本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
前回と前々回の記事では、東京五輪のような国際的なビッグイベントの後に、その前までの好景気に対する一定の反動が生じるも、その確率は減ってきていることを取り上げた。その一方、現代のインターネット社会ではビッグイベント開催期間に合わせたサイバー攻撃のリスクの高まりに対して企業の危機意識は高まっておらず、それが非常に大きな問題となる恐れがあることについて述べた。今回は、日本のセキュリティ市場の成り立ちやその傾向をひも解きながら、この問題をもう少し深掘りしていきたい。
事件や事故で拡大したセキュリティ業界
戦後、日本は奇跡と呼ばれるレベルの高度経済成長を遂げ、世界第2位の経済大国になった。しかし、それは過去の話となり、この20~30年はほとんど成長していない。成長著しい新興国には、大航海時代のスペインやポルトガル、産業革命期の英国もかつてそうだったように全盛期を過ぎた国家に映るだろう。その低成長の日本においてサイバーセキュリティ業界は、数少ない成長分野であり、日本において、直近10年ほどで最も拡大した分野の一つだろう。
なぜ、セキュリティ分野がこのような拡大を遂げられたのだろうか。まず、セキュリティだけでなくIT分野全体が好調だった。そのほかにも幾つか要因はあるが、セキュリティ市場が拡大する最大の要因は「大きな事件や事故」の発生だ。この10年間に多くのサイバー攻撃などによる事件や事故が発生した。特に大きかったのは、2011年の国内防衛産業を狙った標的型攻撃事件、そして2015年の日本年金機構への不正アクセスによる情報流出だ。これらの事件や事故により、一般の人にもサイバー攻撃の脅威がごく当たり前のこととして認識されるようになった。
脅威の認識が一般化すると、拡大スピードはどんどん加速する。一定レベルの危機意識を持った企業や組織では、直接的な事件や事故の報道はもちろん、OSやミドルウェアの脆弱性が発見されただけでも、その都度「ウチは大丈夫か?」という質問が経営者や管理者からシステムの現場に多く寄せられるようになる。もちろん、それらの全てが大きなリスクに直結するものではないが、質問や確認が繰り返されることで、サイバー攻撃の脅威とその対策検討が組織の中の日常風景となる。
さらに、経済産業省とその外郭団体である情報処理推進機構(IPA)から2015年に公開された「サイバーセキュリティ経営ガイドライン」が決定打となった。ここでいう“決定打”とは、このガイドラインに「サイバーセキュリティは企業経営者がリーダーシップを持って対処する」という記述だ。つまり、万一サイバー攻撃を受けた場合、その責任は経営にあるという事実を政府が公式に表明したことになる。これによって、経営者ののど元にセキュリティ対策の責任が突き付けられた格好となった。正直、このガイドラインに書かれた内容はごく当たり前なものばかりだが、公開のタイミングを含めて非常に意義のあるものになった。
今日の“セキュリティブーム”が生じた背景
このように、企業や組織がサイバー攻撃による事件や事故、脆弱性の報道などによって危機意識を持ちはじめたところで、政府から被害時の責任が経営者に属するということが明言された。この様な経緯で、システム部門の危機意識から10年ほど遅れて企業の組織全体と経営が動いたということになる。そして、経営者の具体的な次の一手は、サイバー攻撃の脅威が自社に及んだ場合に備えたセキュリティインシデントのための対応機能である「Computer Security Incident Response Team(CSIRT)」の設置だった。さらに、それを束ねる役割を持った「最高情報セキュリティ責任者(CISO)」を任命することも併せて一般的となった。その動きは、ここ数年の日本シーサート協議会(NCA)の会員数の推移を見ると一目瞭然だ。
