SCS評価制度がもたらす中小企業セキュリティ需要——日本のMSPが今、バックエンドを刷新すべき理由

日本のサイバーセキュリティ市場で、これまでにない規模の需要波が形成されつつあります。しかし、それを支えるべきインフラベンダー側は、構造的にこれを吸収する準備ができていません。

2026年3月、経済産業省と内閣官房国家サイバー統括室は、サプライチェーン強化に向けたセキュリティ対策評価制度（通称：SCS評価制度） の制度構築方針を公表しました。これは、発注元企業が取引先に対して、星評価（★1〜★5）に基づく正式なサイバーセキュリティ対応を要求できる仕組みです。★3および★4の取得には、継続的な監視、インシデント対応、定期的な評価の文書化が求められます。実証事業は2026年春から開始され、新類型の サイバーセキュリティお助け隊サービス が、中小企業による★3/★4取得を経済的に可能にする目的で同時に立ち上がります。

政策の意図は明確です。日本の中小企業サイバーセキュリティは、「任意の取り組み」から「事業継続上の必須要件」へと移行しています。今後24か月以内に、大手日本企業の調達ゲートで★3が事実上の必須要件となるでしょう。その圧力を受けることになる企業は、数十万社規模に上ります。

問題は、それを供給する側——日本のMSP（Managed Service Provider）およびMSSP（Managed Security Service Provider）各社——が、構造的にこれに対応できる状態にないということです。エンジニアリング能力が不足しているのではありません。現在運用しているバックエンドスタックの経済性が、中小企業価格帯では成立しないのです。

需要は実在し、すでに到来しつつある

2024年から2025年にかけて公表されたデータは、議論の余地をほとんど残していません。

IPA（情報処理推進機構）の「2024年度中小企業における情報セキュリティ対策に関する実態調査」では、全国の中小企業4,191社を対象に調査が行われ、過去3年間にセキュリティ対策投資を行っていない企業が約6割 に達することが判明しました。これは2016年度・2021年度の調査結果よりも悪化しています。一方、政府が推進するSECURITY ACTIONやサイバーセキュリティお助け隊サービスの認知度は、いずれも10%を下回っています。

しかし、帝国データバンクが2025年6月に公表した「東京都・サイバー攻撃に関する実態調査（2025年）」では、過去にサイバー攻撃を受けたことがある企業は 37.8%、中小企業に限ると 35.4%、小規模企業でも 31.4% という高い水準が報告されています。攻撃被害の発生率と防御投資のギャップは、史上最大の幅に広がっています。そしてサプライチェーン側からの圧力こそが、このギャップを強制的に埋めようとしています。

警察庁の令和6年サイバー犯罪情勢報告、ならびに国内病院・製造業・地方自治体に対する大規模ランサムウェア事案の連続発生により、本テーマは「緩慢なコンプライアンス課題」から「経営層が直接関与すべき最重要課題」へと位置づけが変わりました。MSSP業界、東京都のサイバーセキュリティガイダンス、そしてIPAの分析が共通して導き出した結論は一つです——中小企業が単独でサイバーセキュリティを完結させることは経済的にも技術的にも不可能であり、外部のマネージドサービスへの依存が事実上唯一の現実解である。

需要は形成されつつあります。問題は、供給側がそれにスケールできるかどうかです。

なぜ現在のMSPバックエンドの経済性が成り立たないのか

中小企業向けにサイバーセキュリティサービスを提供する日本のMSP各社は、基本的に以下3種類のバックエンドスタックのいずれかを運用しています。そして、3つすべてが中小企業価格帯において深刻な経済性の問題を抱えています。

大手商用SIEM（Splunk、IBM QRadar、Microsoft Sentinel） は、検知品質の面では優れたプラットフォームです。しかし、データ取り込み量（GB単位）またはイベント処理量（EPS単位）に基づく課金モデルにより、純粋なバックエンドコストだけでエンドポイントあたり月額800円〜2,500円に達します。MSPが中小企業向けに支持される唯一の価格帯であるエンドポイントあたり月額3,000円〜5,000円で提供しようとすると、収益の50〜70%がインフラコストで消失し、アナリスト稼働、一次サポート、オンボーディング等のコストを賄う余地が残りません。

ベンダーバンドル型MSSPプラットフォーム（FortiGate Cloud、Trend Vision One、Palo Alto Cortex XDR） はMSPにとって利益率は改善するものの、単一ベンダーの製品テレメトリにロックインされます。顧客環境に他社製ファイアウォール、Linuxサーバ、独自業務アプリケーションのログ等が含まれると、バンドルプラットフォームでは取り込めないか、データソース追加ごとに高額なオプション料金が発生します。中小企業のIT環境は定義上「混在型」であり、単一ベンダースタックでカバーしきれることはほぼありません。

自社構築型オープンソーススタック（Wazuh、ELK、Graylog、OSSEC等） は、アーキテクチャの方向性としては正しい選択です。しかし、私たちがお話を伺ってきた日本のMSP各社で、この構成を本番運用している企業は、共通して同じ課題を抱えていました——本番品質に到達するまで内製エンジニアリングに18か月以上を要し、多テナント運用は脆弱、アラート品質を維持するには上級アナリストの継続稼働が必要、AI拡張は常にロードマップに載っているが永遠にリリースされない（SecOpsチームがプラットフォーム運用に忙殺されているため）、というものです。

ここに構造的なギャップがあります。日本のMSPは、商用SIEM相当の検知品質を、オープンソーススタックの経済性で、しかも多テナント運用とAI拡張を最初から組み込んだ形で提供できるバックエンドを必要としています。既存の選択肢にはこれがなく、内製で構築するには2年規模のシニアエンジニア投入が必要なため、地方系MSPの多くは中小企業セグメントを諦めて、エンタープライズ案件に注力せざるを得ない状況にあります。

モダンなMSP向けSOCバックエンドの構成

以下は、当社が過去3年間にわたり構築・本番運用してきたアーキテクチャです。オープンソースを核とし、AI拡張を組み込み、設計段階から多テナント運用を想定し、MSPがエンドポイントあたり月額3,000円〜5,000円の価格帯で持続可能な経済性を実現できるよう設計されています。

flowchart TD
    A["Customer endpoints, servers, network gear"] --> B["Wazuh agents and syslog collectors"]
    B --> C["soc-integrator FastAPI middleware"]
    C --> D["OpenSearch multi-tenant index"]
    C --> E["AI enrichment layer (LLM-based triage)"]
    D --> F["Detection rules engine"]
    E --> F
    F --> G["Shuffle SOAR playbooks"]
    G --> H["DFIR-IRIS case management"]
    G --> I["MSP analyst console"]
    H --> I
    I --> J["Customer reporting and SCS compliance evidence"]

個々のコンポーネントは業界で広く知られたものです。価値は統合の仕方にあります。

Wazuh をエージェントおよびHIDS層として採用。オープンソースとしては成熟しており、Windows/Linux/macOSの各エンドポイントに対し、プロセス監視、ファイル整合性、脆弱性検出、MITRE ATT&CKフレームワークへのマッピングといった深いテレメトリを提供します。エンドポイント単位のライセンス費用は発生しません。標準のWazuhは多テナント運用機能が弱いという課題がありますが、これこそミドルウェアで補完すべき部分です。

soc-integrator は、これら一連のオープンソースツール群をMSP向けプロダクトに変換するFastAPIミドルウェアです。具体的には、テナント分離（OpenSearchインデックス上で行レベルセキュリティにより各顧客データを論理的に分離）、顧客向けセルフサービスポータルのための認証付きAPIアクセス、顧客別アラートルーティングルール、テナント別のカスタムデコーダ・ルールデプロイ、★3/★4監査に必要なSCS制度向けエビデンス出力を提供します。これは、どのオープンソースディストリビューションにも存在せず、多くのMSPが内製で再構築しようとして十分な品質に至れない部分です。

OpenSearch をストレージおよびクエリ層として採用。Elasticsearchのオープンソースフォークであり、水平スケール、ダッシュボード、アナリストが必要とするアドホッククエリワークフローをすべてサポートします。適切な保持ポリシー（hot/warm/cold階層化）と組み合わせることで、エンドポイントあたりのストレージコストはSplunk相当の取り込み課金の約8分の1に収まります。

AI拡張層 こそ、商用SIEMが今もキャッチアップ中の領域です。ルールエンジンを通過した各アラートは以下のように拡張されます——LLMによる日本語の自然言語サマリ生成（一次アナリストが生のJSONを読まなくても判断できる）、当該テナント内の過去30日分の関連イベントとの自動相関、JPCERT/CC・AbuseIPDB・VirusTotalからの脅威インテリジェンス参照、信頼度スコア付き推奨対応アクション。これにより、MSPの一人当たりアナリスト処理能力を大きく決定づける「トリアージ時間」を劇的に短縮します。当社では主LLMとしてClaude APIを採用し、高ボリュームテナント向けにはローカルOllamaモデルをコスト管理用フォールバックとして併用しています。

Shuffle SOAR をプレイブック自動化に採用。オープンソース、十分なドキュメント、スタック内の他コンポーネントとの連携も良好です。標準プレイブックには、フィッシングメール調査、ランサムウェア兆候対応、不審な認証パターン、ラテラルムーブメント検知などが含まれます。顧客固有のアプリケーションワークフロー向けには、カスタムプレイブックを開発します。

DFIR-IRIS をインシデントケース管理に採用。SCS評価制度において重要な役割を担います——★3以上はインシデント対応の文書化された証跡が要求されるためです。IRISが提供するケースタイムライン、エビデンスチェーン、レポートテンプレートは、評価機関の監査担当者が確認する標準的な成果物となります。

MSPアナリストコンソール が運用の中心面です。全顧客環境を俯瞰する多テナントビュー、AI生成コンテキスト付きの優先度付きアラートキュー、SLAトラッキング、テナント別KPIダッシュボード、そしてMSPがサービスの一部として提供できる顧客向けSCS制度エビデンス出力機能を備えます。

このアーキテクチャの経済性が成立する理由は、エンドポイントあたりのライセンスコストが実質ゼロであるためです。MSPが負担するのはエンジニアリング、運用、AI推論コストであり、これらはすべてエンドポイント数に対して劣線形にスケールします。5,000エンドポイント規模のMSP環境は、概ねOpenSearchノード12台、月額40万円のインフラコスト、月額25万円のAI推論コストで運用できます。これはエンドポイントあたり月額0.13円のバックエンドコストに相当し、月額3,000円のリテール価格に対して95%超の粗利率を確保できます。

エンジニアリングチームの実装実績が決定的に重要な理由

上記アーキテクチャは、原理的にはどのMSPでも自社構築可能です。しかし実際には、ほとんどのMSPが内製化を断念しています。なぜなら、統合エンジニアリングは12〜24か月のプロジェクトとなり、シニアエンジニアの稼働を継続的に消費するからです。地方系MSPの多くは、そのような余剰リソースを持っていません。

Simplico（株式会社シンプリコ）は、バンコクを拠点とするソフトウェアエンジニアリングスタジオです。10年以上にわたり、三井グラインディングタイランドをはじめとする日系製造業、ハッチソンポート、Banpu Indonesia等のエンタープライズ向けに、ERP統合、AI/RAGドキュメントシステム、製造・物流・金融業向けカスタムプラットフォームを納品してきました。本記事で解説したsoc-integratorアーキテクチャは、自社のSOC案件を支えるために構築・運用しているもので、現在は複数顧客向けに本番環境で多テナント運用中です。

これが日本のMSPにとって意味を持つのは、コスト構造の問題があるためです。このスタックを構築・拡張するには、Wazuhデコーダ作成者、OpenSearch運用者、Python/FastAPIミドルウェアエンジニア、LLM統合スペシャリストといった上級エンジニアの稼働が必要です。日本国内でこれらの能力を構築する場合のエンジニアリングコストは時間あたり1.8万円〜2.5万円水準です。すでに本番運用実績のあるチームが既存プラットフォームを基盤として提供する場合、開発済みの本番品質インフラとして移転できるため、研究プロトタイプから始める場合と比較して、必要な投資規模が根本的に異なります。

これは単純なコスト裁定の話ではありません。問題は、日本のMSPが中小企業価格帯のSOCサービスを利益を伴って提供できるかどうかです。バックエンドプラットフォームが、すでにビルドコストを吸収済みのチームから提供される場合にのみ、その算数が成立します。

日本のMSP各社へのご提案

当社は、日本市場向けに消費者向けSOCプロダクトを構築する予定はありません。また、エンタープライズ市場で既存の日本のMSSPと競合する意図もありません。両方とも、戦うべき正しい場所ではありません。

当社が提供するのは、SCS評価制度の需要がピークを迎える前に中小企業向けサイバーセキュリティを立ち上げ、または規模拡大したい日本のMSP向けの ホワイトラベル型バックエンドプラットフォーム・パートナーシップ です。モデルは以下の通りです——

MSPが顧客リレーション、日本語による一次サポート、現地のインシデント対応能力、ブランドを担当します。当社は、多テナントSOCバックエンド、AI拡張層、MSPの顧客特性に応じた検知ルール拡張のためのエンジニアリング能力、SCS制度向けエビデンスとレポートテンプレートを提供します。MSPへの卸価格はエンドポイント単位で、4〜6倍のリテールマークアップが成立する水準で設定し、MSP固有のカスタマイズについては共同投資モデルで進めます。

2026年中、3〜5社の日本のMSPとパイロットパートナーシップを推進する計画です。パイロットには以下が含まれます——

MSPが希望するインフラ（AWS東京リージョンまたはオンプレミス）への完全なバックエンド導入
既存顧客テレメトリの多テナントプラットフォームへの移行
MSPの業種特化に応じたカスタム検知ルール開発
日本語アナリストコンソールおよび顧客向けレポートテンプレート
評価機関監査に対応可能な、SCS制度★3および★4向けエビデンスパックテンプレート

中小企業またはミッドマーケットセグメントを担当されている日本のMSP関係者の方で、SCS制度需要が直近のロードマップに位置づけられている場合、ぜひお話しさせてください。具体的には以下の点を伺いたいと考えています——

現在のSOCバックエンドスタックは何か、また中小企業セグメントの規模拡大を阻んでいるエンドポイントあたりのコスト制約は何か
顧客のSCS制度★3/★4取得支援を、どのように計画しているか（内製、ベンダープラットフォーム経由、または様子見か）
顧客ベースが集中している業種特化（製造業、医療、専門サービス、小売など）
12か月のパートナーシップが成功した状態は、貴社視点でどのように見えるか

パートナーシップお問い合わせフォームまたは直接ご連絡をお願いいたします。当社は、現在200エンドポイント以上を中小企業顧客で管理しており、今後24か月で2,000エンドポイント以上への拡大に真剣にコミットされているMSPとのパートナーシップを優先的に検討しています。

需要波は到来しつつあります。2026年中にバックエンド能力を構築したMSPが、2027年のSCS制度中小企業市場を握ることになります。

Tum（タム）は株式会社シンプリコの代表であり、バンコクを拠点とするソフトウェアエンジニアリングスタジオを率いています。タイ、日本、中国、グローバル各市場の顧客向けに、10年以上のエンタープライズ・ソフトウェア納品実績を持ちます。Simplicoのsoc-integratorアーキテクチャは複数顧客向けに本番運用中であり、Wazuh、OpenSearch、Shuffle SOAR、DFIR-IRISの統合実績を有しています。製造、物流、金融サービス分野での顧客には、三井グラインディングタイランド、ハッチソンポート、Banpu Indonesia等が含まれます。