1. はじめに — 日本のサイバーセキュリティの現在地
日本のサイバーセキュリティ市場は、ある構造的な課題を抱えています。
企業が導入するファイアウォール、EDR、SIEM、クラウドセキュリティ——これらの中核製品の大半は海外ベンダーの製品です。日本のセキュリティ企業も多く存在しますが、その多くは海外製品の販売代理店、あるいは運用・監視サービスの提供者としての役割が中心であり、防御技術そのものを開発している国産企業は極めて少ないのが現状です。
誤解のないように最初に明確にしておきます。海外製のセキュリティ製品には優れたものが数多く存在し、適切に導入・運用すれば極めて有用です。本稿は海外製品を否定するものではありません。
しかし、経済安全保障推進法の施行、半導体産業への大規模投資、そしてAI時代の到来を背景に、「セキュリティ技術の中核を自国でも持つ」ことの重要性はかつてないほど高まっています。
本稿では、なぜ今、国産セキュリティ技術が必要とされるのかを、データ主権、技術的自立、そして構造的な安全保障の観点から考察します。
2. 海外依存の構造が生む3つのリスク
2.1 データ主権のリスク
セキュリティ製品は、その性質上、組織の最も機密性の高いデータにアクセスします。EDRはエンドポイントの全挙動を監視し、SIEMは組織全体のログを集約し、クラウドセキュリティは通信内容を検査します。
これらの製品が海外の法的管轄下にある企業によって開発・運用されている場合、以下の構造的な懸念が生じます。
法的管轄権の問題 各国には、自国企業に対してデータの開示を義務づける法制度が存在します。データの保管場所に関わらず、開発元の所在国の法律に基づいてデータへのアクセスが求められる可能性があります。これはどの国の製品であっても起こり得る構造的な問題であり、特定の国や企業を非難する話ではありません。
アップデートによる変更リスク クラウド型セキュリティ製品は、ベンダーの判断でリアルタイムにアップデートされます。どのデータがどこに送信され、どのように処理されるかの最終的な決定権は、利用者ではなくベンダー側にあります。
もちろん、ベンダーがコアロジックを共有していたり、第三者による監査を受け入れている場合は、この懸念は大幅に軽減されます。重要なのは、利用者が検証できる状態にあるかどうかです。
地政学的リスク 国際関係の変化により、特定の国の製品やサービスが突然利用できなくなるリスクは、もはや仮説ではありません。近年、複数の国でセキュリティ製品の利用禁止や排除措置が実施されています。セキュリティ製品が地政学の影響を直接受けることは、すでに現実として起きています。
2.2 技術ブラックボックスのリスク
海外製セキュリティ製品の多くは、その中核アルゴリズムや検出ロジックが非公開です。
ただし、これには正当な理由がある場合も少なくありません。セキュリティ製品は、その検出ロジックや防御メカニズムが攻撃者に知られてしまえば、回避手法の開発に利用されるリスクがあります。意図的に非公開とすることで攻撃者への情報提供を防いでいるケースも多く、ブラックボックスであること自体を一概に批判することはできません。
しかし、利用者の立場からすると、非公開であるがゆえに「この製品が安全である」というベンダーの主張を信じるしかなく、「信頼しているから安全」(Trust-based security) という構造に依存することになります。セキュリティの本質は「信頼がなくても安全」であることであり、ここに構造的な緊張関係が存在します。
つまり、問題は「ブラックボックスであること」自体ではなく、利用者が独立してセキュリティを検証する手段が存在するかどうかです。
実際に、この課題に対処しているベンダーも存在します。オープンソースで公開されている製品、コアロジックの第三者監査を受け入れているベンダー、あるいはデータの暗号化処理を利用者側で行った上でサービスに預けるアーキテクチャを採用している製品もあります。
国産・海外を問わず、重要なのは以下のような検証可能性(Verifiability)が確保されているかどうかです。
- ソースコードレベルでの第三者監査が可能か
- 認証機関による独立した評価を受けているか
- 利用者自身が動作を検証できる仕組みがあるか
- データの暗号化処理を利用者側で制御できるか
2.3 供給途絶のリスク
2020年以降、世界は「供給の途絶」を繰り返し経験してきました。半導体不足、物流の混乱、そして国際的な制裁による技術アクセスの遮断。
セキュリティは、電力や通信と同様に、社会の基盤インフラです。その基盤を完全に海外に依存している状態は、「平時には見えないが、有事には致命的となる脆弱性」を抱えていることと同義です。
3. 日本のセキュリティ市場の構造的課題
3.1 「導入・運用」への偏重
日本のサイバーセキュリティ産業は、国際的に見ると独特の構造を持っています。
| 活動領域 | 日本 | 米国・イスラエル |
|---|---|---|
| 技術開発(R&D) | 少数 | 多数のスタートアップ |
| 製品販売(VAR) | 多数 | 多数 |
| 運用・監視(SOC/MSSP) | 多数 | 多数 |
| コンサルティング | 多数 | 多数 |
日本では「海外製品を選定し、導入し、運用する」という下流工程に産業が集中しています。これは短期的には合理的な選択ですが、長期的には「セキュリティ技術の開発力」が国内に蓄積されないという問題を生みます。
3.2 「事後対応文化」からの脱却
日本のセキュリティ投資は、インシデント発生後に急増する「事後対応型」の傾向が強いとされています。大規模な情報漏洩事件が発生するたびにセキュリティ予算が増え、新しい製品が導入される——しかし、それは多くの場合、既に知られた攻撃手法への対応であり、次の攻撃に対する構造的な備えではありません。
国産セキュリティ技術の開発は、この「事後対応」から「事前防御」へのパラダイムシフトを促す力になります。なぜなら、技術を自ら開発するプロセスそのものが、脅威の本質を理解し、原理的な防御を設計する能力を育てるからです。
3.3 人材とノウハウの空洞化
セキュリティ技術の開発を海外に依存し続けると、国内のセキュリティ人材は「海外製品の運用スキル」に特化していきます。製品が変われば、スキルもリセットされます。
一方、セキュリティ技術の原理を理解し、自ら開発できる人材は、特定の製品に依存しない「本質的なセキュリティスキル」を持ちます。国産技術の開発は、こうした人材を育てる土壌にもなります。
4. 経済安全保障とセキュリティ技術
4.1 経済安全保障推進法の文脈
2022年に成立した経済安全保障推進法は、「特定重要技術の開発支援」と「基幹インフラの安全性確保」を柱としています。
サイバーセキュリティは、この法律が想定する「特定重要技術」の代表格です。実際、内閣府の経済安全保障重要技術育成プログラム(K Program)やNEDOの研究開発プログラムでは、セキュリティ関連技術が重点分野として位置づけられています。
4.2 「使う安全保障」から「作る安全保障」へ
日本の安全保障は長らく、同盟国から技術を「調達」するモデルでした。しかし、デジタル領域においては、「使う」だけでなく「作る」能力を持つことが、真の安全保障につながります。
半導体分野ではTSMCの日本誘致やRapidusの設立など、「作る力」の回復に向けた動きが始まっています。セキュリティ分野でも、同様の発想転換が必要です。
5. 国産セキュリティ技術に求められる条件
ここで重要な前提を明確にします。
重要なのは「国産であること」そのものではありません。 構造的に検証可能であり、自国の主権のもとで制御できる技術であること——それが本質です。
「日本製だから安全」という論理は、「海外製だから危険」という論理と同様に、根拠のない思考停止です。国産であっても検証不可能なブラックボックスであれば、海外製品と同じ構造的問題を抱えます。
技術的な優位性、あるいは少なくとも同等の性能を持つことが大前提であり、その上で検証可能性と主権が確保されていることが求められます。
5.1 原理的な優位性
理想的な国産セキュリティ技術は、単なる海外製品のコピーではなく、異なるアプローチによる原理的な優位性を持つべきです。
ここで、現代のセキュリティを理解する上で決定的に重要な区別があります。
従来のセキュリティは、「攻撃を検知して対応する」技術である。 新しいセキュリティは、「攻撃が成立しない構造を作る」技術である。
これは改良ではありません。パラダイムの転換です。
従来のアプローチは、どこまで行っても「検知できなければ負け」「対応が遅れれば負け」という確率のゲームから抜け出せません。しかし、攻撃が「成立しない」構造を作れば、検知の成否に関わらず保護は維持されます。
ランタイムセキュリティの概念は、まさにこのアプローチの一つです。実行空間そのものを構造的に保護することで、侵入の成否に関わらずデータを守る——この発想は、従来の「入口を守る」セキュリティとは根本的に異なります。
5.2 検証可能性
前述の通り、セキュリティの本質は「信頼がなくても安全」であることです。国産・海外を問わず、セキュリティ技術には以下の検証可能性が求められます。
- 数学的証明可能性:「安全である」ことを、信頼ではなく数学的に証明できること
- 第三者検証の容易さ:独立した機関がセキュリティを評価できること
- 透明性:防御メカニズムの原理が公開され、検証可能であること
国産技術の強みは、この検証プロセスを自国の法制度・認証制度のもとで完結できる点にあります。
5.3 グローバル競争力
国産技術は、国内市場だけでなく、グローバル市場で競争できる品質を目指すべきです。日本発の技術が国際標準に採用され、世界中で使われるようになれば、それ自体が日本の安全保障に貢献します。
イスラエルはGDPに対するサイバーセキュリティ輸出額で世界をリードしていますが、その基盤は軍での技術開発経験と、グローバル市場を最初から見据えた事業戦略にあります。日本にも、固有の技術的強みを活かしたグローバル展開の可能性があります。
6. 新しい防御パラダイムとしてのRuntime Stability
6.1 「検知」から「構造」へ
現在のセキュリティは、「脅威を検知する」ことに多大なリソースを投じています。しかし、なぜ今ランタイムセキュリティが必要なのかで論じた通り、AI時代において検知ベースのアプローチには原理的な限界があります。
国産セキュリティ技術が目指すべきは、この「検知パラダイム」を超えた構造的セキュリティです。
- 侵入されても、データが物理的に読み取れない
- マルウェアが実行されても、保護対象に到達できない
- 検知の成否に関わらず、保護が維持される
これは「日本製だから安全」ではなく、「構造的に安全であること」を数学的に証明できる技術です。
6.2 Runtime Stability — 攻撃下でも制御を失わないという性質
この「構造的防御」を体系化した概念が、Runtime Stabilityです。
ランタイムセキュリティが「実行中のシステムを保護する防御技術」を指すのに対し、Runtime Stabilityは、それらを包含した上でシステム全体が攻撃下でも制御を失わないという上位概念です。単なるセキュリティ機能の名称ではなく、システムが本質的に備えるべき性質そのものを指します。
従来のセキュリティが「壁を高くして侵入を防ぐ」ことを目指すのに対し、Runtime Stabilityは「侵入されても、システムの動作が変わらない」ことを目指します。
なぜこの違いが重要なのか。具体的な場面で考えてみましょう。
高速道路を走行中の自動運転トラックが、サイバー攻撃を受けたとします。従来の「検知して止める」セキュリティは、異常を検知した瞬間にプロセスを停止します。しかし、時速80kmで走行中のトラックが突然制御を失えば、乗員だけでなく周囲の車両や歩行者の命に関わります。「止めることが安全」という前提そのものが、もはや成立しません。
同様に、手術中の医療ロボットが攻撃を検知して停止すれば、患者の生命に直結します。電力の制御システムが停止すれば、地域全体が停電します。
Runtime Stabilityの思想は、これらの場面で異なる振る舞いをします。攻撃を受けても、システムは正常な動作範囲を維持し続けます。制御データは暗号化された実行空間内で保護されており、適切に設計された構造的防御のもとでは、正規の経路と承認条件を満たさない限り、制御の改ざんも乗っ取りも成立しません。
これは情報システムでも同じです。攻撃者が管理者権限を奪取し、バックアップ削除やデータ破壊のコマンドを実行しても、構造的防御のもとでは「破壊」という操作そのものが成立しません。
これが「検知して止める」と「攻撃の結果を成立させない」の決定的な違いです。止められない時代のセキュリティには、止めずに守る構造が必要です。
6.3 細かい粒度でのメモリ暗号化という解答
Confidential Computing(機密コンピューティング)は、実行中のデータをハードウェアレベルで保護する技術です。現在はIntel SGXやAMD SEVなど、特定ハードウェアに依存した実装が主流です。
しかし、Runtime Stabilityの観点で攻撃者の侵入を前提とした防御を実装する場合、プロセス単位、ユーザ単位、セッション単位といった細かい粒度でのメモリ暗号化が求められます。たとえばAMD SEVはVM単位でメモリを暗号化しますが、VM内部から見ればデータは平文であり、侵入者がVM内に到達すれば保護は機能しません。
このような細かい粒度での保護を実現するには、ハードウェアだけではランタイムの状況を把握しきれないため、ソフトウェアを統合した実装が不可欠になります。さらに、対応ハードウェアを持たない環境でもメモリ暗号化を実現できれば、特定のベンダーやハードウェアに依存しない、自律的なセキュリティが可能になります。
これこそ、国産セキュリティ技術が担うべき領域であり、Runtime Stabilityが目指す技術的基盤です。こうした粒度と構造を備えた実行時保護は、単なる製品開発ではなく、日本が独自に持つべき基盤技術そのものです。
7. 結論 — 技術主権としてのセキュリティ
サイバーセキュリティは、もはや「IT部門の課題」ではありません。データ主権、経済安全保障、そして国家のレジリエンスに直結する技術主権の問題です。
日本は世界第3位の経済大国でありながら、その経済活動を守るセキュリティ技術の中核を海外に依存しています。海外製品を適切に活用することと、中核技術を自国で持つことは、矛盾しません。むしろ、自国の技術的基盤があってこそ、海外製品の評価・選定・統合をより高い水準で行えるようになります。
国産セキュリティ技術の開発は、単なるナショナリズムや保護主義ではありません。その必要性は、理念ではなく、次のような実利によって説明できます。
- データ主権の確保:自国のデータが、自国の法律のもとで保護される
- 供給の安定性:地政学的リスクに左右されない技術基盤を持てる
- 検証可能性:ブラックボックスに依存しない、透明性の高いセキュリティを構築できる
- 技術力の蓄積:次世代の防御技術を生み出す人材と知見が国内に育つ
- 経済的価値:グローバル市場で競争力のある技術を輸出できる
そして最も重要なのは、セキュリティのパラダイムそのものを転換する技術——「検知して対応する」から「攻撃が成立しない構造を作る」への転換——を、日本から世界に提示できる可能性があるということです。
「使う安全保障」から「作る安全保障」へ。
半導体で始まったこの転換を、セキュリティ技術にも広げること。そして、Runtime Stabilityという新しい防御の概念を、日本発のセキュリティ標準として確立すること。それが、AI時代の日本が取るべき道であると考えます。