない」ことを保証するのではなく、「基準」に 照らし適切であるか否かを合理的に保証するものである。さらに保証型監査には、 「社会的合意方 式」 「利用者合意方式」 「被監査主体合意方式」の 3 つの方式が定義されている。59 これに対して、監査対象となる組織の情報セキュリティに関するマネジメントや、コントロー ルの改善を目的として、 「基準」に照らして監査対象の情報セキュリティ上の問題点を検出し、必 要に応じてそれに対応した改善提言を行う監査の形態を「助言型監査」と呼ぶ。 情報セキュリティ監査制度は、日本の情報セキュリティ政策や戦略においても重要な位置付け にある。例えば、 「セキュア・ジャパン 2007」60では情報セキュリティ監査について、以下のと おり施策として挙げている。 58 59 60 情報セキュリティ監査制度:経済産業省 http://www.meti.go.jp/policy/netsecurity/audit.htm 詳しくは「保証型情報セキュリティ監査概念フレームワーク」:日本セキュリティ監査協会(JASA) http://www.jasa.jp/kansa/wframework/index.html 「セキュア・ジャパン 2007」:国の情報セキュリティ問題に関する中長期戦略「第 1 次情報セキュリティ基 本計画」に対応する、2007 年度における具体的な実施プログラム。2007 年 6 月 14 日情報セキュリティ政策 会議決定。http://www.nisc.go.jp/active/kihon/res_sj2007.html - 111 - 政府機関:外部委託先などの情報セキュリティ対策の水準の確保のため、 「情報セキュリ ティ監査制度の活用」 地方公共団体 : 「情報セキュリティ監査実施の推進」 企業 : 「情報セキュリティ監査制度の普及促進」 情報セキュリティ監査と類似する制度として、システム監査と ISMS 適合性評価制度がある。 ここで、その関係や違いを簡卖に整理しておく。 システム監査と情報セキュリティ監査制度は、監査の対象範囲と適用される基準が異なる。そ の対象範囲は、前者は情報システム、後者は情報資産となる。基準は、前者がシステム管理基準、 後者が情報セキュリティ管理基準である。また、システム監査と情報セキュリティ監査制度は、 目的と成り立ちが異なるため、排他的な関係になるものではなく並立する制度となっている。ど ちらの監査を行うかについては、被監査主体のニーズや状況に応じて適切に選択されるべきもの である。 情報セキュリティ監査制度と ISMS 適合性評価制度はともに、 その対象範囲が情報資産である。 しかし、適用される基準が異なり、前者が情報セキュリティ管理基準、後者が JIS Q27001 とな る。また、情報セキュリティ監査制度と ISMS 適合性評価制度も、排他的になるものではなく、 並立する制度となっている。たとえば、セキュリティレベルの低い組織が、情報セキュリティ監 査の助言型監査を用いて、そのレベルを徐々に ISMS 認証取得レベルに向上させていくという利 用方法や、ISMS 認証取得後に ISMS 認証基準に要求される監査とは別に、保証型監査を用いて 「一部の保証」のための監査を行うという利用のされ方などが考えられる。 なお、ISMS 適合性評価制度と情報セキュリティ監査制度の違いや関連については、「情報セキ ュリティ対策ベンチマーク活用集」61に詳細に説明されている。同資料は、さらに情報セキュリ ティ対策ベンチマークとの関係を具体的に示し、これらの制度を活用するための具体的な手引き となっている。 現在、日本国内での情報セキュリティマネジメントの評価においては、多くの組織で ISMS 適 合性評価制度が利用されている。しかし、ISMS 認証の取得や維持には、多くの時間や労力、そ して費用が必要になる。また適用する基準が画一的であり、任意で一部の項目だけを適用すると いうことができない。このような制約から、ISMS 認証を取得しない、あるいはできない組織も ある。 情報セキュリティ監査制度は、段階的な評価や「一部」だけの項目を適用することができるた め、そのような組織でも利用可能な制度となっている。さらに、ISMS 認証取得済み、または同 水準以上の情報セキュリティレベルの組織においては、段階的な評価ができるため、ISMS 適合 性評価制度で適用される基準以上(または基準以下)の評価が可能になる。これにより、情報セ キュリティマネジメントの成熟度の評価が可能になり、よりいっそう柔軟に組織の情報セキュリ 61 「情報セキュリティ対策ベンチマーク活用集」 :情報処理推進機構(IPA) http://www.ipa.go.jp/security/benchmark/benchmark-katsuyou.html - 112 - ティレベルの維持・向上を図ることができ、よりいっそう明確かつ詳細にステークホルダーへの 説明責任を果たすことができるようになる。 そして、情報セキュリティ監査は、組織の情報セキュリティマネジメントの確立と自発的なセ キュリティ向上のための取組が進み、政策による推進や市場からの監査の要求が強まることによ り、成長が期待できる分野である。政策による制度促進の一例としては、経済産業省が運用する 「情報セキュリティ監査企業台帳」という制度があり、情報セキュリティ監査の積極的利用を促 進している。この「情報セキュリティ監査企業台帳」とは、情報セキュリティ監査を行う主体(企 業/組織並びに個人)を登録するものである。企業/組織には監査法人、情報セキュリティベン ダ、システムベンダ、情報セキュリティ専門企業、システム監査企業などが含まれ、こうした多 様な主体によって、それぞれの特性、ユーザのニーズに応じた多様なサービスが提供されること が期待されている。 また、この制度は将来的に情報セキュリティに対する市場の評価、情報セキュリティ格付け制 度での活用なども見据えており、官民ともにいっそうの普及促進が図られていくものと予想され る。また、ほかの関連する制度(会計監査、システム監査、内部統制にかかわる監査、ISMS 適 合性評価制度など)との整合性や相乗効果などを考慮した柔軟に設計された制度でもある。 これらのことからも、情報セキュリティ監査は今後さらに利用が増大し、市場の拡大が期待さ れる分野といえるであろう。 10.5 情報セキュリティ対策における ASP/SaaS の市場動向について (1)ASP/SaaS とは ASP/SaaS62とは、インターネット経由でアプリケーションの機能を特定及び不特定の利用者 に提供するサービス形態であり、ウェブブラウザベースのアプリケーションのみでなく、インタ ーネット経由でクライアントにアプリケーションをインストールするサービス形態も広義の ASP/SaaS と捉える事ができる。 ASP/SaaS が登場してきた背景としては、1990 年代後半からのインターネット技術の発達と、 それに伴う OS へのウェブブラウザの標準装備により、ウェブアプリケーションが広く普及した 事が第一に挙げられる。ウェブアプリケーションは、開発時や改訂時にサーバ側プログラムの変 更のみで対応が可能であり、管理、運用をサーバ側に一括集中する事ができる。また、ウェブブ ラウザが OS に標準装備された事により、クライアントマシンへのインストールが基本的に不要 となったため、利用するマシンへの導入も容易である。それらの特徴を利用して、サービス事業 者がインターネットを用いて利用者にアプリケーションの提供を行うオンデマンド型のサービス を ASP サービスとして提供し始めた。ASP サービスは、サービス事業者がサーバの管理、運用 を行う事により、利用者がアプリケーションの管理や運用を意識する事なくアプリケーションを 利用できる新しいサービス形態であったが、当時のネットワークはまだ十分な帯域が確保されて 62 ASP: Application Service Provider SaaS: Software as a Service いずれも、ソフトウェア製品を、 買取やライセンス(使用許諾)契約でなく、サービスとして提供/利用し、利用に対して課金するビジネスモ デル。 - 113 - おらず、ネットワークコストも高額であった。また、ユーザ毎に専用の環境を用意するシングル テナント方式のため、サービス提供価格も高額となっていた。更に、技術的な制約により機能の カスタマイズ性が低いなどの問題もあり、ASP サービスが広く普及するまでには至らなかった。 その後、ネットワークの帯域幅の拡大、信頼性の向上、ネットワークコストの低価格化、また CPU やディスク容量などのハードウェア環境の発達により、従来は 1 つの環境に 1 ユーザの環 境を構築する事しかできなかったのが、1 つの環境に複数ユーザの環境を構築するマルチテナン ト方式の実現が可能となった。その結果、サービス事業者側の運用コスト削減が可能となり、利 用者に以前より安価な価格帯でサービスを提供する事ができるようになった。加えて、ウェブサ ービスの登場により、他社のオンデマンド型サービスとの連携を行うマッシュアップの技術も発 達し、必要とされる複数のサービスを機能卖位に組み合わせ、新たなサービスの提供や利用者毎 に機能をカスタマイズする事も可能となった。これらの技術的、環境的な背景の変化により、新 たな特徴を持つ事になった ASP サービスの事を SaaS と呼ぶ63。従来は高額であり運用、保守の 担当者を用意する必要があるため、中小規模の企業では導入が困難であった業務アプリケーショ ンについても、SaaS サービスを利用する事により、短期間かつ初期導入費用も比較的安価に導 入できるようになった事から、近年急速に注目を集めている。 日本における ASP/SaaS 市場は着実に拡大してきており、2010 年には日本の ASP/SaaS の 市場規模は約 1 兆 5000 億円に達すると予測されている64。 (2)セキュリティ市場における ASP/SaaS セキュリティ市場においても ASP/SaaS 形態のサービスが提供されており、着実に利用者数 を増やしてきている。主な例としては、ISP 経由で提供される事の多いメールセキュリティ対策 サービスが挙げられる。ASP/SaaS サービスを利用する事により、短期間でサービスを導入す る事ができ、導入後も利用者側で専門の担当者や環境を用意する必要がなくなり、パターンファ イルの更新などの運用コストを削減する事も可能となる。他にも、ウェブフィルタリングやファ イアウォール、クライアントでのウイルス対策などを含む統合セキュリティサービス、セキュア な認証サーバを経由する事により ID 管理や認証を行う ID 管理・認証サービス、また最近では利 用者の環境やウェブアプリケーションに対して脆弱性検査を実施するサービスや日本版 SOX 法 に対応したログの収集、保管、分析機能を保有するログ管理サービスも出てきており、今後もセ キュリティ市場の分野で ASP/SaaS の新しいサービスが提供されていくと考えられる。 従来、セキュリティ対策については高度に専門的な知識を必要とする事が多く、専門知識を持 った担当者を確保する事が困難な多くの中小企業においては十分なセキュリティ対策が実施でき ていなかったが、ASP/SaaS で提供されるサービスを用い、専門知識を保有するサービス事業 者にセキュリティ対策を委託する事により、企業規模に制約されずに高度なセキュリティ対策の 確保を実現する事が期待されている。また、CRM65、SFA66等の業務アプリケーションにおいて SaaS の定義については諸説存在しており、ASP と SaaS は本質的なサービス形態は同一な事から、両者を同 義語として使用する場合もある。また、マーケティング的な意味合いから ASP と SaaS を使い分けているとの 説も存在する。 64 ASPIC Japan「ASP 白書 2005」http://www.aspicjapan.org/information/publish/index.html 65 CRM:Customer Relationship Management 顧客情報管理 63 - 114 - は、顧客データを自社で保管する必要がなく、ASP/SaaS から個人情報保護法や日本版 SOX 法 に対応したサービスが提供される。その結果、法が要求する、個人情報保護のためのシステムを 自社内で新規構築する必要がなくなり、ASP/SaaS サービスを利用する場合のメリットを実感 し評価しやすくなる。その結果として ASP/SaaS の利用が拡大する可能性が高い。 最近では MIJS67や CSAJ68などの団体において SaaS の実証実験を行うなど、大手ベンダに対 抗して日本のソフトウェアベンダが協力して SaaS 環境を提供しようとする新しい動きも出て来 ており、今後も日本市場における ASP/SaaS の活性化が期待できる。 (3)ASP/SaaS の普及促進に向けた動き ASP/SaaS サービスを利用する事により、システム運用、 保守、 管理の負担が軽減する一方で、 サービス事業者にサービスで利用するデータを一括して委託する必要が生じる。また、サービス の運用・保守・セキュリティ対策に至るまでサービス事業者にアウトソースする事になるため、 利用者がサービス事業者のセキュリティ対策に対して懸念を抱くケースがある。その事が利用者 による ASP/SaaS サービスの積極的な利用を躊躇させている一因となっているため、ASP/ SaaS を普及させるためには、利用者が安心してサービスを利用できるような環境を整備する事 が必要となる。そのような必要に対応するため、2008 年 1 月に経済産業省から「SaaS 向け SLA ガイドライン69」が、総務省から「ASP・SaaS における情報セキュリティガイドライン70」が公 開された。 「SaaS 向け SLA ガイドライン」は主に利用者向けのガイドラインであり、契約時にサービス 事業者と取り決めておくべき SLA71を提供する事により、利用者とサービス事業者間の取引を容 易・円滑にし、SaaS サービスがより効率的に利用されるようにする事を目的として作成されてい る。前半では SaaS の歴史からその特徴について図や表を多用して説明しており、SaaS 導入のメ リット、デメリットが利用者にも理解し易い内容となっている。後半では SLA の重要性、内容、 確認事項について説明されており、別表には SaaS 向け SLA におけるサービスレベル項目のモデ ルケースまで添付されている。実際に利用者が SaaS 業者と契約する際に、どの点に注意すべき かがポイントを押さえて解説されており、このガイドラインを用いる事により、利用者とサービ ス事業者の契約時の取り決めが明確になり、利用開始後のトラブル予防などにも役立つと思われ る。 また、 「ASP・SaaS における情報セキュリティガイドライン」は、主にサービス事業者向けの SFA:Sales Force Automation 営業支援システム MIJS:Made In Japan Software Consortium 日本のソフトウェアベンダが結集し、製品の相互連携を行い海外展開および国内ビジネス基盤の強化を図る。 http://www.mijs.jp/ 68 CSAJ:Computer Software Association of Japan 社団法人コンピュータソフトウェア協会 コンピュータソフトウェアに係わる企業約 500 社が集まり ソフトウェア産業の発展に貢献している。 http://www.csaj.jp/index.html 69 経済産業省「SaaS 向け SLA ガイドライン」 http://www.meti.go.jp/press/20080121004/03_guide_line_set.pdf 70 総務省「ASP・SaaS における情報セキュリティガイドライン」 http://www.soumu.go.jp/s-news/2008/pdf/080130_3_bt3.pdf 71 SLA:Service Level Agreement 提供されるサービスの品質や性能についての供給者・利用者間の合意(文 書) 66 67 - 115 - ガイドラインであり、ASP/SaaS サービスが企業等の生産性向上の健全な基盤として利用でき るよう、サービス事業者が実施すべき情報セキュリティ対策を取りまとめている。このガイドラ インでは JISQ27001(ISO/IEC27001)に示される情報セキュリティマネジメントシステムの 考え方を参考に、ASP/SaaS サービスの種別をパターン化し、組織・運用に係わる対策及び物 理的・技術的対策についての項目が列挙されている。また各サービスのパターン毎に、対策の参 考値とベストプラクティスが示されている。さらに、付録として対策項目の一覧表がついており、 チェックシート的に利用する事も可能である。このガイドラインが上手に活用されれば、サービ ス事業者のセキュリティ対策の向上に役立つと考えられる。 これらのガイドラインが利用者及びサービス事業者に適切に活用されていく事により、今後の ASP/SaaS サービスの利用・活用が更に進み、普及することで、市場が大きく発展することが期 待される。 (4)ASP/SaaS への期待 近年の情報漏洩の増加により、セキュリティ対策は企業にとっての必須課題となっているが、 最新の脅威に対応するためには、定期的なセキュリティパッチの適用やリアルタイムでのウイル ス定義の最新化、インシデント発生時の設定変更対応などの多くの作業が必要である。そのため には広範囲に渡る専門知識が必要となるため、中小規模の企業においては、信頼できる業者への アウトソースを行う事が有効な対策となってくる。アウトソースを検討する際に、ASP/SaaS モデルは、短期間での導入が可能であり、コストも低価格に抑える事ができ、セキュリティ専門 業者による経験豊富な技術者が運用に携わるため信頼性も高いなど、セキュリティ対策と非常に 親和性が高いものとなっている。現在セキュリティ対策の導入をためらったり手が付けられない 企業にとっては、セキュリティ対策実現のための施策としても有用と言えるであろう。 経済産業省の政策でも、中小規模の企業が ASP/SaaS を導入する事による IT 化推進を目指し ており、 「平成 20 年度 経済産業政策の重点」72では中小企業、小規模企業の経営能力向上支援と して、ASP/SaaS の利用促進について明記している。また、経済産業省が 2006 年 6 月に公表し た「情報システムの信頼性向上に関するガイドライン」73において、 「日々深刻化している情報シ ステムの障害による社会的影響に対処するためには、取引環境・契約関係を明確化し、ユーザ・ ベンダの円滑な協力を推進する事による、情報サービス・ソフトウエア産業における信頼性向上 が重要である」と指摘しており、その指摘を受けて 2007 年 4 月には、中小企業等におけるパッ ケージソフト等の活用と保守、運用を含めた情報システム構築のためのモデル取引と契約のあり 方を集約し、 「情報システムの信頼性向上のための取引慣行・契約に関する研究会」の報告書とし て「情報システム・モデル取引・契約書(受託開発(一部企画を含む)、保守運用)〈第一版〉」74 と題する契約書モデルが公表された。さらに 2008 年 4 月には、その追補版として「情報システ 経済産業省「平成 20 年度 経済産業政策の重点」 http://www.ims.mstc.or.jp/project_japan/public_offering/pdf/h20_meti1.pdf 73 経済産業省「情報システムの信頼性向上に関するガイドライン」 http://www.meti.go.jp/press/20060615002/guideline.pdf 74 経済産業省「~情報システム・モデル取引・契約書~(受託開発(一部企画を含む) 、保守運用) 〈第一版〉 」 http://www.meti.go.jp/policy/it_policy/keiyaku/model_keiyakusyo.pdf 72 - 116 - ム・モデル取引・契約書(パッケージ、SaaS/ASP 活用、保守・運用)<追補版>」75を公表し た。この追補版は、中小規模の企業が ASP/SaaS を導入する際の参考になる契約書の雛形を提 供するもので、特に中小企業において ASP/SaaS を活用することで IT 化が促進されることを図 っている。このように、行政サイドからも ASP/SaaS への期待は非常に高いものとなっている。 ソフトウェアを、開発の負荷や資金負担、専門の運用保守体制などの負担を軽くして活発に利 用できるようになれば、IT 活用で後れを取り、経営の効率化と近代化で务位にある中小企業の経 営改善に資するところ大となる。特に情報セキュリティはより専門性が要求され常時アップデー トを図る必要があることから、導入面でも運用面でもハードルが高いが、ASP/SaaS の活用で この敷居が下がり、普及に弾みがつくことを期待したい。またそのためにはセキュリティの提供 事業者側の積極参入、事業拡大への取組も欠かせない。この面での行政の支援も期待されるとこ ろである。 10.6 物理的セキュリティとの連携 情報漏洩対策は、電子化されたデータの不正持ち出しやネットワーク経由での盗難の事例が注 目されたことから、IT セキュリティに対する関心が先行したが、物理的セキュリティの重要性、 特に IT セキュリティとの連携の必要性が意識されるようになってきた。 物理的セキュリティでは、JISQ15001 で入退室管理の要求が具体的に記述されていることから、 オフィスへのアクセスの管理が急速に進んでいる。社員一人ひとりに電子読み取り可能な ID カ ード等を支給し、建物やオフィスの入退室に際して読取装置で読み取り、入口扉の開錠をするこ とで入退室を許可すると同時に、ログを記録することが一般的である。更には、この情報を IT のアクセス管理と組合せ、正規に認証されて入室中の社員のみが、ネットワークログオンを許可 される仕組みも登場し、普及しつつある。 次に、IT で処理された情報が印刷され紙の上に表示されると、紙という物理媒体の取扱いが問 題になる。ネットワークプリンティング環境が一般化した結果、印刷出力した情報とその持ち主 が物理的に同時同場所にそろわないことが起き、情報の紛失や不正持ち出しのリスクが高まった。 これに対して、 プリンタに本人識別機能を付加し、ネットワーク経由の認証と連動させることで、 本人の目の前でしか出力されない仕組みも登場している。この他ファクスやコピー機では、送受 信された、あるいは読み取ったイメージデータが機械の中に蓄積される問題も意識され、その管 理や保護の機能も装備するようになってきている。 更には、紙媒体の保管についても、キャビネット類の施錠・開錠管理に関して、卖に物理的な 鍵の管理だけでなく、ネットワーク上の認証情報と連動して施錠・開錠を行い、同時にアクセス ログも記録できるシステムもある。 また、IT における可搬型システム(PC、PDA、携帯電話)や可搬型媒体(USB メモリ、CD /DVD 等)の紛失盗難も後を絶たないことから、その持ち出し・持ち込みの制限も厳密に管理 する意識が浸透しつつある。また、事業継続管理の意識も高まる中で、情報システム自体の物理 75 経済産業省「~情報システム・モデル取引・契約書~(パッケージ、SaaS/ASP 活用、保守・運用)<追補版 >」http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1030&btnDownload =yes&hdnSeqno=0000035630 - 117 - 的安全対策も進化しつつある。 このように、情報へのアクセスと、情報の保管・移動までを総合的にとらえ、IT システム上の 対策だけでなく、物理的側面も同等に管理する対応が進みつつある。 10.7 セキュリティ対策の実効性評価 情報セキュリティへの対応において最も信頼度の高いよりどころと目されている ISMS では、 情報セキュリティ対策とは、自社の情報資産をリストアップしてその資産価値を査定し、資産に 対するセキュリティリスクを評価して対策を立て、受容可能なレベルにまでリスクを低減するこ とが基本である。この枠組みには、情報セキュリティの何をどこまでやるかは、各社が独自に査 定する資産価値とリスク度合いに、各社が自ら決定する受容レベルを加味して対策の程度を決定 するという、自主基準・マネジメントニーズベースの考え方がある。 リスクを正しく分析して必要な対策を手当すれば、おのずと一定のセキュリティ対策の必要は 導き出されるものの、 その考え方はあくまで相対論であって、 絶対的基準を求めるものではない。 一方で、情報はその性質上、一度流出してしまえば完全に取り返すことは困難であり、洩れたか 防げたかは絶対的な意味の差がある。どんなに統計値あるいは理論値としての可能性が小さくて も、特に競争上の情報は、洩れてしまえば終いなのである。このことから、セキュリティ対策に おいて、その実効性・有効性をどう評価するか、どれだけの防止効果が期待できるか、の評価に 関心が高まってきている。 その象徴的動きと言えるのが、ISO における ISO27004 制定のための取組である。メジャメン ト(Measurement、計測)と称されるこの規格の作業部会は現在活動中で、詳しい内容は固まっ ていない。これをにらみながら、国内でも、「日本 ISMS ユーザグループ76」が、メジャメントに 関する研究を進めている。また、NPO 日本セキュリティ監査協会(JASA)77の調査研究部会で も、「セキュリティ対策の有効性測定・評価方法の調査」に取り組んでいる。その内容は 2007 年 度の JASA の活動成果として公表予定であるが、同報告書によると、関連する研究として、上記 2 例の他、次のものが挙げられている。 1.米国国立標準技術研究所(NIST)が発行するガイダンス文書 SP800-55, SP800-26 2.独立行政法人 情報処理推進機構(IPA)による調査研究 3.次世代電子商取引推進協議会(E-COM)による研究「セキュリティ対策評価モデル」 4.英国規格協会(BSI)78の発行文書 BIP0074:2006 これらの動きとは別に、国際カードブランドの団体である PCI SSC79は、クレジットカード情 報を取り扱う企業等が守るべきセキュリティ基準をまとめ、一定量以上の取扱量のある組織に遵 守を義務付けることとした。 この基準自体は絶対値としての対策基準を明示するものではないが、 要求する対策内容が具体的であること、その審査に合格するためには一定水準の対策を必要とす 日本 ISMS ユーザグループ: http://www.j-isms.jp/ NPO 日本セキュリティ監査協会: http://www.jasa.jp/ 78 BSI: British Standard Institute 英国規格協会 79 PCI SSC:Payment-Card Industry Security Standard Council 世界の主要クレジットカード会社が共同で設 立した PCI DSS を制定し運営する団体(脚注 29 参照) 76 77 - 118 - ることなどから、セキュリティ対策の実効性評価にまで踏み込んだ基準と言える。 また、日本国内の動きとして、情報セキュリティ格付けを制度化しようとするものがある。2007 年 7 月に、研究会の発足が公表され、2008 年度に、独立採算の企業組織として立ち上げる計画 が進んでいる。これは、ISMS など、情報セキュリティ対策を実施している企業の対策水準を、 客観的尺度で評価し、証券の格付けと類似の絶対尺度でのランク付けを付与しようという考えで あり、セキュリティ対策の実効性評価の一つの形であるといえる。 ここでは、上記の日本 ISMS ユーザグループや日本セキュリティ監査協会の研究の成果も引用 しながら、次のいくつかのトピックを見ていくこととする。 1.PCI DSS 2.情報セキュリティ格付け 3.ISO27004 と日本 ISMS ユーザグループの活動成果 4.独立行政法人情報処理推進機構(IPA)の研究結果 5.次世代電子商取引推進協議会(E-COM) 6.FIPS このうち 4、5、6 項は、前述のように、日本セキュリティ監査協会・調査研究部会・第 1 ワー キンググループ80のご好意により、その成果に依存して記述するものである。 10.7.1 PCI DSS 国際ペイメントカード(クレジットカード)ブランド 5 社が 2006 年 9 月にクレジットカード 情報の取扱いに関する監査基準を統一し、PCI DSS(Payment-Card Industry Data Security Standard)V1.1 として公開した。クレジットカードが主要な決済手段である米国社会では基準 として既に浸透しており、米国に本拠を置き世界的に事業を展開する企業も、小売業に限らず石 油小売業やソフトウェアベンダなどの有名企業が、既に多数準拠している。同基準はクレジット カードの加盟店及び決済代行事業者やデータ処理会社を適用の対象としており、最も重要性の高 い個人情報であるクレジットカード情報の保護に関する、実効性の高いセキュリティ基準として 国内でも注目されている。 一方、情報セキュリティに関しての国際的な認証基準として ISMS=ISO/IEC27001(国内の 認証基準は JIS Q 27001)が既に存在している。ISMS と PCI DSS との関係については ISMS 認証の認定機関である財団法人日本情報処理開発協会(JIPDEC)が「クレジット産業向け ISMS ユーザーズガイド81」として発行している。本書には、ISMS が全業種に汎用的に適用するため に設計してあるのに対して、PCI DSS はより実装段階に即した詳細な技術的な基準であることが 述べられており、情報システムに伝送/処理/格納されているクレジットカード情報を取り扱う 事業者に対して、より有効性の高い基準であることを示している。 我が国の ISMS 適合性評価制度の開始から 7 年が経過し、2008 年 3 月現在で ISMS 認証組織 は 2,500 社を超えるに至っている。制度は既に基準への適合性のみならず、対策の有効性を測定 80 日本セキュリティ監査協会の活動成果報告書は近日中に同協会から発行され、またウェブ (http://www.jasa.jp/)で公開予定。 81 http://www.isms.jipdec.jp/doc/JIP-ISMS116-10.pdf - 119 - /実 証するフ ェーズに移行 しつつあ る。有効性測 定の基準 については国 際的に は ISO/ IEC27004 として策定が進んでおり 2010 年に発行される予定だが、現状は広く社会的に合意形 成された明確な基準がない状況である。漏洩により経済的な実害を生む可能性が極めて高く、そ の意味で最も保護するべき個人情報であるクレジットカード情報のセキュリティ対策については、 実証された有効性をもつ安全基準として PCI DSS を適用することが、現状では最も合理的であ ると言える。ネットワークセキュリティに関してはアプリケーション、ネットワーク、サーバな ど各領域において技術の進化が早く、各ベンダからの技術的な仕様情報は充分に提供されていて も、自社に必要な実装レベルについて明確な基準がないことから、各領域のバランスが悪い、特 定領域について過剰な投資となっている等効率性の問題が各所で発生している。また ISMS にお いても附属書に規定されている 133 の管理策については、組織が実施したリスクアセスメントの 結果、組織が定めたリスク受容基準により採用するものであり、いわば各組織の主観的な実装と なっており、絶対的な実装基準は存在しない。(ガイドラインとして JIS Q 27002 があるが、第 三者認証の基準はあくまで JIS Q 27001 である。 )それに対して PCI DSS は適用する領域の網羅 性が非常に高く、各領域においても具体的な基準が明記されている。その結果、現実のネットワ ーク脅威に対する防御を想定した、実証されたネットワークセキュリティの実装基準として、各 セキュリティベンダからも多くの支持を集めている。 実際の監査基準は 6 カテゴリに 12 の要件を定義し、約 230 の監査項目から構成されている。6 カテゴリ・12 要件は以下のとおりである。 1)安全なネットワークの構築・維持 要件 1: データを保護するためにファイアウォールの導入をし、最適な設定を維持すること 要件 2: システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそ のまま利用しないこと 2)カード会員情報の保護 要件 3: 保存されたデータを安全に保護すること 要件 4: 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化 すること 3)脆弱点を管理するプログラムの維持 要件 5: アンチウイルスソフトを利用し、定期的にソフトを更新すること 要件 6: 安全性の高いシステムとアプリケーションを開発し、保守すること 4)強固なアクセス制御手法の導入 要件 7: 業務目的別にデータアクセスを制限すること 要件 8: コンピュータにアクセスする際、利用者毎に識別 ID を割り当てること 要件 9: カード会員情報にアクセスする際、物理的なアクセスを制限すること 5)定期的なネットワークの監視およびテスト 要件 10: ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視する こと 要件 11: セキュリティシステムおよび有事の対応手順を定期的にテストすること 6)情報セキュリティポリシーの保有 - 120 - 要件 12: 情報セキュリティに関するポリシーを保持すること PCI DSS は、我が国においてもクレジットカードの根拠法である割賦販売法の改正を背景に、 またペイメントブランド各社の要請から、2008 年度は本格的な普及フェーズとして対応の要求が 高まることが予想される。しかし当然いくつかの課題も存在する。同基準は米国のクレジットカ ード産業を想定して策定されたものであり、必ずしも国内の状況が加味され、反映されてはいな いため解釈に窮することも多い。よって、各監査項目の解釈やポイントについて、国内における ガイドラインや実践規範をどう規定していくのか、協議の余地があると言える。 また要件 1 のファイアウォールの導入などは、すでに大抵の企業に導入されているので、文書 化やポリシー変更など軽微な変更で準拠可能だが、要件 3 のカード会員情報が格納されるデータ ベースの管理への要求、要件 6 のウェブアプリケーションの保護に関する要求、要件 7 のアクセ ス管理に関する要求などは、設備投資やシステム改修を伴うため事業者にとっては負担が重い。 PCI DSS は、前述のように絶対的対策レベルの要求の要素があるので、従業員の意識レベルや スキルレベルの高さに依存したマネジメントシステムと比べると、達成のためのハードルは高い と言える。従ってこの監査プログラムを適用する場合の最初の目標値は、監査を実施すること自 体に置くとよいものと考えられる。つまり、ISMS はマネジメントシステムの運用が正式に開始 されていることが審査の前提となり、全ての不適合の是正が完了していることが認証取得の条件 になるのに対し、PCI DSS は監査の実施そのものを目的と位置付けるのである。セキュリティ対 策の構築の過程であっても、早い段階で監査を実施することにより、基準への準拠のための改善 事項を明らかにすることや、実施するべき改善計画を明確にすることができる。同基準を普及さ せるフェーズにおいては、加盟店やサービスプロバイダに最初から完全準拠を目指すことを要求 するのではなく、改善事項を明らかにすることに重きをおくことが重要であるといえる。 このように、カード会員情報の保護という具体的目標の実現のための基準である結果、PCI DSS は、実効性の面で一定の効力を発揮する対策を、絶対値として求めている。次に見る「情報 セキュリティ格付け」と同様に、取引先など、第二者、第三者からの要求に基づくセキュリティ 基準は、絶対軸の基準の要素を強めていくものと思われる。 10.7.2 情報セキュリティ格付け制度 2007 年 7 月 18 日、共同記者発表があり、 「情報セキュリティ格付け制度研究会」の設立がア ナウンスされた82。同発表資料によれば、情報セキュリティ格付けとは「企業などの組織の情報 セキュリティをマネジメントの成熟度、テクノロジーのレベル、コンプライアンスへの取り組み 状況といった観点で定量化を行い、記号や数値などを用いて指標化するもの」で、その狙いとす るところは、 「これにより、企業などの組織は現状を理解した上で、情報セキュリティ・ガバナン スの継続的改善を実施できるようになります。また、企業間取引において相互のセキュリティレ ベルを客観的に確認できる指標になると期待されます。 」とされている。 その背景には、同設立趣意書によれば、企業相互間の取引関係が高度化・複雑化する中で、グ 82 報道発表資料:http://www.r-i.co.jp/jpn/news_topics/detail_r-i/2007/ri070718_1.pdf - 121 - ローバルな相互依存関係が拡大し複雑化しており、 「情報管理強化の一環として、多くの企業が業 務委託先の管理を充実するなか、委託会社・受託会社におけるセキュリティ水準の相互確認作業 は膨大なものとなっている。セキュリティ品質の向上は、1つの企業や団体などの閉じた環境の 中で完結するものではない。業務の効率化と有効性を確保するには、多くの企業が客観的な評価 指標を共同利用するなど、社会全体のコストを低減する方策が求められている。」ことがある。 情報漏洩事件は個人情報の流出・漏洩が多く耳目を引くが、企業秘密の漏洩、盗難が深刻な問 題となっている実態がある。情報の態様が電子化しデジタル化した結果、大量の情報が正確性・ 再現性を保ったままライバルや新興勢力に不正利用されるリスクはかつてなく高まっており、そ れが国際的広がりを持つが故に法的対応の限界も立ちはだかって、情報の管理が非常に深刻な問 題となっている。自社における情報管理とインシデントリスクは自己責任で完結できても、委託 先の管理レベルの担保は難しい問題となる。委託先の有効活用なくして企業の競争力確保はあり えず、委託先における情報管理レベルの確証なくして委託先の有効活用はありえない状況の中で、 いかに客観基準においてその管理・対策レベルの確認をするかが課題となっている。 また、その確認を求められる受託側にとっては、委託元各社ごとに確認作業への対応をするこ とは現実的でなく、結局、社会的に合意される共通尺度で、客観的な評価を第三者が提供するこ とで、委託側・受託側相互の問題を解決する必要に迫られている状況にある。 このような流れの中、行政サイドからも「情報セキュリティ対策の成熟度向上等に向けた市場 メカニズムの強化」の一環として「情報セキュリティ対策状況に係る情報開示を通じた民間格付 けの促進等」の施策が取り上げられている(「グローバル情報セキュリティ戦略」 (2007年5月「産 業構造審議会情報セキュリティ基本問題委員会報告書)83)ことも背景として、、「社会インフラと しての『情報セキュリティ格付け』制度の確立を目指すとともに、業種・業態の枠組みを超えた 活動として、政府の情報セキュリティ政策『セキュア・ジャパン2007』の実現に積極的に関与・ 協力していく84」ことを旨として、 「情報セキュリティ格付け制度研究会」が立ち上がり活動して いる。 同制度の実現に向けては、その運営主体として同研究会参加企業を中心とした民間の共同出資 による事業会社を2008年度に設立・スタートさせるべく鋭意活動を進めている模様である。 ここでは、情報を守ることが企業活動の生命線に関わるという実態に対して、情報が守られる 程度を客観的に知りたい、それも彼我の手間とコストの負担に照らして、社会的インフラとして 実現させる必要があるという具体的ニーズに根ざして、情報セキュリティ対策を、その実効性の 面から評価する意義が明確に示され、実現に向けての力強い動きが起きていることを確認できる。 10.7.3 ISO27004 と日本 ISMS ユーザグループの活動 日本ISMSユーザグループは、2007年12月21日に「情報セキュリティマネジメントセミナー」 を開催し、2007年の活動成果を披露した。その中で同グループがここ数年取り組んでいる「メジ ャメント」 (有効性測定)のテーマについても成果報告が行なわれた。同セミナーでは、ISO/IEC 83 84 設立趣意書: http://www.r-i.co.jp/jpn/news_topics/detail_r-i/2007/ri070718_2.pdf http://www.meti.go.jp/press/20070510001/20070510001.html 同設立趣意書による - 122 - の共同技術委員会の第27サブ委員会(27000シリーズ)のワーキンググループ1副議長であるDr. Angelika Plateから、 「ISMSインプリメンテーション、測定に関わる最新標準化動向、及び欧州 での実践事例」と題してISOでの規格検討状況の紹介が行なわれた。焦点は、ISMSの実装につい てのガイドラインである27003と、ISMSの有効性測定基準と位置付けられている27004について で、前者についてはその概要が、後者についてはそのプログラムモデルと、参照用サンプルケー スの紹介があった。その資料は同団体のウェブで公開85されており、国際規格制定に向けての活動 の一端に触れることができる。 日本ISMSユーザグループにおける研究もこの二つをテーマとしており、それぞれについて研究 成果が披露された。有効性測定・評価については、2006年12月の発表に次いで、測定のためのフ レームワークの紹介と、各管理策に対応した測定アプローチのサンプル集が示された。 フレームワークとしては、有効性評価のためにはその評価対象となるリスクの度合いについて の評価の精度があって初めて、対策の効果の程が計れる、との考えが示された。そして有効性評 価の軸として、管理策の実施度と達成度の2軸を用いるモデルが示され、133の管理策すべてにつ いて有効性測定のテンプレートを作成する計画(第2フェーズとして今後の活動テーマとなる)が 披露された。資料は前出と同じウェブサイトで参照できる。 ここでは、評価という行為に対してその対象価値の定義から入るという基本枠組みが明示され ている。すなわち「評価」する場合には「AをBに対して評価する」という両者の定義が必要だ としている。そしてこの場合、Aが管理策であり、Bがリスクであるということになる。ISMSの 枠組みとしては、リスクはあくまで自社にとってのリスクであることから、有効性の測定・評価を 考える場合に、必ずこの二次元が登場することを明示しており、意義深い研究発表となったと言 える。 10.7.4 独立行政法人情報処理推進機構の研究レポート 独立行政法人情報処理推進機構は、2003年度情報セキュリティ技術開発事業の成果の一つとし て、 「定量的セキュリティ測定手法及び支援ツールの開発」というテーマを発表している86。同報 告は、 「情報セキュリティの確保に関して、その実施の程度を評価するアプローチ手法は発展途上 の段階にある。現在実施されている評価においては、その観点の多くは、着眼点を列挙するガイ ドラインの延長上にあり、いわば定性的な評価基準が示されている。しかし、セキュリティプロ セスは複雑であり、あるひとつの着眼点について『実施している/していない』といったYes/No で割り切れない場合は多い。特に重要なプロセスや制御項目については、定量的な尺度をもって 対応することが、総合的なセキュリティ水準を向上させていくために求められている。 」という問 題意識の下に「そこで本プロジェクトでは、パイロット的にセキュリティメトリクスの定義を行 うための調査検討を行った。また、その定量的尺度によるデータを収集・記録・分析・保存する ための支援ツールを開発した。 」 (いずれも同成果報告より)としてその成果を披露している。 ここでも、セキュリティ対策は「やったかやってないか」では評価できず、定量化が必要との 考えの下に、米国国立標準技術研究所(NIST)が公表している参照基準であるSP800-55(ITシ 85 86 http://www.j-isms.jp/events/20071221.html http://www.ipa.go.jp/security/fy15/development/metrics/index.html - 123 - ステムのセキュリティ測定ガイド)並びにSP800-26(ITシステムのセキュリティ自己評価ガイド) を中心に、セキュリティ対策の評価に関わる枠組みを列挙して比較検討し、評価のための諸元(コ ントロール目標、尺度、尺度の目的、実装の証拠、計算式など)を体系化して示し、最終的には セキュリティ評価支援ツールとして開発している。 セキュリティ対策の発展期に、その実効性の評価に着眼し、アメリカにおける実践を取り入れ つつ、独自の体系としてまとめ、更にツールとして開発したことは、特筆すべき高い成果だと言 える。 10.7.5 電子商取引推進協議会によるセキュリティ対策評価モデル 電子商取引推進協議会が経済産業省の委託事業の成果物として2005年2月に発表した「セキュリ ティ対策評価モデル87」は、セキュリティ対策のレベルを評価するモデルを開発する試みであった。 同報告書によると、 「社会全体における情報セキュリティの向上のためには、 (中略)●実務的 で効果的なリスク分析のガイドの提供 ●ISMSの要求を実践に移すための実務的なガイドの提 供 ●実施しているセキュリティ対策のレベルを評価するための手段ならびに尺度の提供」(同 報告書)が必要であるとしている。そしてセキュリティ対策評価モデルのコンセプトとしては、 「①セキュリティ対策として実施すべき具体策(対策要求)のリスト②個々の対策要求における 複数の段階に分けた強度レベルの概念と、実施上の選択肢を対策強度とリンクして示す“個々の 対策要求に対する強度判定基準”③これらの利用法を一つの体系として纏めたもの」 (同)として いる。 具体的には、ISMSの管理策をカバーしつつより高い網羅性を目指した対策要求の体系(ビュー -サブ・ビュー-対策ドメイン-対策要求という体系で展開。ISMSにおける要求-管理目的-項 目-管理策という体系に似た構造となっている)を定義している。同評価モデルの優れた点は、 これに対して強度レベルの定義を具体的に提供し、更に、その各レベルの達成要件を、具体的な 実施項目と実施レベルの表記で定義付けていることである。 まず対策要求体系であるが、ビューレベルは、マネジメント、ビジネスオペレーション、テク ニカル&オペレーション、アシュアランスの4分類、サブ・ビューレベルは7分類を定義し、それ ぞれについて2~9項目の対策ドメイン(合計30項目)を展開。そして各対策ドメインにいくつか の対策要求を割り当て、最終的に117の対策要求項目を展開している。そしてその個々について、 採用すべき対策強度レベルの定義と、どの強度レベルを選ぶかの判断基準を用意する。そして更 に、各対策における目標強度レベルの達成度を評価するために、各レベルの達成要件を示し、例 えば「アプリケーションへの不審なアクセスに対してはリアルタイムで警告が出されている」 (同)といった具体的な判断基準を示している。 管理目的と必要実現レベルを適確に定義し、その実施・実現度と達成度を正確に評価してセキ ュリティ対策の実効を確保したいと考える経営者や管理者にとって具体的で使いやすいモデルに 87 http://www.ecom.or.jp/results/h16seika/10_セキュリティ対策評価モデル第1分冊:モデルのコンセプトと対 策要求の解説.pdf http://www.ecom.or.jp/results/h16seika/11_セキュリティ対策評価モデル第2分冊:モデルの使用法と対策強 度レベル判定基準.pdf - 124 - なっていると言える。 このような精緻なモデルが3年前に開発されていたことは特筆に価するものであり、またISMS に対するカバレッジの面でも申し分ないところから、大いに活用の期待されるモデルである。 10.7.6 米国国立標準技術研究所(NIST)からのガイドライン(SP) 米国連邦政府の情報セキュリティ対策は、2002年に制定された法律「連邦政府情報セキュリテ ィ管理法」略称FISMA88に基づいて進められている。この法律に基づき、国立標準技術研究所 (NIST)が、連邦政府機関が遵守すべき標準やガイダンスを提供している。 前者はFIPS89(連邦情報処理標準)と呼ばれ、連邦政府機関には遵守義務が課せられている。 後者はSP90(特定発行文書)と呼ばれ、ガイダンスを提供するもので、FISMAに関するものはNIST SP800-xxという番号体系で多く発行され、またいくつかが準備中である。行政予算管理局からの 通達で、連邦政府機関はこのガイダンスに従わなければならないと指示されている。 このうち、NIST SP800-53Aのタイトルは「連邦政府情報システムのセキュリティ管理策の評価 ガイド(Guide for Assessing the Security Control in Federal Information Systems)」で、他の SP800シリーズで要求されている管理策をモニタし、その有効性を判断するためのガイドライン となっている。つまり、管理策の正確な実装、意図したとおりの運用、セキュリティ要件の充足 度などを調べる目的のものである。 FISMAの枠組みは、標準とガイドラインを整備し、更にセキュリティの評価について、そのサ ービス提供機関の認定に関する枠組みを整備する(更にはセキュリティツールを評価するプログ ラムの策定まで広げる)ことを目指している。そしてその実行の主体はNISTが担うことになる。 従って、SP800-53Aの発行は、この第2フェーズへの一歩と理解することができる。 このように、先進的な体系であると認識されているFISMA/FIPS/NIST-SPの体系で米国政府 が目指す所も、セキュリティ対策の構築とその評価(運用の評価を含む) 、そしてそれらを含む PDCAサイクルの実現である91。 なお、FISMAに関連するFIPS並びにSP800シリーズは、独立行政法人情報処理推進機構から邦 訳が提供されている92。 以上見てきたように、既に数年前から、セキュリティ対策の評価に関する研究は数多く行なわ れており、情報セキュリティに携わる人や組織の重大な関心事の一つとして位置付けられてきた。 ここへ来て、内部統制に対する意識や、経営資源としての情報の保護・保全の要求の切実さの意 識によるものか、 「評価」に関する動きが多様化し、活発化しているように見える。セキュリティ が普及し定着する中で、マネジメントの対象として当然の扱いを受けるようになったとも捉えら れる。 FISMA: Federal Information Security Management Act FIPS: Federal Information Processing Standards Publication 90 SP: Special Publication 91 情報セキュリティ監査を取り巻く基準等に関する動向調査(平成 20 年 3 月 特定非営利法人日本セキュリティ 監査協会) http://www.jasa.jp/seika/pdf2007/rep0703.pdf 92 http://www.ipa.go.jp/security/publications/nist/index.html 88 89 - 125 - セキュリティに関する課題・困難さとして良く言われる「どこまでやればいいのか分らない」 「現状の対策が有効なのか分らない」といった声に対し、有効性の測定・評価の様々な枠組み、手 法、コンセプトが展開されることにより、その答えを得る方法と機会が増えることを期待したい。 - 126 - 11. まとめ 1990 年代半ばにその萌芽を見、2000 年代に入って発展期を迎えたと言える情報セキュリティ は、IT 産業、コンサルティング、教育、専門サービスなど様々な業態が集合しつつ、一つの産業 と言える規模にまで拡大している。その一方で、セキュリティを取り巻く状況は次のように一層 複雑化し、「安全」という意味で「改善」が進んでいるとは言えない状況にある。 ネットワーク脅威の一層の深刻化(攻撃の頻度、質的高度化)と複雑化 ネットワーク犯罪における目的の自己顕示や愉快犯から経済目的への変質 対策技術の進歩に伴う対策ツールの多様化と、ツールのアプライアンス化の進展 組織内部における情報の窃盗、紛失、誤操作など、故意や不作為、不注意に起因する情 報漏洩リスクの拡大と深刻化 ネットワークセキュリティだけでなく、内部統制の視点や事業継続管理の視点からの情 報セキュリティ確保・管理の必要など、より経営ニーズに直結した情報セキュリティ対 策の必要性の認知 これらが企業の情報セキュリティ対策を一層促し、市場を拡大するための大きな原動力となっ ていると見られる。ウイルス対策やファイアウォールの導入がセキュリティ対策と思われた時代 から、ISMS 認証やプライバシーマークの取得件数の増加によって裏付けられるような、管理面 での対応・対策の強化にまで厚みを増してきた流れを読み取ることもできる。本報告書で見てき た様々な要因、技術、経営管理、政策対応のそれぞれの面からの推進要因が市場の拡大を加速し て来たと考えられる。 情報通信インフラと IT の高度化は、ネットワーク脅威の深刻化をもたらすと同時に対策技術 の進化も提供する。ネットワーク脅威や情報漏洩への受身の防御から、情報セキュリティガバナ ンス、IT 統制、内部統制、事業継続管理、そしてコーポレートガバナンスへと連携する総合経営 管理の一環へと昇華することで、情報セキュリティは卖なる守りの位置づけから、企業価値を守 り支え高める、積極的価値へと、位置づけの転換が起こりつつある。 このような変化を背景に、国内の情報セキュリティ市場は、今後、よりバランスのとれた発展 を遂げていくものと期待される。そのことにより、情報セキュリティ産業もよりバランスの取れ た姿で発展し、情報セキュリティ対策の高度化と充実に寄与することが期待される。 とは言え、情報セキュリティを経営の中に積極的に位置づける視点はまだごく一部に留まって おり、中小規模の企業では、自前・自己責任での対策は引き続き荷の重いものがある。従って、 社会的枠組みの中で情報セキュリティの価値を積極的に評価し認知し、また支援する取組はまだ まだ必要だと言える。中央政府、地方自治体、産業界、学界の、あらゆる社会経済主体がこれを 支え推進して行く必要がある。それにより、情報セキュリティへの取組が一層推進され、より安 全かつ信頼性の高い情報通信システム基盤と社会経済基盤が形成されることが望まれる。世界ト ップクラスの IT 国家の実現と、安心・安全なネットワーク社会の形成が、全社会参画型の取組 の中で実現することを期待したい。 以上 - 127 - 【付録 1】英文字略語に関する簡単な説明 3A Authentication, Authorization, Administration Authentication ( 認 証 )、 Authorization ( 認 可 )、 Administration(管理) 。アクセス管理における 3 大要 素。”Administration”については”Access Control” とする説もある。 ネットワーク利用者のアクセス権限と、アクセス可能 なシステム・ファイルなどのリスト。 一般に「ソフトの時間貸し」と呼ばれ、アプリケーシ ョンを販売することなく、インターネット上で利用さ せ、利用料に応じて課金するビジネスモデル、または その事業者。 現金自動預け払い機。 ACL Access Control List ASP Application Service Provider ATM Automatic Teller Machine DRM Digital Rights Management e-Learning e-Learning IDS Intrusion Detection System FW Firewall IA Intel Architecture ID IDentification IP Internet Protocol IPA Information-technology Promotion Agency IPS Intrusion Prevention System ISMS Information Security Management System デジタル著作権管理。デジタルデータの著作権を保護 する技術。複製の制限や、画像への電子透かしなどが これにあたる。ビジネス上の文書に関しては、その閲 覧、編集、複写、印刷等の操作を制限する等の管理を 意味する場合がある。 パーソナルコンピュータやネットワークを利用した教 育、遠隔地での教育や学習者の進度に合せた教育が提 供できるという利点がある。 ネットワーク上を流れるパケットを分析し、不正アク セスと思われるパケットを検出して、管理者に通知す るシステム。 組織内のネットワークが外部から侵入されることを防 ぐシステムあるいは機器、ネットワークの界面に置か れ、特定のプロトコルだけを通過させることで制御を 行う。 米国半導体ベンダ Intel 社のマイクロプロセッサのア ーキテクチャに互換性のあるマイクロプロセッサ。 ユーザや各種リソースを一意に特定する論理要素、コ ンピュータシステムにおける認証の対象となる。 ARPANET で開発されたプロトコルで、OSI 参照モデルの 第 3 層(ネットワーク層)に位置する。 独立行政法人情報処理推進機構。ソフトウェア及び情 報処理システムの安全で健全な発展を技術、人材の面 から支えることを目的とする経済産業省所管の独立行 政法人。 サーバやネットワークへの不正侵入を阻止するシステ ム。IDS の機能を拡張し、侵入を検知するとリアルタイ ムで防御を実行する。 組織レベルのセキュリティを確保するために、リスク アセスメントにより必要なセキュリティレベルを決 め、プランを持ち、資源配分して、システムを運用す ること。セキュリティポリシーに基づき、PDCA サイク ルを継続的に繰り返すことができる組織能力。こうし た能力を備えた組織を認定するため、財団法人日本情 報処理開発協会(JIPDEC)が認定機関となり「ISMS 適 - 128 - IT Information Technology PC Personal Computer PIN PKI Personal Identification Number Public Key Infrastructure SOC Security Operation Center SI Systems Integration SSL Secure Socket Layer TCP Transmission Control Protocol URL Unique Resource Locator USB Universal Serial Bus VPN Virtual Private Network 合性評価制度」が実施されている。現在の ISMS 認証基 準 ver2.0 では、英国の情報セキュリティ認証規格 「BS7799-2:2002」と、国内規格「JIS X 5080:2002 (ISO/IEC 17799:2000)」との互換性を確保してい る。 情報通信技術。 個人で占有利用する低価格の小型コンピュータ、狭義 には Intel 互換 CPU を持ち、Windows を OS として採用 するものを指す。 IC カードやワンタイムパスワードに使用する時に用い る個人用識別番号。「暗証番号」とほぼ同義。 公開鍵暗号による電子認証基盤技術。 遠隔地でのセキュリティ運用監視サービスにおけるオ ペレーションセンター。 ユーザの業務に合せた情報システムを設計、構築する こと。SIer は SI を提供する事業者 暗号を用いセキュリティを確保した通信用プロトコ ル。HTTP 通信でセキュリティを確保する場合に広く使 われている。 インターネットで利用される標準プロトコルで、OSI 参照モデルのトランスポート層にあたる。ネットワー ク層の IP と、セッション層よりも上位のプロトコル (HTTP、FTP、SMTP、POP など)の橋渡しをする。 インターネット上の文書、画像などの資源を一意に特 定するための記述方法。 パーソナルコンピュータと周辺機器を接続するための 接続装置及び通信規格。 通信事業者の提供する広域 IP 通信網上に構築された仮 想私設通信網。通信相手と仮想的なトンネルをつくる ことで、プライベートアドレスによる通信や、TCP/IP 以外のプロトコルによる通信も可能となる。また、デ ータを暗号化することで、通信の秘匿性を確保する。 - 129 - 【付録 2】アンケート調査表サンプル 平成19年度 国内情報セキュリティ市場実態調査 情報セキュリティ市場調査票 NPO:日本ネットワークセキュリティ協会(JNSA) ★ 国内情報セキュリティ市場実態調査にご協力いただき有難うございます。 ★ 本調査は経済産業省の委託事業の一部を請け負う形で、日本ネットワークセキュリティ協会(JNSA)が実施するもので す。 ★ ご回答いただいた方の個人情報は、(1)回答内容の確認、(2)調査結果の通知、および、(3)調査結果報告書の送付以外 の目的での使用はいたしません。また、委託元の経済産業省を含め、第三者への委託・提供は一切行ないません。本事業 終了後は、適切に廃棄いたします。 ★ ご提供いただいた個別の記入内容については、統計処理を目的として、回答者が特定できない形で外部事業者に対して 委託する予定です。 ★ 調査票は1~5まであります。別紙の実施概要・回答要領をご参照のうえ、各調査票の質問に沿ってご回答ください。 ★ また調査票用紙の書式は、以下のアドレスからダウンロードできます。電子ファイルをご利用の場合は、下記サイトより Excelファイルを入手し、記入後、プリントアウトして返送をお願いいたします。 http://www.jnsa.org/market_research/index.html 記入結果は、同封の返信用封筒(切手は不要)にて、12月7日(金)までにご投函ください。 調査票1、企業の概要 記入日:2007年 月 日 問1.ご回答者についてお尋ねいたします。以下の設問についてご記入ください。 (1)企業名 〒 (2)本社所在地 氏名: 所属部署: (3)調査票回答 ご担当者 お役職: ご住所(本社と異なる場 合のみ): 電話番号: メールアドレス: 問2.御社の概要をお尋ねいたします。以下の設問についてご記入ください。 (1)資本金 (百万円) (2)従業員数 (人) (3)直近年度の 全社売上高 A.対象年度: 年 月 ~ 年 月 全社売上高 前年度比 B.全社売上高と 伸び率 成長率 (億円) . (%) ※(3)は「売上高」が該当しない場合は、事業規模の指標となる数値をお答えください。 問3. 経済産業省において報告書が公開された場合、JNSAより案内を受け取ることを希望されますか。 またJNSA発行の報告書冊子を希望されますか。下記のいずれかに○をお付けください。 なお、本件で「希望する」を選択された場合は、ご連絡に上記問1.の個人情報を使用いたします。 1.希望する 平成19年度調査結果に関する通知を (問1に必ずご記入ください) - 130 - 2.希望しない 調査票2.セキュリティ事業の売上高及び事業別概要 問4.御社の直近年度のセキュリティ事業の(1)売上高ならびに全社売上高に占める割合および(2)前年 度比伸び率をご記入ください。 直近年度の セキュリティ事業の売上高 (調査票1.問2(3)と同年 度) (1)セキュリティ事業売上高 (または 全社売上高に占めるセキュリティ事業売上高の割合) セキュリティ 事業売上高 (億円) 全社売上高に 占める割合 . (%) (2)前年度比伸び率 . (%) ※別紙のセキュリティ製品・サービス市場区分の定義をご参照いただき、情報セキュリティ事業に該当すると考えられる 事業についてご記入ください。 ただし、御社で独自に情報セキュリティ事業を定義しておられる場合は、その定義に基づくデータで結構です。 問5. 御社のセキュリティ事業の概要につきお聞きします。下記の区分における(1)事業規模ならびに (2)成長率について、当てはまる記号をお答えください。 事業の分類は、別紙のセキュリティ製品・サービス市場区分の定義をご参照いただき、できるだけ これに沿った仕訳をしていただけるようお願いします。 厳密な数字に基づくものでなくても、感覚ベースでも結構ですので、該当すると思われる記号を ご記入ください。 ◎事業規模の金額区分 1 500万円以下 2 500万円~1000万円以下 3 1000万円~3000万円以下 4 3000万円~5000万円以下 5 5000万円~1億円以下 6 1億円~3億円以下 7 3億円~5億円以下 8 5億円~10億円以下 9 10億円超 事業規模ならびに成長率の概要 ◎事業の成長率区分 A -20%以下 B -20%~-10%程度 C -10%~ -5%程度 D -5%~ -0%程度 E ±0%程度 F 0%~ +5%程度 G +5%~ +10%程度 H +10%~ +20%程度 I +20%以上 (1)事業 規模 2006年度 (2)成長率 2006年/2005年 成長率(実績) 統合型アプライアンス セ キ ュ リ テ ィ 製 品 アクセス制御製品 セキュアコンテンツ管理製品 アクセス管理製品 システムセキュリティ管理製品 暗号製品 セキュリティ製品 合計 セ キ ュ サリ ーテ ビィ ス セキュリティ・コンサルテーション セキュアシステム構築サービス セキュリティ運用・管理サービス セキュリティ教育 セキュリティ保険 セキュリティサービス 合計 - 131 - 2007年/2006年 成長率(見込) 2008年/2007年 成長率(計画値) 調査票3.取扱い製品分野及び製品名 問6.御社が国内で販売されているセキュリティツール製品についてお伺いします。 (1)御社が国内市場で販売されているセキュリティツール製品が該当する区分に、分類表に従って「取扱有無」欄に○をお付 けください。 (2) (1)で○を付けられた製品分類ごとに、主要製品名を「製品名」欄にご記入ください。複数の場合は、可能な限りご記入く ださい。 (3) (1)で○を付けられた製品分類ごとに、御社の流通上のお立場について、図1を参照いただき、各分類の主力製品につ いて1~6のうち最もよく当てはまる番号を1つ「流通上の立場」欄にご記入ください。 (4) (1)で○を付けられた製品分類に対応する、御社取扱い製品の直近年度(表紙 問2(3)でご記入いただいた年度)の国 内売上高をご記入ください。 集計区分の差異、決算期のずれ、見込み数字が未確定、開示に関するポリシー等のために正確な数字の記入が難しい場合 は、概数でも結構です。また、売上額等を非開示の場合でも、総合計金額と各大分類・中分類の構成比(%)のような形での開 示が可能であれば、その形式によっていただいても結構です。 ※ 御社が国内でセキュリティツール製品を販売されていない場合は、調査票4へお進み下さい。 図1 製品の流通図 1.ツール開発・提供ベンダ (日本で開発・販売) (いわゆる国内ベンダ) 2.ツール開発・提供ベンダ (海外ベンダの日本法人・支店) (海外ベンダの日本総代理店) 3.ディストリビュータⅠ (ベンダから受け、 エンドユーザへ直販) 5.リセラー、販売(代理)店 (代理店等から受け、 ユーザやSIer等へ販売) 4.ディストリビュータⅡ (ベンダから受け、 代理店等へ販売) エンドユーザ (企業、官公庁等) 6.システムインテグレータ、 コンサルティングファーム、 セキュリティサービス専業ベンダ、 通信キャリア 等 (回答欄) (4)販売額 大 分 類 中分類 統合型アプライアンス 合計 (3) 2005年度 流通上 (2006年3月期) の 売上実績 立場 (百万円) (1) 取扱 有無 (2)製品名 - - - - - - 統合型アプライアンス アクセス制御製品 合計 ファイアウォール・アプライアン ス ファイアウォール・ソフトウェア (企業向けライセンスタイプ) ファイアウォール・ソフトウェア (デスクトップFW) VPNソフトウェア VPNアプライアンス IDS/IPSアプライアンス IDS/IPSソフトウェア アプリケーションファイアウォー ル その他のアクセス制御製品 - 132 - 2006年度 (2007年3月期) ※下記、実績/割合のいずれかをご記入ください 売上実績 (百万円) セキュリティ事業 全体に占める割合 (%) 2007年度 売上計画額 (百万円) 2008年度 売上計画額 (百万円) (4)販売額 大 分 類 中分類 セキュアコンテンツ管理製品 合計 (3) 2005年度 流通上 (2 0 0 6 年3 月期) の 売上実績 立場 (百万円) (1) 取扱 有無 (2)製品名 - - - - - - - - - - - - - - - アンチウィルス・アンチワーム・ソ フトウェア(企業向けライセンス契約) /アプライアンス アンチウィルス・アンチワーム・ソ フトウェア (個人ユーザ向けパッケージタイプ) アンチスパム・ソフトウェア/アプラ イアンス URLフィルタリング・ソフトウェア/ アプライアンス メールフィルタリング・ソフトウェア /アプライアンス アンチフィッシング・ソフトウェア/ システム その他のセキュアコンテンツ管理 製品 アクセス管理製品 合計 個人認証用デバイス及びその認 証システム 個人認証用生体認証デバイス及 びその認証システム ログオン管理/アクセス許可製品 PKIシステムおよびそのコンポー ネント その他のアクセス管理製品 システムセキュリティ管理製品 合計 セキュリティ情報管理システム/ 製品 脆弱性検査製品 ポリシー管理・設定管理・動作 監視制御製品 その他のシステムセキュリティ 管理製品 暗号製品 合計 データ暗号化製品 暗号化ミドルウェア その他の暗号製品 セキュリティ製品売上高 総合計 - 133 - 2006年度 (2007年3月期) ※下記、実績/ 割合のいず れかをご 記入ください 売上実績 (百万円) セキュ リテ ィ事業 全体に占める割合 (%) 2007年度 売上計画額 (百万円) 2008年度 売上計画額 (百万円) 調査票4.提供しているサービス分野 問7.御社が国内で提供されている情報セキュリティに関するサービスについてお伺いします。 (1)御社が国内市場で提供されている情報セキュリティサービスが該当する区分に、分類表に従って「提供サービス分野」欄 に○をお付けください。 (2) (1)で○を付けられたサービス分類ごとに、商品名称をお持ちの場合は、主要商品名を「提供サービスの商品名」欄にご 記入ください。 複数の場合は、可能な限りご記入ください。 (3) (1)で○を付けられたサービス分類に対応する、御社提供サービスの直近年度(表紙 問2(3)でご記入いただいた年 度)の国内売上高をご記入ください。集計区分の差異、決算期のずれ、見込み数字が未確定、開示に関するポリシー等のた めに正確な数字の記入が難しい場合は、概数でも結構です。また、売上額等を非開示の場合でも、総合計金額と各大分類・ 中分類の構成比(%)のような形での開示が可能であれば、その形式によっていただいても結構です。 ※ 御社が国内で情報セキュリティサービスを提供されていない場合は、調査票5へお進み下さい。 (回答欄) (3)販売額 大 分 類 中分類 セキュリティ・コンサルテーション 合計 (1) 取扱 有無 (2)提供サービスの商品名 - - - - - - 2005年度 流通上 (2006年3月期) の 売上実績 立場 (百万円) セキュリティポリシー構築支援 セキュリティ管理全般の コンサルテーション セキュリティ診断・監査サービ ス セキュリティ認証取得支援 サービス セキュリティ認証・審査機関 (サービス) その他のセキュリティ コンサルテーション セキュアシステム構築サービス 合計 ITセキュリティシステムの 設計・仕様策定 ITセキュリティシステムの 導入・導入支援 セキュリティ製品の選定・ 選定支援 その他のセキュアシステム 構築サービス - 134 - 2006年度 (2007年3月期) ※下記、実績/割合のいずれかをご記入ください 売上実績 (百万円) セキュリティ事業 全体に占める割合 (%) 2007年度 売上計画額 (百万円) 2008年度 売上計画額 (百万円) 大 分 類 中分類 セキュリティ運用・管理サービス 合計 (1) 取扱 有無 (2)提供サービスの商品名 - - - - - - - - - - - - 2005年度 流通上 (2006年3月期) の 売上実績 立場 (百万円) セキュリティ総合監視・運用 支援サービス ウイルス監視・フィルタリング・ 運用支援サービス IDS/IPS監視・運用支援 サービス ファイアウォール監視・運用支 援サービス 脆弱性検査サービス セキュリティ情報提供サービス 電子認証サービス インシデント対応関連サービス その他の運用・管理サービス セキュリティ教育 合計 情報セキュリティ教育の提供 サービス セキュリティ教育の e-ラーニングサービス セキュリティ資格認定及び 教育サービス その他のセキュリティ教育 サービス セキュリティ保険 合計 情報セキュリティ保険 セキュリティサービス売上高 総合計 - 135 - (3)販売額 2006年度 (2007年3月期) ※下記、実績/割合のいずれかをご記入ください 売上実績 (百万円) セキュリティ事業 全体に占める割合 (%) 2007年度 売上計画額 (百万円) 2008年度 売上計画額 (百万円) 調査票5 国内情報セキュリティ市場の動向等についてのご質問 問8.最後に、情報セキュリティ市場に関してご質問をさせていただきますので、ご回答をお願いいたします。 (1)2006年度における国内セキュリティツール製品全体の市場規模は前年比で、どのように変化したとお考えでしょうか。以下の1 ~5のうち最もよく当てはまるものに1つ○をお付けください。 1 減少(-20%以上) 2 微減(-20%未満) 3 変化なし(5%内の増減) 4 微増(20%未満) 5 増加(20%以上) (2)2006年度における国内セキュリティサービス全体の市場規模は前年比で、どのように変化したとお考えでしょうか。以下の1~ 5のうち最もよく当てはまるものに1つ○をお付けください。 1 減少(-20%以上) 2 微減(-20%未満) 3 変化なし(5%内の増減) 4 微増(20%未満) 5 増加(20%以上) (3)2007年度における国内セキュリティツール製品の市場規模は、どのように変化するとお考えでしょうか。以下の1~5のうち最も よく当てはまるものに1つ○をお付けください。 1 減少(-20%以上) 2 微減(-20%未満) 3 変化なし(5%内の増減) 4 微増(20%未満) 5 増加(20%以上) (4)2007年度における国内セキュリティサービスの市場規模は、どのように変化するとお考えでしょうか。以下の1~5のうち最もよ く当てはまるものに1つ○をお付けください。 1 減少(-20%以上) 2 微減(-20%未満) 3 変化なし(5%内の増減) 4 微増(20%未満) 5 増加(20%以上) (5)以下のセキュリティビジネス分野において、①御社が今後注力しようとしている分野、②ユーザが現在最も関心を寄せている 分野、③今後セキュリティビジネスで成長が期待できない分野はそれぞれどこだとお考えになりますか。①~③の各設問におい て、当てはまる分野に全て○をお付けください。 セ キ ュ リ テ ィ 製 品 ・ ツ ー ル ①今後注力 しようとしている分野 中分類 大分類 統合型アプライアンス 統合型アプライアンス アクセス制御製品 ファイアウォール・アプライアンス ファイアウォール・ソフトウェア (企業向けライセンスタイプ) ファイアウォール・ソフトウェア (デスクトップFW) VPNソフトウェア VPNアプライアンス IDS/IPSアプライアンス IDS/IPSソフトウェア アプリケーションファイアウォール セキュアコンテンツ管理 製品 その他のアクセス制御製品 ( ) アンチウィルス・アンチワーム・ソフトウェア(企業向 けライセンス契約)/アプライアンス アンチウィルス・アンチワーム・ソフトウェア (個人ユーザ向けパッケージタイプ) アンチスパム・ソフトウェア/アプライアンス URLフィルタリング・ソフトウェア/アプライアンス メールフィルタリング・ソフトウェア/アプライアンス アンチフィッシング・ソフトウェア/システム アクセス管理製品 その他のセキュアコンテンツ管理製品 ( ) 個人認証用デバイス及びその認証システム 個人認証用生体認証デバイス及びその認証システ ム ログオン管理/アクセス許可製品 PKIシステムおよびそのコンポーネント その他のアクセス管理製品 ( ) - 136 - ②ユーザが 関心を寄せている 分野 ③今後成長が 期待できない分野 ①今後注力 しようとしている分野 中分類 大分類 ②ユーザが 関心を寄せている 分野 ③今後成長が 期待できない分野 システムセキュリティ管理 セキュリティ情報管理システム/製品 製品 脆弱性検査製品 ポリシー管理・設定管理・動作監視制御製品 その他のシステムセキュリティ管理製品 暗号製品 データ暗号化製品 暗号化ミドルウェア その他の暗号製品 ( ) その他のセキュリティツール・製品( ) セ セキュリティ・コンサル キ テーション ュ リ テ ィ サ ー ビ ス セキュアシステム構築 サービス セキュリティポリシー構築支援 セキュリティ管理全般のコンサルテーション セキュリティ診断・監査サービス セキュリティ認証取得支援サービス セキュリティ認証・審査機関(サービス) その他のセキュリティコンサルテーション ( ) ITセキュリティシステムの設計・仕様策定 ITセキュリティシステムの導入・導入支援 セキュリティ製品の選定・選定支援 セキュリティ運用・管理 サービス その他のセキュアシステム構築サービス ( ) セキュリティ総合監視・運用支援サービス 脆弱性検査サービス セキュリティ情報提供サービス 電子認証サービス インシデント対応関連サービス セキュリティ教育 その他の運用・管理サービス ( ) 情報セキュリティ教育の提供サービス セキュリティ教育のe-ラーニングサービス セキュリティ資格認定及び教育サービス セキュリティ保険 その他のセキュリティ教育サービス ( ) 情報セキュリティ保険 その他のセキュリティサービス( ) (6)今後情報セキュリティ対策の普及・充実のために重要となる要素はどのようなものだとお考えでしょうか。政 策面、技術面、経営面、社会面、文化面、その他 ご自由にご意見をご記入ください。 例: 政府のセキュリティ関連施策の充実、製品及びサービス提供者の啓蒙活動等 (7)最後に、本アンケート全般についてお気づきの点やご感想等がありましたら以下にご意見をご記入くださ い。本調査を、継続して定期的に実施する上での参考にさせていただきます。 = 以上で質問は終了です。ご協力いただき誠に有難うございました。 = ★回答用紙は同封の返信用封筒で12月7日(金)までに投函をお願い申し上げます。 - 137 - 情報セキュリティ市場調査報告書 2008 年 3 月 31 日 特定非営利活動法人 政策部会 日本ネットワークセキュリティ協会 セキュリティ市場調査ワーキンググループ ワーキンググループリーダ 勝見 勉 リコー・ヒューマン・クリエイツ株式会社 ワーキンググループメンバ(調査・執筆参加者) 市川 順之 伊藤忠テクノソリューションズ株式会社 塩見 友規 オー・エイ・エス株式会社 花水 キヤノンマーケティングジャパン株式会社 剛 風間 勇人 サイバーエリアリサーチ株式会社 森田 弥生 新日本監査法人 秋山 卓司 日本クロストラスト株式会社 長谷川長一 日本ユニシス株式会社 光野 元彦 パスロジ株式会社 佐藤 友治 ブロードバンドセキュリティ株式会社 オブザーバ 瀬田 陽介 国際マネジメントシステム認証機構株式会社 以上 - 138 -