欧州 ENISA マネージド セキュリティ サービス市場分析 (2025.06.24)

こんにちは、丸山満彦です。

ENISAがマネージドセキュリティサービス (MSS) について「需要側」と「供給側」の両面からMSS市場の特徴を評価するための分析した報告書を公表していますね...

マネージドセキュリティサービス (MSS) は、

---

インシデントハンドリング、侵入テスト、セキュリティ監査、技術サポートに関連する専門家の助言を含むコンサルティングなど、サイバーセキュリティリスク管理に関連する活動の実施または支援からなるサードパーティに提供されるサービス。

---

のことで、

検討した範囲には、

---

サービスのサイバーセキュリティ関連特性、サイバーセキュリティ要件、脅威エクスポージャー、市場動向のほか、市場の主な利害関係者に関する人口統計学的情報

---

も含まれていますね...

結論的な話...

---

• 需要側の投資動向から、ほとんどの事業体が予算の10％未満しかMSSに割り当てていないことが明らかになった。
  
  
• 需要側ではハイブリッドソリューションが好まれ、定期的な調達見直しが行われていることから、安定性と適応性のバランスがとれており、セキュリティ投資が長期的な運用ニーズに合致していることがうかがえる。
  
  
• MSS導入の主な障壁としては、コストへの懸念、社内の専門知識の不足、サービス・レベル・アグリーメント（SLA）のカスタマイズに関するプロバイダ関連の問題、技術的・プロセス的統合の課題などが挙げられる。
  
  
• 法規制の導入は依然としてプロバイダ主導であり、情報セキュリ ティ・マネジメント・システムや品質システムなどの枠組みへの投資が増えている。需要側では、情報セキュリティマネジメントシステムの監査やサプライヤとの関係管理など、特定の分野への取り組みが強化されており、的を絞った規制アプローチを反映している。
  
  
• サイバー脅威に対する認識は利害関係者によって異なり、MSSの導入と実施におけるギャップにつながっている。これは、脅威管理戦略の盲点を生み、最終的に全体的なレジリエンスに影響を及ぼす。
  
  
• 現在のMSS適用可能な規制枠組みは、検知やレスポンスの仕組みといった技術的な管理を重視しており、ガバナンスの問題は二の次である。しかし、運用プロセスの採用には、需要と供給の間にギャップがある。これは、技術的な実装と運用セキュリティガバナンスの間に不均衡を生む可能性がある。後者は、長期的なレジリエンスとサービスパフォーマンスに必要な場合が多い。

---

興味深い報告書だと思います...

 

● ENISA

・2025.06.24 Managed Security Services Market Analysis

Managed Security Services Market Analysis	マネージド セキュリティ サービス市場分析
This report addresses the market for Managed Security Services (MSS) on both the demand and the supply side. It addresses MSS usage patterns, compliance and skills certification, threats, requirements, incidents and challenges relating to MSS, along with MSS market and research trends.	本レポートは、マネージド セキュリティ サービス（MSS）市場を需要側と供給側の両面から分析しています。MSSの利用パターン、コンプライアンスとスキル認定、脅威、要件、インシデント、およびMSSに関連する課題に加え、MSS市場と研究動向についても取り上げている。

 

・[PDF]

・[DOCX][PDF] 仮訳

 

目次...

Exective Summary	エグゼクティブサマリー
1. INTRODUCTION	1. 序論
1.1 AIM OF THE REPORT	1.1 報告書の目的
1.2 LEGAL AND POLICY CONTEXT	1.2 法的および政策的背景
1.3 SCOPING MSS	1.3 MSSのスコープ
1.4 ENISA SURVEY ON MSS	1.4 MSSに関するENISA調査
1.5 TARGET AUDIENCE OF THE REPORT	1.5 報告書の対象読者
1.6 STRUCTURE OF THE REPORT	1.6 レポートの構成
2. DEMOGRAPHICS OF THE STAKEHOLDERS INVOLVED	2. 関係者の属性
2.1 OVERVIEW OF DEMOGRAPHICS FOR DEMAND, SUPPLY AND REGULATORS	2.1 需要、供給、規制当局の人口統計の概要
2.2 FINANCIAL DEMOGRAPHICS	2.2 財務統計
3. MSS USAGE PATTERNS	3. MSSの利用パターン
3.1 USAGE PATTERNS OF SUPPLY AND DEMAND	3.1 需要と供給の利用パターン
4. COMPLIANCE AND SKILLS CERTIFICATIONS	4. コンプライアンスとスキル認証
4.1 RELEVANT REQUIREMENTS, REGULATIONS, STANDARDS AND FRAMEWORKS	4.1 関連要件、規制、標準、枠組み
4.2 SKILLS AND COMPETENCES	4.2 スキルと能力
5. THREATS, REQUIREMENTS, INCIDENTS AND CHALLENGES	5. 脅威、要件、インシデント、課題
5.1 MARKET THREATS, CHALLENGES AND REQUIREMENTS FOR MSS	5.1 MSSに対する市場の脅威、課題、要件
5.2 INCIDENTS AND INCIDENT REPORTING	5.2 インシデントとインシデント報告
6. MSS MARKET AND RESEARCH TRENDS	6. MSS 市場と研究動向
6.1 MSS MARKET EVOLUTION	6.1 MSS市場の進化
6.2 MSS MARKET BARRIERS	6.2 MSS市場の障壁
6.3 MSS INNOVATION IDEAS	6.3 MSSイノベーションのアイデア
7. CONCLUDING REMARKS	7. 結論
7.1 MAIN MARKET FEATURES AND TRENDS	7.1 市場の主な特徴と傾向
7.2 MAIN GAPS	7.2 主なギャップ
7.3 MAIN BARRIERS	7.3 主要な障壁
7.4 MAIN POINTS WITH REGULATORY RELEVANCE	7.4 規制関連の主なポイント
7.5 MAIN RESEARCH TRENDS	7.5 主要な研究動向
ANNEX A: COMPLIANCE AND SKILLS	附属書A：コンプライアンスとスキル
ANNEX B: REQUIREMENTS	附属書B：要求事項
ANNEX C: MARKET RESEARCH AND INNOVATION	附属書C：市場調査とイノベーション
ANNEX D: ABBREVIATIONS	附属書D：略語

 

エグゼクティブサマリー...

Exective Summary	エグゼクティブサマリー
Managed security services (MSS) are continuing to gain in importance in relation to enhancing cybersecurity levels for almost all types of customers, from small to large organisations and from the public to the private sector, and for all types of infrastructure, from commercial to critical. The MSS market is important for the internal market of the European Union (EU), as shown by a dedicated amendment to the Cybersecurity Act (CSA) ([1]) to clarify the definition and an ongoing request to develop a candidate certification scheme. MSS are a focus of the European Commission and the Member States. In a situation of increasing infrastructure complexity, MSS are seen as an important tool in mastering cybersecurity challenges and enhancing cybersecurity cyber resilience in the EU.	マネージドセキュリティサービス（MSS）は、小規模組織から大規模組織まで、公共部門から民間部門まで、また、商業的なものから重要なものまで、あらゆる種類のインフラまで、ほとんどすべての顧客のサイバーセキュリティレベルの強化に関連して、重要性を増し続けている。MSS市場は欧州連合（EU）の輸入事業者にとっても重要であり、サイバーセキュリティ法（CSA）（[1] ）の定義を明確にするための改正や、認証スキームの候補を開発するための継続的な要請が行われている。MSSは欧州委員会と加盟国の焦点である。インフラが複雑化する中、MSSは、サイバーセキュリティの課題を克服し、EUのサイバーセキュリティ・サイバーレジリエンスを強化するための重要なツールと考えられている。
This report addresses the market for MSS on both the demand and the supply side. It addresses MSS usage patterns, compliance and skills certification, threats, requirements, incidents and challenges relating to MSS, along with MSS market and research trends.	本報告書では、MSSの市場を需要と供給の両面から取り上げている。MSSの利用パターン、コンプライアンスとスキル認定、脅威、要件、インシデント、MSSに関連する課題を、MSS市場と調査動向とともに取り上げている。
The aim of this analysis is to assess the characteristics of the MSS market to the benefit of various stakeholders who will find this information useful for their plans. At the same time, its aim is to deliver market-related data in support of other activities within the EU, such as the CSA amendment and the EU Cybersecurity Reserve provided for in the Cyber Solidarity Act ([2]), within the scope of the European Union Agency for Cybersecurity’s (ENISA) role therein. For the purpose of this work, internal and external synergies were established.	この分析の目的は、MSS市場の特徴を評価することであり、この情報を計画に役立てようとする様々な利害関係者にとって有益なものとなる。同時に、その目的は、サイバーセキュリティに関する欧州連合機関（ENISA）の役割の範囲内で、CSAの改正やサイバー連帯法（[2] ）に規定されたEUサイバーセキュリティ準備金など、EU内の他の活動を支援する市場関連データを提供することである。この作業のために、内的および外的な相乗効果が確立された。
For this analysis, ENISA performed primary research, i.e. a survey involving the main stakeholder types in the MSS ecosystem by means of dedicated questionnaires. The survey was disseminated via ENISA’s social media channels and the ENISA website to all related European Commission and Member State groups, and also via direct emails. A number of replies were collected via the survey. However, as the data collected, especially from the demand side, are limited in comparison to the entire existing demand and supply of MSS, it is not possible to provide complete assurance that the dataset used for the analysis is representative of the MSS needs of all Member State organisations.	この分析のために、ENISAは一次調査、すなわち専用の質問票によるMSSエコシステムの主要な利害関係者を対象とした調査を実施した。このアンケートは、ENISAのソーシャルメディア・チャンネルおよびENISAのウェブサイトを通じて、欧州委員会および加盟国の関連グループすべてに周知され、また直接電子メールでも送信された。アンケートを通じて多数の回答が寄せられた。しかし、収集されたデータ、特に需要側からのデータは、MSSの既存の需要と供給全体と比較すると限定的であるため、分析に使用されたデータセットがすべての加盟国組織のMSSニーズを代表するものであるという完全な保証を提供することはできない。
Qualitative checks of the data collected from the survey and validation of the findings were carried out via desk research.	調査から収集したデータの定性的チェックと調査結果の妥当性確認は、机上調査によって実施した。
Although international organisations participated in the ENISA survey, the main geographical focus of the report remains the EU.	ENISAの調査には国際機関も参加したが、本報告書の主な対象地域は依然としてEUである。
Among the conclusions drawn from this market analysis, the following can be highlighted.	この市場分析から導き出された結論のうち、以下の点を強調することができる。
• Investment trends from the demand side reveal that most entities allocate less than 10 % of their budget to MSS.	• 需要側の投資動向から、ほとんどの事業体が予算の10％未満しかMSSに割り当てていないことが明らかになった。
• The preference for hybrid solutions on the demand side and periodic procurement reviews suggests a balance between stability and adaptability, ensuring security investments align with long-term operational needs.	• 需要側ではハイブリッドソリューションが好まれ、定期的な調達見直しが行われていることから、安定性と適応性のバランスがとれており、セキュリティ投資が長期的な運用ニーズに合致していることがうかがえる。
• The main barriers to MSS adoption include cost concerns, a lack of internal expertise, provider-related issues regarding the customisation of service level agreements (SLAs) and challenges with technical and process integration.	• MSS導入の主な障壁としては、コストへの懸念、社内の専門知識の不足、サービス・レベル・アグリーメント（SLA）のカスタマイズに関するプロバイダ関連の問題、技術的・プロセス的統合の課題などが挙げられる。
• Regulatory adoption remains supplier driven, with service providers investing more in frameworks such as information security management systems and quality systems. The demand side exhibits stronger engagement in specific areas such as information security management system auditing and supplier relationship management, reflecting a targeted regulatory approach.	• 法規制の導入は依然としてプロバイダ主導であり、情報セキュリ ティ・マネジメント・システムや品質システムなどの枠組みへの投資が増えている。需要側では、情報セキュリティマネジメントシステムの監査やサプライヤとの関係管理など、特定の分野への取り組みが強化されており、的を絞った規制アプローチを反映している。
• The perception of cyber threats varies among stakeholders, leading to gaps in the adoption and implementation of MSS. This creates blind spots in threat management strategies, ultimately affecting overall resilience.	• サイバー脅威に対する認識は利害関係者によって異なり、MSSの導入と実施におけるギャップにつながっている。これは、脅威管理戦略の盲点を生み、最終的に全体的なレジリエンスに影響を及ぼす。
• Current MSS-applicable regulatory frameworks emphasise technical controls, such as detection and response mechanisms, with a secondary emphasis on governance issues. However, there is a gap in the adoption of operational processes between demand and supply. This may generate imbalances between technical implementation and operations security governance, the latter of which is often necessary for long-term resilience and service performance.	• 現在のMSS適用可能な規制枠組みは、検知やレスポンスの仕組みといった技術的な管理を重視しており、ガバナンスの問題は二の次である。しかし、運用プロセスの採用には、需要と供給の間にギャップがある。これは、技術的な実装と運用セキュリティガバナンスの間に不均衡を生む可能性がある。後者は、長期的なレジリエンスとサービスパフォーマンスに必要な場合が多い。
[1] Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act), OJ L 151, 7.6.2019, p. 15, [web].	[1] ENISA（欧州連合サイバーセキュリティ機関）および情報通信技術のサイバーセキュリティ認証に関する2019年4月17日付欧州議会および理事会規則（EU）2019/881および規則（EU）No 526/2013（サイバーセキュリティ法）の廃止、OJ L 151, 7.6.2019, p. 15, [web].
[2] Regulation (EU) 2025/38 of the European Parliament and of the Council of 19 December 2024 laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cyber threats and incidents and amending Regulation (EU) 2021/694 (Cyber Solidarity Act), OJ L, 2025/38, 15.1.2025, ELI: [web].	[2] 2024年12月19日付欧州議会及び理事会規則（EU）2025/38は、サイバー脅威及びインシデントを検知、準備及び対応するための欧州連合の連帯及び能力を強化するための措置を定め、規則（EU）2021/694（サイバー連帯法）を改正するものであり、OJ L, 2025/38, 15.1.2025, ELI: [web].