企業セキュリティの歩き方

セキュリティ対策の不都合な真実--5年に一度しか来ないベンダーの正体

武田一城 (ラック) 2017年06月19日 07時00分

  • このエントリーをはてなブックマークに追加

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

ベンダーにもセキュリティ人材がいない

 前回は、日本企業が表向きは多層防御のセキュリティ対策を講じていても、攻撃を検知しても対処ができない「セキュリティマネジメント不在」の状況を述べた。今回は、なぜセキュリティ対策製品を提供するベンダーがその状況を看過しているのかについて述べる。

 セキュリティ対策の運用の現状は、攻撃手法の進化に大きく遅れを取ってしまった。セキュリティ製品を提供しているベンダーが、なぜこの状況を看過しているのだろうか。

 答えは簡単だ。それは、ユーザー企業にセキュリティマネジメントができる人材がいないのと同様に、セキュリティ製品を提供しているベンダー側にも該当する人材がいないか、いたとしても非常に少数だからである。つまりユーザー企業もベンダー側も、同じ状況に陥っているというのが、問題の根を深くしている。

 これを聞いて、「そんなばかな」と思われた読者も多いだろう。また、このことを「機能もしないセキュリティ対策製品に多くの投資をしていたのか」と企業の読者は、憤りを覚えるかもしれない。しかし残念ながら、これが日本におけるセキュリティ対策の現状だ。

 なぜ、このようなことがまかり通るのか。それは、日本のシステム業界の成り立ちにさかのぼる。日本のシステム導入は、オフィスオートメーション(OA)やファクトリーオートメーション(FA)などと呼ばれた頃から、インターネット技術が普及した以降のITやICTと呼ばれる時代を経て現在に至る。それによって、ビジネスやマーケット、そして世の中自体が大きく変わった。そして、日本においてはそれらの導入の主役は良くも悪くもベンダーだった。

 かつてのシステムは、現在のようなクラウドやPCサーバのように手軽なものではなく、メーカーが作る巨大な純正コンピュータだった。IBM、NEC、富士通などに代表されるメーカーがしのぎを削って開発競争を繰り広げ、コンピュータはあっという間に日本全国に普及した。しかしその後、UNIXやLinux、Windowsなどのオープンシステムが普及し、コンピュータの知識はオープンになった。これで、メーカーではなくてもシステム導入ができる時代が来る――はずだった。

 しかし、少なくとも日本ではそのようにならなかった。海外ではユーザー企業が自分でシステムの仕様を決め、仕様に沿ったシステム構築という部分のみを、技術を持つ外部のSEなどに発注するのが一般的だ。納品されたシステムが仕様通りに動作するかも、契約に基づいてユーザー企業が厳重にチェックする。

 ホストコンピュータなどがオープンシステムに移行し、現在はクラウドで稼動している。幾世代も進化を重ね、ユーザー自らが仕様を決め、自由にシステムを構築しやすくなったはずだった。しかし、日本に限ってはそうならなかった。これには、メーカーなど既存ベンダーが提供する(世界的には過剰ともいわれる)高いサービスレベルが背景にある。ユーザー企業にとっても、自社で人材を育成して仕様を決めるより、結果的にこの方が安上がりで都合がよかったわけだ。

 そして既存ベンダーは、その後もユーザー企業に対して、その時代の「最新のソリューション」と称した機器などを提供し続けた。既存ベンダーはユーザー企業が望めば、都度その対象の範囲を拡大させていく。

 黎明期のセキュリティ対策製品も例外ではなく、上述のシステム開発の延長線上で対応できていた。しかし、セキュリティ対策の方法も大きく変わった。攻撃手法やそのトレンドに関する情報収集を常にしながら、検知した攻撃に対して適切な対処が必要となった。運用の要らないセキュリティ対策など、もう通用しないのだ。

 またベンダーにとって、セキュリティ対策の主役が「開発」ではなく「運用」にある点も高いハードルだった。システム開発ベンダーにとっての主舞台は、新規や移行の「構築」フェーズだ。構築後の運用フェーズでは、技術者の人月単価とともに求められるスキルも下がる傾向があり、ベンダーにおいて運用は構築よりも”一段落ちる”とみなされていたのだ。

構築SE>運用SEの構図とセキュリティ人材''
構築SE>運用SEの構図とセキュリティ人材

 運用フェーズでは、機器の故障やバグなどによってシステム障害が起こり得ると想定されている(機器の24時間保守サポートなど)。しかし、サイバー攻撃などへの緊急対応は考慮されていない。いや、ユーザー企業はもちろんベンダーにおいても不測の事態には対処ができないため、考慮ができないと言った方が正しいだろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算