日本企業のセキュリティプラットフォームのあり方
日本企業のセキュリティプラットフォームのあり方を考える上で、「日本流に問題あり」とするのであれば、結論はアメリカ流に変えることになってしまうが、日本の雇用慣習を変え人材を流動化させ、ITやセキュリティ人材をユーザー企業側に配置し、ユーザー企業が全て内製化することが、そう簡単に実現できるとは思えない。できるとしても相当に時間を要するだろうから、とても待っていられないだろう。
過去、日本のユーザー企業も情報システムの内製を実施していたが、大きなIT化の流れと、バブル崩壊などを経験し、日本独自の「SIer」ビジネスが確立され今に至っており、これを覆すような動きはすぐには期待できない。ではどうするかとなると、「日本流を改善する」となるだろう。
ユーザー企業は、まずは業務フローを標準化し、アウトソースや自動化の検討を推進するのが第一歩だろう。次に、「IT企業やインテグレーターに丸投げをしたい」と思うところなのだが、丸投げの対象となるシステムの開発や運用がなくなれば、「丸投げする」ことを考える必要もなくなる。これまでSIによるプロジェクト開発や運用でユーザー企業が得てきた機能を、IT企業やインテグレーターがクラウドを用いてシステム構築し機能として提供することで、サービスとして契約できればよいはずだ。IT企業のサービス機能がクラウドを活用して実装されれば、その機能を利用するユーザー企業はセキュリティの責任共有など、悩むことなくクラウドの利活用が実現される。
IT企業は、これまでSIビジネスとしてプロジェクトを組み、要件定義から設計、構築、納品の後、プロジェクトを解散していたモデルから、継続的にクライアントのITプラットフォームを支えるサービス提供モデルを創出できると、「日本流」が変わっていくと考える。
日本のユーザー企業は、IT企業に委ねることが型としてできあがっているのであれば、戦略や構想、機能の提供、運用維持、リスクの受容までも含めて、IT企業に委ねていくのも一つの考えだろう。
日本のセキュリティプラットフォームは、ユーザー企業に代わり、IT企業がユーザー企業のリスクマネージメントも含めた「サービス機能」として提供されることを期待しても良いと考える。
おわりに
5回にわたり、日本企業がおかれている状況とセキュリティの在り方について考察してきたが、グローバルでのデファクトスタンダードを考慮しながらも、ビジネスを止めずに変革に適応していくことが大前提である。
日本におけるクラウドの利活用やゼロトラストセキュリティは、IT企業が実現し、IT企業がその実現結果をユーザー企業のビジネスの継続を支援する機能として提供する、ユーザー企業は企業の個別業務への対応を求めるのではなく業務を標準化し、提供される機能に業務内容を合わせていく、など日本の雇用慣習や従前の考えに近いビジネスモデルが生みだされることで「日本流の改善」にもつながる日本型のあり方となるのではないだろうか。
- 倉橋 孝典(くらはし たかのり)
- クニエ サイバーセキュリティ対策/CISOサポート担当
- ディレクター
- 大手サービスプロバイダーにてサイバーセキュリティ対策やITアーキテクトとしての実務経験を経て現職。ITインフラやセキュリティテクノロジーに精通し、情報システム部門や情報セキュリティ部門、ITサービス事業社のサイバーセキュリティ対策や設計支援、各種認定取得支援、セキュリティ規程整備などのプロジェクトをリードし、CISOをサポートする。また、QUNIEセキュリティラボを運営し、新たなクラウド環境やセキュリティ動向の研究とソリューション開発をリードする。
