第24回 中小企業のセキュリティ対策はなぜ難しい？ サイバー攻撃から読み解くと……：日本型セキュリティの現実と理想（3/3 ページ）

[武田一城，ITmedia]

取り残された中小企業のセキュリティ対策

　話は少し戻る。2011年の標的型攻撃事件をきっかけに、セキュリティ対策は侵入を防ぐための対策から、壁に囲まれた内部に侵入されてもそれを防御できる対策にシフトしている。当初は的外れな標的型対策ソリューションが散見されたものの、事件から5年が経って徐々に淘汰され、危機意識や高いレベルのセキュリティ対策をしてきたグローバル企業はもちろん、一定規模の企業などでは、だいぶこなれた対策の実施例が出てきている。

　しかし、これには多くのコストがかかる。製品などの導入は当然として、内部に潜入されているかどうかを監視する仕組みも必要になったからだ。これは防犯センサーや警備会社などのサービスと似ているが、目には見えないサイバー攻撃を相手にする点が大きく異なる。見えるようにするには技術が必要だ。

　セキュリティ人材が足りないともいわれ続けており、2016年5月19日には「サイバー防衛で20万人不足」と報道された。このセキュリティ人材は、「目に見えないサイバー攻撃を見えるようにする技術者」と言い換えても間違いはない。しかし、そんな人材はIT技術者の中でもほんの一部しかいない。

　希少な技術者（セキュリティ人材）は、業務システムなどの担当の技術とは異質のもので、「システム担当者だから……」と兼務させるのは難しい。そこで「専任のセキュリティ担当者が必要」という論理になるが、「先行き不透明」と評される経済状況の中で、ましてやほとんどの中小企業の財務状況でそれが許されるとは到底思えない。だからこそ、セキュリティ対策が可能な企業と“そうでない企業”の格差は広がってしまう。残念だが、中小企業のほとんどは、“そうでない企業”に分類されてしまうだろう。

　2016年4月に、長崎県立大学に赴任された加藤雅彦教授は以前の講演で「セキュリティ対策は費用から投資へ」という内容のことを話されていた。筆者はこの言葉が中小企業のセキュリティ対策の現状を端的に表していると考える。

　セキュリティ対策が投資になるということは、将来的に戦略的なリターンが必要になるということだ。しかし、中小企業では投資に必要な「カネ」がない。そして、何より「ヒト」がいないというのが非常に厳しい。戦略的にどう投資をしていくのかはもちろん、なぜこの投資が必要かを判断し、意思決定することができない。

　「経営リソースの要素はヒト・モノ・カネに情報を加えた4つ」と言われて久しいが、中小企業は本業ですらこの全てが潤沢とは言いにくい。当然、本業ではないセキュリティ対策の投資へのハードルはさらに上がってしまう。このような理由から中小企業のセキュリティ対策は難しいのだ。

　それでも、中小企業だからセキュリティ対策をしなくてよいと言う理由にはならない。もし、筆者にそのミッションが与えられたらギブアップしてしまうだろう。そんな非常に難しい問題ではあるが、現代のビジネスにおいてITが必要不可欠なものなっているように、現在の経営環境でセキュリティ対策という経営課題を疎かにするわけにはいかない。

　次回は、大企業よりも格段に制約が多く難易度の高い中小企業がセキュリティ対策にどう向き合っていけよいかを考察していきたい。

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）