世界と異なる日本の市場
こうした状況は日本だけはなく海外でも多く見られる――と言いたいところだが、実際は異なる。海外は契約社会であり、ユーザー企業が責任をもってシステム開発やセキュリティ対策の仕様を決めるのが大前提だ。そのために、最高情報責任者(CIO)や最高情報セキュリティ責任者(CISO)を中心とする組織が機能している。これにより、現在のセキュリティ対策の肝となるセキュリティマネジメントをユーザー企業自身が実行できる。
日本では、既存ベンダーがシステムの最も重要な仕様決定をユーザー企業から任されている場合が多い。ユーザー企業と既存ベンダーは、相互に依存し合う存在になり過ぎてしまった。同時に、お互いの苦しい部分を見て見ぬふりをし合う関係性が生まれてしまうことも多い。
そして、セキュリティ対策分野では既存ベンダーは製品を提供するだけの存在になる場合が非常に多い。これは先述したように、ベンダーの取り扱う製品を、ユーザー企業の要望のまま提供範囲を拡大してきた従来のビジネスモデルを連綿と続けているためだ。ほとんどのシステムは、構築後に安定稼動すれば導入成功となる。セキュリティ対策もファイアウォールの導入だけで済んでいた時代なら、それでもよかった。
しかし、製品の導入でセキュリティ対策が機能した時代は終わった。今は高度な攻撃を効率的かつ簡単に実行できるツール類もそろい、攻撃側はそれらを組み合わせただけで攻撃ができる。効率よく攻撃をするために分業された機能組織にもなっている。これらによって、一定の対策ができている対象であっても、容易に攻略できる実力を持っている。このような環境下では、製品だけでは攻撃は防げない。セキュリティマネジメントをベースとした多層防御の構造による「時間かせぎ」と「攻撃検知の仕組み」は、現代のセキュリティ対策に必須だ。
しかし日本においては、この多層防御構造は建前でしかない。日本の特殊性は、セキュリティ人材による運用が必要な高機能なセキュリティ対策製品を、運用が無いまま導入して対策済みにしてしまうことにある。攻撃を検知できるはずの高機能もたいして機能せず、機能させるための人材は、ユーザー企業のシステム部門はもちろん、ベンダーにもいない。これを直視せず、運用できないセキュリティ製品を導入し続けたのが、セキュリティ対策製品の販売のみに特化してしまった日本市場の現実だ。
この悲惨な状況は、実はセキュリティ対策だけではなく過去にも例がある。例えば統合基幹業務システム(ERP)は、企業の経営計画を遂行するためのコンセプトを持つ製品だった。しかし実際には、ERPは日本の商習慣にはフィットしにくい部分も多く、無理な個別カスタマイズによって最も重要だったはずの経営を可視化するという良さを失った。ビジネスインテリジェンス(BI)ツールに至っては帳票作成ツールとしか使われていない状況が散見される。これが運用という本質を軽視し、コンセプトの外面にコストを浪費し続けた日本市場の現実なのだ。
