本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
これまで「職業としてのセキュリティ」と掲げながら、セキュリティというより日本のIT市場が世界の中で独特な進化を遂げている点を述べてきた。なぜなら、セキュリティ業界は成立してまだ日が浅く、現在のセキュリティ業界を構成している主要メンバーのほとんどが当初はIT業界に入り、そこからセキュリティ業界に“転身”したという経歴をたどっているからだ。
“転身”という表現を使ったが、実際には筆者を含めたセキュリティ業界に属する人の中で、明確に転身した意識を持つ人はそれほど多くはない。むしろ、今でも「IT基盤の構築や運用がメインだ」と言っている人が少なくない。ただ、セキュリティに関する市場のニーズが高まりセキュリティ関連の業務の割合が次第に増えてしまったため、「気が付いたらセキュリティにどっぷりと浸かっていた」というのが本当のところではないか。
そもそも、セキュリティ業界はずっとIT業界の一部だった時代が長く、1つの業界と見なされるようになったのは、せいぜいこの十数年ほどでしかない。そのため、セキュリティ業界の話をするために、その母体となったIT業界の説明が必要だったのである。
今回は、日本のIT分野の技術軽視によってユーザー企業(IT製品・サービスを調達し利用する企業)が陥った状況に触れつつ、サイバー攻撃の脅威で大きな被害を受けるようになったことが何を意味するのかを述べていく。
バブル崩壊後の不況下でユーザー企業に起きたこと
前回の記事で示したように、日本企業のほとんどは、「ITによるビジネスモデルの刷新」よりも「効率化のためのIT導入」を重視した。これには、1990年代の「バブル崩壊」に端を発した日本経済の構造的な不況の時期と重なったことが背景にあり、企業体力の回復を最優先しなければならなかったという切実な理由もあった。
そのため、日本企業のほとんどは短期的なキャッシュフローを重視し、“ITの可能性”を「効率化のためのツール」という位置付けにとどめた。むしろ、その本質は「コスト削減」と言った方がより適切かもしれない。とにかくユーザー企業のほとんどは、既に目の前に存在していたITの利用目的を「コスト削減」に特化する選択をした。
そして、本来は企業にとって必要だったはずの「ITによってビジネスモデルを刷新する」という中長期的なIT戦略は放置されることになった。これは、その後の「失われた30年間」を知っているわれわれの感覚で見ると、非常に安易な選択だったように映る。ただ、不動産収益など営業外の利益に振り回された浮かれたバブル経済から急転直下で先の見えない不況になった当時の状況からすると、仕方のない面もあった。
「ITへの知見」と時間のかかる「技術者の育成」というのは、ITが中心となった現在において非常に重要だが、上述の経緯によってユーザー企業のほとんどは、それらの重要なピースを失った。
もちろん、それ以前にITをベンダーに丸投げしていたユーザー企業も少なからず存在したが、システムの開発・運用のためのグループ会社を持つ体力のある大企業までも、それに追随したことが大きかった。
結局は、ほとんどのユーザー企業で最低限の運用を担当する情報システム部門などを除いてIT人材がいなくなってしまった。同時に、経営戦略的にITを活用することを考える人材もユーザー企業からいなくなり、多くの日本企業でIT活用がうまくいかない状況が散見されるようになった。
今思えば、自社の課題を把握もせずに海外市場でヒットしたITソリューションを盲目的に導入することがIT活用そのものになったのもこの頃だ。自社でITを活用できない状況であるから、自然と“隣の芝”が青く見えたのだろう。