日本度とは?セキュリティ製品の評価項目・スコアの見方・国産との違いを解説|サイバーセキュリティ.com

日本度とは?セキュリティ製品の評価項目・スコアの見方・国産との違いを解説



セキュリティ製品を選ぶ際、「国産だから安心」「日本企業が提供しているから信頼できる」と考える企業も少なくありません。

しかし、販売会社が日本企業であっても、製品の開発やデータ管理、障害対応、重要な意思決定が海外で行われている場合があります。反対に、海外企業の製品であっても、日本国内に強固な運用・サポート体制を持っているケースもあります。

こうした「国産」の曖昧さを解消するために登場したのが、セキュリティ製品・サービスの新しい評価指標である「日本度」です。

日本度は、単に企業の本社所在地や製品の開発国を見るのではなく、製品・サービスを日本国内でどの程度自律的に統制・継続・保護できるかを数値化します。

本記事では、日本度の意味や必要とされる背景、5つの評価項目、スコアの見方、製品選定に利用する際の注意点をわかりやすく解説します。

日本度とは

日本度とは、セキュリティ製品やサービスが、日本国内を主体としてどの程度自律的に統制・継続・保護できるかを評価・可視化する指標です。

日本サイバーセキュリティ産業振興コミュニティ(NCPC)が策定し、2026年7月9日に製品・サービスごとのスコアが公開されました。

企業の本社や営業拠点が日本国内にあるかだけではなく、意思決定、管理、開発、インフラ、データ、インシデント対応などを含めた「実質的な国内自律性」を評価する点が特徴です。

たとえば、次のような違いを数値によって確認できるようにすることが、日本度の目的と考えられます。

  • 製品に関する重要な意思決定を日本国内で行えるか
  • 日本国内で製品の開発やアップデートを継続できるか
  • データやインフラを誰が統制しているか
  • サイバー攻撃や障害が発生した際に国内で対応できるか
  • 海外情勢や国外事業者の判断に過度に依存していないか

これまで企業が「国産セキュリティ製品」を探す場合、各ベンダーの説明を個別に確認する必要がありました。日本度が普及すれば、複数の製品を共通の尺度で比較しやすくなります。

日本度と「国産」の違い

一般的に「国産セキュリティ製品」という言葉には、明確に統一された定義がありません。

日本企業が販売している製品を国産と呼ぶ場合もあれば、日本国内で開発された製品だけを国産と呼ぶ場合もあります。

具体的には、次のような製品がすべて「国産」と表現される可能性があります。

  • 日本企業が企画・開発・販売している製品
  • 海外製品を日本企業が販売しているサービス
  • 海外の技術を利用して国内で開発した製品
  • 日本企業の海外拠点が開発している製品
  • 海外企業を買収した日本企業が提供する製品

これらは、企業の所在地やブランドだけでは、実際にどの国や組織が製品を統制しているのか判断できません。

日本度では、会社の国籍や拠点の場所だけではなく、意思決定権、開発体制、データ管理、インシデント対応などを評価します。

つまり、従来の「国産か海外製か」という二者択一ではなく、日本国内で自律的に運用できる度合いをスコアとして示すのが日本度です。

日本度が必要とされる背景

日本度が必要とされる背景には、地政学リスクの高まり、海外製品への依存、サプライチェーンの複雑化などがあります。

地政学リスクが高まっている

国際情勢の変化により、特定の国や地域で提供されているサービスが、これまでどおり利用できなくなる可能性があります。

たとえば、輸出規制や経済制裁、国際紛争、法制度の変更などによって、ソフトウェアの更新や技術サポートが停止することも考えられます。

重要なシステムを海外の製品やサービスに依存している場合、提供元の方針変更が自社の事業継続に影響する可能性があります。

セキュリティ製品の海外依存が続いている

日本企業では、EDR、ファイアウォール、クラウドセキュリティ、脆弱性管理などに海外製品が広く利用されています。

海外製品には、高度な技術や豊富な導入実績、グローバル規模の脅威情報を活用できるという強みがあります。その一方で、重要な意思決定や製品開発、データ管理を海外本社に依存する場合があります。

経済産業省も2025年3月に「サイバーセキュリティ産業振興戦略」を公表し、国内のセキュリティ産業の競争力や供給能力を強化する方針を示しています。

サプライチェーンが複雑化している

現在のセキュリティ製品は、単独の企業だけで開発・提供されているとは限りません。

クラウド基盤、オープンソースソフトウェア、外部API、海外の開発会社、データセンターなど、複数の企業やサービスによって構成されています。

製品を販売する企業が日本企業であっても、基盤となるインフラや重要な機能が海外事業者に依存している可能性があります。

そのため、会社の所在地だけでなく、製品の開発から運用、データ管理、緊急対応までを含めて評価する必要があります。

「国産」という表現だけでは比較できない

セキュリティ製品の公式サイトでは、「国産」「純国産」「日本製」といった表現が使われることがあります。

しかし、それぞれの企業が独自の基準で表現しているため、利用者側が同じ条件で比較することは困難でした。

日本度は、これまで数値化されていなかった国内自律性を、共通の評価軸で比較するための仕組みと位置付けられています。

日本度を構成する4つの評価設計

NCPCは、日本度の評価設計として、次の4つの軸を公表しています。

1.実質支配権を重視する

企業の本社や拠点の場所だけでなく、製品に関する意思決定、管理、判断などの権限を、日本国内でどの程度持っているかを重視します。

日本法人が存在していても、製品の停止や仕様変更、データ提供などに関する最終決定権が海外本社にある場合、完全に国内で統制できるとは限りません。

2.重要度に応じて配点を変える

すべての設問を同じ点数で評価するのではなく、日本国内で自律的に運用するうえで重要な項目には、より大きな配点が設定されます。

表面的な条件を多く満たしているだけで高得点になるのではなく、重要な権限や体制を持っているかがスコアに反映されます。

3.実務と基盤の両方を評価する

日本国内で実際に対応できる体制だけでなく、製品が利用するインフラやデータをどのように統制しているかも評価します。

日本語でサポートを受けられるだけでなく、サービスの根幹となるクラウド基盤、データ、システムを誰が管理しているかが重要になります。

4.複数の信頼性評価を組み合わせる

日本度では、地政学的なリスクだけでなく、既存の認証制度や評価制度なども活用するとされています。

単に日本国内で提供されているかを見るのではなく、複数の観点から製品・サービスの信頼性を判断する設計です。

日本度の5つの評価項目

日本度のスコアは、5つの評価領域によって構成されています。

それぞれの領域は500点満点で表示され、さらに「国産加点」が加算されます。NCPCの公開ページでは、総合スコアに加えて、各領域の点数をレーダーチャートや数値で確認できます。

評価項目 主に確認される国内自律性
企業の属性・信頼性 提供企業の属性や信頼性
ガバナンス・法的権利 意思決定権、管理権限、法的権利
開発ライフサイクルの自律性 開発、改修、更新を継続できる体制
インフラ基盤とデータの統制 インフラやデータを管理・統制できる体制
緊急対応・インシデント管理 攻撃・障害発生時の対応能力

企業の属性・信頼性

製品・サービスを提供している企業の属性や信頼性を評価する領域です。

セキュリティ製品は企業の重要なシステムや機密情報を保護するため、提供企業が安定して事業を継続できるか、信頼できる組織であるかが重要になります。

ただし、会社の規模や知名度だけで製品の安全性が決まるわけではありません。製品の提供責任をどの組織が負っているかを確認することが大切です。

ガバナンス・法的権利

製品に関する意思決定や管理、法的な権利を、国内でどの程度保持しているかを評価する領域です。

国内に販売会社やサポート窓口があっても、製品の仕様変更、サービス停止、データ利用などに関する決定権が海外企業にある場合があります。

製品名や提供企業の所在地だけでは見えにくい、実質的な支配権を確認する項目です。

開発ライフサイクルの自律性

製品の企画、設計、開発、テスト、更新、保守などを、日本国内でどの程度継続できるかを評価する領域です。

セキュリティ製品では、新たな攻撃手法や脆弱性に対応するため、継続的なアップデートが欠かせません。

海外の開発拠点が利用できなくなった場合でも、国内で修正や更新を続けられるかどうかは、事業継続の面で重要な評価ポイントになります。

インフラ基盤とデータの統制

製品やサービスが利用するインフラ、クラウド環境、ログ、顧客データなどを、誰がどのように統制しているかを評価する領域です。

データセンターが国内にあるだけでなく、インフラの管理権限やデータへのアクセス権限をどの企業が持っているかも重要です。

特にクラウド型のセキュリティ製品では、ログや端末情報、脆弱性情報などが外部サーバーに送信される場合があります。

緊急対応・インシデント管理

サイバー攻撃や障害、情報漏洩などが発生した際に、国内で迅速に判断・対応できるかを評価する領域です。

緊急時の問い合わせ窓口が日本語に対応しているだけでなく、原因調査、修正、サービス復旧、利用企業への情報提供まで実行できる体制が求められます。

海外本社の判断を待たなければ対応できない製品と、国内チームが直接対応できる製品では、インシデント発生時の初動に差が生じる可能性があります。

日本度スコアの見方

日本度の公開ページでは、次の情報を確認できます。

  • 総合スコア
  • 5つの評価領域の点数
  • レーダーチャート
  • 国産加点
  • 製品・サービスのカテゴリー
  • 提供企業名

基本となる5項目は、それぞれ500点満点です。

したがって、5項目の基本点は合計2,500点となり、そこに国産加点が加算されます。

例えば、SKYSEA Client Viewの公開スコアは次のとおりです。

  • 企業の属性・信頼性:500点
  • ガバナンス・法的権利:500点
  • 開発ライフサイクルの自律性:500点
  • インフラ基盤とデータの統制:500点
  • 緊急対応・インシデント管理:500点
  • 国産加点:80点
  • 総合スコア:2,580点

一方、Cloudbaseの公開スコアは、5項目の合計2,457点に国産加点32点を加えた2,489点です。

総合スコアだけで判断しない

日本度を確認する際は、総合スコアだけでなく、5項目の内訳を見ることが重要です。

同じような総合スコアであっても、製品によって強みや弱みが異なる可能性があります。

例えば、機密データを扱うクラウドサービスでは「インフラ基盤とデータの統制」が重要です。一方、24時間稼働する重要システムでは「緊急対応・インシデント管理」を重視する必要があります。

自社が製品に求める条件と照らし合わせて評価しましょう。

日本度が高い製品を選ぶメリット

国内で意思決定しやすい

日本度が高い製品は、製品の管理や運用に関する権限を国内で持っている可能性が高いと考えられます。

海外本社や国外の開発部門の承認を待たず、国内の事情を踏まえて判断できる体制は、緊急時の対応において重要です。

日本の法制度や商習慣に対応しやすい

国内で開発・管理されている製品は、日本の法制度や企業の業務環境に合わせて、機能や運用方法を調整しやすいという特徴があります。

個人情報保護法や業界固有のガイドラインに関する問い合わせでも、日本語で意思疎通できることは導入企業にとってメリットになります。

インシデント対応を迅速化できる

サイバー攻撃や製品の脆弱性が発覚した場合、原因調査やアップデート、利用者への情報提供が必要です。

国内で開発や意思決定を行える製品であれば、日本の利用者に合わせた対応を迅速に行える可能性があります。

サプライチェーンリスクを把握しやすい

日本度の評価項目を見ることで、製品の開発、インフラ、データ、緊急対応などが、どの程度海外に依存しているかを把握しやすくなります。

製品を構成するすべての要素を国内だけで完結させることは困難ですが、依存関係を認識したうえで導入することが重要です。

製品選定の説明責任を果たしやすい

セキュリティ製品を導入する際、経営層や監査部門、取引先から選定理由を求められることがあります。

価格や機能だけでなく、日本度という数値を参考情報として利用すれば、「なぜこの製品を選んだのか」を説明しやすくなります。

日本度を製品選定で活用する方法

1.必要なセキュリティ機能を整理する

最初に、自社が必要としている製品カテゴリーを明確にします。

日本度の公開ページでは、EDR、WAF、VPN、DLP、脆弱性管理、資産管理、SIEM、バックアップなど、製品をタグから検索できます。2026年7月14日時点では、NCPCのサイトに55件の製品・サービスが掲載されています。

ただし、日本度が高くても、自社が必要とする機能を備えていなければ導入候補にはなりません。

2.同じカテゴリーの製品を比較する

異なる目的の製品を総合スコアだけで比較しても、適切な判断にはなりません。

EDRであればEDR同士、資産管理ツールであれば資産管理ツール同士というように、同じカテゴリーの製品を比較しましょう。

3.5項目の内訳を確認する

総合スコアだけでなく、自社が重視する項目を確認します。

重要インフラや公共分野では、ガバナンスや緊急対応を重視する必要があります。クラウドサービスでは、データとインフラの統制状況が重要です。

4.製品の機能や価格も確認する

日本度は、製品の検知性能、使いやすさ、導入コストなどを直接評価する指標ではありません。

次の項目も併せて比較する必要があります。

  • 必要な機能を備えているか
  • 自社の端末やシステムに対応しているか
  • 導入・運用コストは適切か
  • 管理画面を操作しやすいか
  • 既存システムと連携できるか
  • サポート時間や対応範囲は十分か
  • 第三者機関の検証結果や導入実績があるか

5.ベンダーに詳細を確認する

スコアだけでは判断できない点については、製品を提供するベンダーに確認しましょう。

具体的には、次のような質問が考えられます。

  • 製品の主要な開発拠点はどこか
  • 仕様変更やサービス停止を誰が決定するのか
  • 顧客データやログはどこに保管されるか
  • 海外のクラウドや外部サービスに依存しているか
  • 脆弱性が発覚した場合、誰が修正するのか
  • 緊急時に国内だけで対応できるか
  • 事業継続計画やサービス終了時の対応はあるか

日本度を最終的な結論として使うのではなく、確認すべき事項を洗い出すための出発点として活用することが重要です。

日本度を利用する際の注意点

日本度が高いほど攻撃を防げるとは限らない

日本度は、製品の国内自律性を評価する指標です。

マルウェアの検知率、脆弱性の発見能力、通信の処理性能、誤検知率など、製品の技術的な性能を総合的に評価するものではありません。

日本度が高い製品であっても、自社の環境に適していなければ十分な効果を得られない可能性があります。

海外製品が危険という意味ではない

海外製のセキュリティ製品には、世界規模で収集した脅威情報、高度な研究開発力、豊富な導入実績などの強みがあります。

日本度は、海外製品を排除するための指標ではありません。

海外依存によって生じるリスクを理解し、製品の技術力や機能、価格などと併せて判断するための評価軸です。

評価対象が限定されている

日本度のスコアリングは、NCPCに賛同する会員企業が登録した製品・サービスを対象に行われています。

日本国内で利用できるすべてのセキュリティ製品が評価されているわけではありません。検索結果に表示されない製品であっても、品質や国内自律性が低いとは限らないため注意が必要です。

公開情報だけでは評価根拠のすべてを確認できない

2026年7月14日時点の公開ページでは、総合スコア、5領域の点数、国産加点などを確認できます。

一方、個別の設問に対する回答や、各点数の詳細な算定根拠までは公開ページに掲載されていません。

今後、評価方法の透明性、第三者性、更新ルールなどがどのように整備されるかも、日本度の信頼性を判断するうえで重要になります。

スコアは定期的に確認する

企業の資本関係、開発体制、利用するクラウド基盤、データの保管場所などは変更される可能性があります。

製品を導入する時点だけでなく、契約更新時やシステム構成の変更時にも、最新の情報を確認することが大切です。

日本度に関するよくある質問

日本度は政府の認証制度ですか?

日本度は、政府が運営する認証制度ではありません。

日本サイバーセキュリティ産業振興コミュニティ(NCPC)が策定・公開している評価指標です。

政府機関が運営するISMAPやJC-STARなどとは、運営主体や評価目的が異なります。

日本度は何点満点ですか?

公開されている5つの評価項目は、それぞれ500点満点で、基本点の合計は2,500点です。

さらに「国産加点」が加算され、公開製品の中には総合スコアが2,500点を超えているものもあります。

日本度が高ければ安全な製品ですか?

日本度が高いだけで、製品の安全性が保証されるわけではありません。

日本度は国内自律性を評価する指標であり、検知性能、脆弱性の有無、使いやすさ、費用対効果などは別に確認する必要があります。

日本企業の製品なら日本度は高くなりますか?

日本企業が提供しているという理由だけで、高いスコアになるとは限りません。

製品の意思決定権、開発体制、インフラ、データ、緊急対応などを含めて評価されます。

日本企業でも重要な機能やデータ管理を海外企業に依存していれば、その点が評価に影響する可能性があります。

海外製品は選ばない方がよいですか?

海外製品を一律に避ける必要はありません。

海外製品には、技術力、グローバルな脅威情報、豊富な導入実績などのメリットがあります。

製品の用途や扱う情報の重要度、国内でのサポート体制、海外依存によるリスクを踏まえて判断しましょう。

日本度はどこで確認できますか?

NCPCの公式サイトにある「日本度スコア一覧」で確認できます。

製品名やカテゴリー、総合スコア、5項目の評価内訳、国産加点などが公開されています。

まとめ

日本度とは、セキュリティ製品・サービスが、日本国内でどの程度自律的に統制・継続・保護できるかを数値化した評価指標です。

従来の「国産」という曖昧な表現ではなく、次の5項目から実質的な国内自律性を評価します。

  • 企業の属性・信頼性
  • ガバナンス・法的権利
  • 開発ライフサイクルの自律性
  • インフラ基盤とデータの統制
  • 緊急対応・インシデント管理

地政学リスクやサプライチェーンリスクが高まるなか、セキュリティ製品を国内で継続的に運用できるかどうかは、企業の事業継続にも関わる重要な要素です。

ただし、日本度は製品の技術性能や安全性を保証するものではありません。また、海外製品が危険であることを示す指標でもありません。

製品を選定する際は、日本度の総合スコアだけでなく、5項目の内訳、必要な機能、検知性能、導入費用、サポート体制、第三者評価などを総合的に確認しましょう。

SNSでもご購読できます。