本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
前回は、ITシステムの安定稼働を前提とした日本特有のベンダーとユーザー企業の分業制がサイバー攻撃の脅威の高まりによって崩壊しつつある現実と、デジタルトランスフォーメーション(DX)に代表されるIT活用の機運の高まりと相まって、ユーザー企業にIT技術を持つ人材が戻りつつある状況を述べた。また、安定したシステムを構築することでユーザー企業に頼りにされてきたベンダーも、その安定を奪うサイバー攻撃には、うまく対応できないことを述べた。
今回は、サイバー攻撃の脅威に抗うために、ユーザー企業とITベンダーがどのような対策をしてきたかについて述べていく。
ITの軽視で起きたこと
日本企業は、ユーザーもITベンダーもサイバー攻撃の脅威に対応“できなかった”――過去形にしたが、現在でも十分な対応ができていない。むしろ、攻撃者側が有利な状況がより拡大しているという見方が一般的だ。現在は、攻撃者が圧倒的に有利な状況と言えるだろう。
そして、サイバー攻撃への防御ができないだけでなく、攻撃されていることにすら気付かないことも特に珍しくない。攻撃者は情報を窃取してもそれを隠ぺいすることが多いからだ。そのような状況は、まるで穴の開いた箱に重要な資産を入れ続けているようなものである。その被害は、ほとんどの場合で長期化し、企業活動に甚大な影響を及ぼす。
日本のIT業界は、経済が低迷にあえいだこともあって、セキュリティを含む技術の研さんをないがしろにしてきた。筆者が社会人になった頃の1990~2000年代は、ユーザー企業のITシステム子会社などがベンダーに買収されることが散見された時期でもあった。この頃は、「餅は餅屋」という言葉をよく聞いた。耳触りの良い掛け声で、ITの重要性は見過ごされていったのだろう。結果としてユーザー企業は、本業ではないと判断したIT技術のほとんどを手放してしまったのだ。
これらが要因となり、ITの技術をベンダーに依存する日本特有の環境が生まれた。ユーザー企業からITの技術力が失われた代わりに、社内(の人員)リソースを削減して、一時的にではあるが、不況により失われた企業体力を一定レベルまで回復することに成功した。そのため、この選択が全くの間違いだったとは言い難い。
しかし、その副作用としてユーザー企業は、その後に重要となったITの技術の土台となるものまで失ってしまった。そして、頼みの綱だったはずのITベンダーも、サイバー攻撃の激化にほとんど対応できない事実が浮き彫りとなった。そのため、セキュリティを含むIT技術のほとんどをベンダーに依存していたユーザー企業にとっては、対策を立てようにも打ち手がほとんど無い状況に陥っていたのだ。
成長しない市場環境の中で、ユーザー企業には、一度失った技術を再び得るということを実施するための意欲は既に無かった。また、その代替策も無かったため、ITの導入はもちろん、意思決定さえもベンダーに依存することが常態化したのだ。
