なぜいまvCISO/CISO代行が急増しているのか
2026年に入り、中小企業(従業員300名以下)からのvCISO(Virtual CISO)/CISO代行サービスの引き合いが急増しています。背景にあるのは、自社採用が極めて難しい一方で、外部から「セキュリティ責任者がいるか」を強く求められる構造変化です。
- SCS(経済安全保障 サプライチェーン・セキュリティ)対応:取引先から「セキュリティ責任者の氏名」「組織体制図」の提出を求められるケースが増加
- サイバー保険の補償要件:契約更新時に「CISO相当者の任命」「インシデント対応体制」の証跡を要求
- ISMS/Pマーク/ISMAP-LIU取得:認証プロセスで責任者の専任化が必須に
- 能動的サイバー防御法の施行:重要インフラ事業者・準ずる事業者の責任者明確化が要請
- CISO採用相場が高騰:常勤CISOの年収相場が1,500〜2,500万円に達し、中小企業では雇用困難
vCISO/CISO代行は月額10万〜80万円程度で、組織体制の名義人提供から、戦略策定、運用支援、取引先監査対応までを担います。本記事ではサービス類型・料金相場・選定ポイントを整理します。
vCISOとは何をする人か
「CISOの代わりに来てくれる人」と捉えると失敗します。vCISOの役割は役員レベルのセキュリティガバナンスであり、実務オペレーション(パッチ適用、SOC運用、ヘルプデスク)は別途必要です。
vCISOが担う典型業務
- セキュリティ戦略策定:3〜5年計画、投資配分、優先順位
- 規程・ポリシー整備:情報セキュリティ基本方針、規程類のメンテナンス
- リスクアセスメント:年次/半期のリスク評価と是正計画
- 取締役会/監査役向け報告:取締役会レポーティング、内部監査対応
- 取引先監査対応:顧客のSCS/サプライヤー監査への回答、エビデンス整備
- サイバー保険の窓口:保険会社との契約条件交渉、補償要件の充足管理
- インシデント時の指揮:重大インシデント発生時の意思決定と外部コミュニケーション
- 従業員教育の設計:年次教育、フィッシング訓練、新人オンボーディング
- ベンダー選定の助言:EDR/SIEM/MDR/脆弱性診断などの選定支援
vCISOが担わないこと
- 日常のパッチ運用、ログ監視、アラート対応(SOC/MDR業務)
- ヘルプデスク、PCキッティング(情シス業務)
- 製品実装(Entra設定、Defender設定など)
これらは情シス365のような情シスアウトソーシングや、MDR/MSSPの守備範囲です。「vCISO」と銘打ちながら実態は情シス代行という事業者もいるので注意。
サービスタイプの分類
市場にある「vCISO/CISO代行」は、実態として4タイプに分かれます。提供範囲と料金感が大きく違うため、自社ニーズと合うタイプを選ぶことが重要です。
タイプA:名義人提供型(月額10〜25万円)
- 提供内容:CISO相当者の氏名提供、月1回の定例会議、書類署名対応
- 向いている企業:取引先監査・ISMS取得のために「形式」が必要、社内に実務担当者がいる
- 注意点:実態が伴わない「ハンコ屋」になりがち。インシデント時の動きが期待できない
タイプB:戦略支援型(月額25〜50万円)
- 提供内容:月2〜4回の定例、戦略策定、規程整備、年次リスクアセスメント、取締役会レポート
- 向いている企業:自社情シスはいるが上位レイヤーの判断者が不在、中期計画を作りたい
- 注意点:実装は自社/情シス365側で実行する必要あり
タイプC:包括支援型(月額50〜80万円)
- 提供内容:タイプBの全てに加え、ベンダー選定支援、取引先監査対応、サイバー保険窓口、インシデント時の現場指揮
- 向いている企業:上場準備中、SCS対応中、M&A後でセキュリティ体制再構築中
- 注意点:月額が情シス1名分の人件費と同等以上。費用対効果を厳密に評価
タイプD:常駐/フルタイム型(月額80万円〜)
- 提供内容:週3〜5日の常駐、社内会議へのフル参加、役員相当の責務
- 向いている企業:上場直前、規制業種、グローバル展開中
- 注意点:実質的にCISO採用と変わらないコスト。雇用との比較が必要
料金相場(2026年5月時点)
| タイプ | 月額レンジ | 稼働時間/月目安 | 主な成果物 |
|---|---|---|---|
| A. 名義人提供 | 10〜25万円 | 4〜8時間 | 署名対応、定例議事録 |
| B. 戦略支援 | 25〜50万円 | 16〜32時間 | 戦略書、規程改訂、リスク評価書 |
| C. 包括支援 | 50〜80万円 | 32〜60時間 | 監査回答、ベンダー選定書、インシデント指揮 |
| D. 常駐型 | 80万円〜 | 120時間以上 | フルタイムCISO相当 |
これに加えて初期費用(規程整備・現状アセスメント)として50〜200万円がかかるケースが一般的です。最低契約期間は6か月〜1年が標準。
選定の7つのチェックポイント
1. 実体験ベースのCISO経歴があるか
過去にCISO/情シス部長クラスでインシデント対応を経験した人材が担当するか。コンサル経験のみだとインシデント時に動けない。担当者個人の経歴を必ず確認する。
2. 業界知識・規制対応の深さ
自社業界(金融、製造、医療、SaaS等)の規制・ガイドラインに精通しているか。FISC、医療情報安全管理ガイドライン、自動車業界SCS、CMMCなど業界別の知識が必要なケースがある。
3. インシデント対応のSLA
重大インシデント発生時に何時間以内に駆けつけるか。連絡窓口、平日/休日対応、バックアップ体制を契約書で明文化する。
4. 実装パートナーとの関係
vCISOは戦略担当。実装は情シス365のようなアウトソーサー、MDRベンダー、SIerと連携する。vCISO単独ではセキュリティは強化されない。実装パートナーとの役割分担が明確かを確認。
5. 取引先監査・SCS対応の経験
顧客から監査票が来た時、回答ドラフトを書けるか。SCS Star2/Star3、CSA STAR、SIG、CAIQなどの回答経験がある人材を確保する。
6. レポーティングの質と頻度
月次・四半期レポートのサンプルを契約前に必ず見せてもらう。「定例議事録だけ」のサービスはタイプAであっても割高。経営層が読めるサマリーが提供されるか確認。
7. 契約終了時の引継ぎ条項
契約終了時に成果物(規程、リスク評価書、監査回答テンプレ)の権利が顧客側に残るか。事業者から離脱できない契約はリスク。
自社採用 vs vCISO の比較
| 項目 | 自社採用CISO | vCISO(タイプC) |
|---|---|---|
| 年間コスト | 1,800〜3,000万円(給与+社保+採用費) | 600〜960万円(月50〜80万円) |
| 採用難易度 | 極めて高い(市場に出ない) | 低い(複数事業者から選択可) |
| 離職リスク | 1人辞めると体制崩壊 | 事業者が後任を確保 |
| 業界横断知識 | 個人の経験に依存 | 事業者の他社事例も活用可 |
| 意思決定スピード | 速い(社内) | 外部のため定例会議経由 |
| 機密情報の扱い | 社内完結 | NDA前提だが社外 |
| 役員会への参加 | 可 | オブザーバー扱いが多い |
従業員300名以下ならvCISOタイプB/C、500名超で上場準備に入るなら常駐型または採用に切り替えるのが一般的な分岐点です。
よくある失敗パターン
- 「名義だけ」を買って実態がない:取引先監査で深掘り質問されて回答できず、契約失注
- 実装側の体制を作らずvCISOだけ契約:戦略は立つが手が動かない。情シス365などの実装パートナーと並行契約が必須
- 担当者が固定されず毎回変わる:自社事情を把握しないままアドバイスされる。「専任担当者の指名」を契約書に明記する
- 料金が安すぎる事業者を選ぶ:月10万円以下はほぼ「ハンコ屋」。インシデント時に連絡が取れないリスク
- 契約終了時に成果物を持ち出せない:規程・リスク評価書が事業者の所有物になる契約条項に注意
どんな企業がvCISOを使うべきか
- 従業員50〜500名で、専任CISOを雇うほどの規模感ではない
- 取引先からセキュリティ責任者の存在を求められている
- SCS Star2/Star3、ISMS、Pマークなどの認証取得を予定
- サイバー保険の補償要件で「責任者任命」が求められている
- 上場準備中、または親会社からのガバナンス要請がある
- M&A後でセキュリティ体制を一から整える必要がある
逆に、従業員10名以下のスタートアップ初期や、現職CISOがいて代行が不要なケースでは無理に契約する必要はありません。情シスアウトソーシング(情シス365)でセキュリティ運用は十分カバーできます。
まとめ
vCISO/CISO代行は「採用できないがCISO相当者が必要」な中小企業の現実解です。ただし「名義だけ」のタイプAでは取引先監査・インシデント時に役に立ちません。月額25〜50万円のタイプB以上を、実装パートナー(情シス365/MDR)と組み合わせるのが効果的な使い方です。
BTNコンサルティングでは、ITコンサルティングの一環としてvCISO相当のセキュリティ責任者支援を提供しています。情シス365との組み合わせで「戦略+実装+運用」を一気通貫で支援できる体制が特長です。60分の無料相談から、自社に合うタイプの整理をお手伝いします。