企業セキュリティの歩き方

セキュリティ対策の不都合な真実--5年に一度しか来ないベンダーの正体

武田一城 (ラック) 2017年06月19日 07時00分

  • このエントリーをはてなブックマークに追加

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

ベンダーにもセキュリティ人材がいない

 前回は、日本企業が表向きは多層防御のセキュリティ対策を講じていても、攻撃を検知しても対処ができない「セキュリティマネジメント不在」の状況を述べた。今回は、なぜセキュリティ対策製品を提供するベンダーがその状況を看過しているのかについて述べる。

 セキュリティ対策の運用の現状は、攻撃手法の進化に大きく遅れを取ってしまった。セキュリティ製品を提供しているベンダーが、なぜこの状況を看過しているのだろうか。

 答えは簡単だ。それは、ユーザー企業にセキュリティマネジメントができる人材がいないのと同様に、セキュリティ製品を提供しているベンダー側にも該当する人材がいないか、いたとしても非常に少数だからである。つまりユーザー企業もベンダー側も、同じ状況に陥っているというのが、問題の根を深くしている。

 これを聞いて、「そんなばかな」と思われた読者も多いだろう。また、このことを「機能もしないセキュリティ対策製品に多くの投資をしていたのか」と企業の読者は、憤りを覚えるかもしれない。しかし残念ながら、これが日本におけるセキュリティ対策の現状だ。

 なぜ、このようなことがまかり通るのか。それは、日本のシステム業界の成り立ちにさかのぼる。日本のシステム導入は、オフィスオートメーション(OA)やファクトリーオートメーション(FA)などと呼ばれた頃から、インターネット技術が普及した以降のITやICTと呼ばれる時代を経て現在に至る。それによって、ビジネスやマーケット、そして世の中自体が大きく変わった。そして、日本においてはそれらの導入の主役は良くも悪くもベンダーだった。

 かつてのシステムは、現在のようなクラウドやPCサーバのように手軽なものではなく、メーカーが作る巨大な純正コンピュータだった。IBM、NEC、富士通などに代表されるメーカーがしのぎを削って開発競争を繰り広げ、コンピュータはあっという間に日本全国に普及した。しかしその後、UNIXやLinux、Windowsなどのオープンシステムが普及し、コンピュータの知識はオープンになった。これで、メーカーではなくてもシステム導入ができる時代が来る――はずだった。

 しかし、少なくとも日本ではそのようにならなかった。海外ではユーザー企業が自分でシステムの仕様を決め、仕様に沿ったシステム構築という部分のみを、技術を持つ外部のSEなどに発注するのが一般的だ。納品されたシステムが仕様通りに動作するかも、契約に基づいてユーザー企業が厳重にチェックする。

 ホストコンピュータなどがオープンシステムに移行し、現在はクラウドで稼動している。幾世代も進化を重ね、ユーザー自らが仕様を決め、自由にシステムを構築しやすくなったはずだった。しかし、日本に限ってはそうならなかった。これには、メーカーなど既存ベンダーが提供する(世界的には過剰ともいわれる)高いサービスレベルが背景にある。ユーザー企業にとっても、自社で人材を育成して仕様を決めるより、結果的にこの方が安上がりで都合がよかったわけだ。

 そして既存ベンダーは、その後もユーザー企業に対して、その時代の「最新のソリューション」と称した機器などを提供し続けた。既存ベンダーはユーザー企業が望めば、都度その対象の範囲を拡大させていく。

 黎明期のセキュリティ対策製品も例外ではなく、上述のシステム開発の延長線上で対応できていた。しかし、セキュリティ対策の方法も大きく変わった。攻撃手法やそのトレンドに関する情報収集を常にしながら、検知した攻撃に対して適切な対処が必要となった。運用の要らないセキュリティ対策など、もう通用しないのだ。

 またベンダーにとって、セキュリティ対策の主役が「開発」ではなく「運用」にある点も高いハードルだった。システム開発ベンダーにとっての主舞台は、新規や移行の「構築」フェーズだ。構築後の運用フェーズでは、技術者の人月単価とともに求められるスキルも下がる傾向があり、ベンダーにおいて運用は構築よりも”一段落ちる”とみなされていたのだ。

構築SE>運用SEの構図とセキュリティ人材''
構築SE>運用SEの構図とセキュリティ人材

 運用フェーズでは、機器の故障やバグなどによってシステム障害が起こり得ると想定されている(機器の24時間保守サポートなど)。しかし、サイバー攻撃などへの緊急対応は考慮されていない。いや、ユーザー企業はもちろんベンダーにおいても不測の事態には対処ができないため、考慮ができないと言った方が正しいだろう。

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化