令和５年度産業経済研究委託事業（情報セキュリティサービス審査登録制度の在るべき姿の検討に向けての調査）調査報告書

この報告は、情報セキュリティサービス審査登録制度の在るべき姿の検討に向けての調査について書かれた報告書である。我が国では多様な企業がセキュリティサービスを提供しているが、品質にばらつきが生じており、平成27年に設立された情報セキュリティサービス審査登録制度は、サービス提供企業の信頼性を可視化する最低限の要件として技術要件と品質管理要件を基準に示し、合致する事業者をリストで公開している。しかし制度設立時と比較してユーザー側にも登録を望むベンダー側にもメリットが薄れており、最低限の要件審査だけでなく事業者の財務状況やコンプライアンスなどの特性に関する要件追加を含めた制度の見直しが必要となっている。本事業では調査、検討および制度に関する検討会の運営を実施し、登録事業者65社、非登録事業者15社、国内ITベンダー59社を対象としたアンケート調査を行った。調査結果では脆弱性診断サービスを中心に市場は拡大傾向であるものの、制度の認知度の低さと申請手続の不便さが課題として指摘され、品質の低い事業者を市場から退場させる効果が実感されていないことが明らかになった。有識者会議では10名の専門家により4回の検討が行われ、ペネトレーションテストサービスを脆弱性診断サービスのオプションとして扱えるよう制度改訂案を作成し、パブリックコメントを実施した結果、30件のコメントが寄せられたが否定的意見はなく改訂が了承された。今後の普及方策として重要インフラ分野の中小規模事業者への認知度向上と活用促進のための取組が予定されている。