本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
前回は、ITベンダーがシステムを構築し、ユーザー企業がそれを運用するという日本特有の分業制にほころびが出始め、ユーザー企業に技術者が回帰しつつあることや、その要因にサイバー攻撃の猛威が深く関係していることを述べた。
この仕組みは、バブル経済の崩壊に伴う「失われた30年間」に浸透した。そして、世界がIT活用による新しい社会に移行していく中で、結果的に日本は取り残されてしまった。日本のユーザー企業の経営者は、経営リソースとしてのITの重要性に気付かず、単純にコストとしか認識しなかったことで、ITに関するほとんどをベンダーに依存するようになってしまった。
さらに、多くの企業が自社ビジネスの中でITをどのように活用していくかという重要課題を主要業務から除外してしまった。そして、その状況を壊すかもしれないのが、「サイバー攻撃」という“黒船来航”だろう、と述べた。
今回は、日本のITベンダーとユーザー企業がサイバー攻撃の脅威に対して、どのような行動をしたかの顛末や経緯を述べていく。
ITシステムの安定稼働を覆したサイバー攻撃
ITベンダーとユーザー企業の分業制は、日本特有の仕組みだが、構造的な欠陥を抱えながらもそれなりに機能しており、これからもまだまだ続くと思われていた。それが揺らぐ原因になったのは、サイバー攻撃の脅威という外部からの圧力だった。しかし、これは単なる兆候に過ぎないのかもしれない。特に中小企業では、そもそも当初からITの導入をベンダーに丸投げしていた場合が多かった。そのため、現在でも分業制が続いている場合がほとんどだ。
分業制が徐々に消えつつあるのは、サイバー攻撃以外に、デジタルトランスフォーメーション(DX)など複数の要因が重なった部分も少なからずあるだろう。それでも、双方にメリットのある分業制がほころぶ一番のきっかけはサイバー攻撃の脅威だ。なぜなら、分業制が成立するのは、「システムが安定稼働していればこそ」だからである。
システムが安定稼働していれば、運用のほとんどは定型作業となる。ユーザー企業が関わるIT導入と運用に関する業務は限定的で、技術をそれほど必要としない定型作業を繰り返すことが主要な業務になった。
運用中に分からないことがあった場合や万一トラブルが発生した場合でも、システム開発ベンダーに依頼すれば良い。なぜなら、分業制はホストコンピューター以来の数十年に及ぶ関係性と経験値もあって、たいていのトラブルが解決され、システムは再び安定稼働に戻るからだ。
しかし、これはサイバー攻撃の脅威が現在のように猛威を振るう以前の話だった。現在のシステムは、ファイアウォールのような防御対策がもちろん必須だが、攻撃手法は巧妙化しその絶対数も増加している。そのため現在のセキュリティ対策は、不正侵入検知/防御システム(IDS/IPS)やウェブアプリケーションファイアウォール(WAF)、次世代型ファイアウォールに代表される高度な機能を用いた攻撃の検知とそれらの分析など、さまざまな策を積み重ねる必要がある。しかも、それを積み重ねた上で、やっと「それなりの有効性があるとの評価が得られる程度」というのが現状だ。