第39回 サイバー攻撃で変革を迫られた日本のIT業界事情：日本型セキュリティの現実と理想（2/4 ページ）

[武田一城，ITmedia]

セキュリティ対策の成り立ちとIT業界の構造

　その後、WindowsやLinuxなどのオープンなシステム環境が普及したこともあって、コンピュータメーカーは当時のような全範囲を扱うことは少なくなった。これはいわゆる、ダウンサイジングなどと呼ばれたコンピュータ導入におけるコストの圧倒的な低下という市場原理がもたらした現象だ。

　しかし、日本の市場は欧米などと異なり、ユーザー企業の主導で情報システムの仕様を決めるような文化が育たず、その役割を引き続きコンピュータメーカーを含むシステムベンダーに依存する状況が続いた。そのため、最初の情報システムを構築したベンダーが、そのユーザー企業の業務とシステムに精通する“既存ベンダー”となった。それ以降の定期的なシステムのリプレイスを何度か経ても、システムの要件や仕様に大きな影響力を持ち続けている場合も多い。

　つまり、ハードウェアやOS、ミドルウェアは各メーカーの純正製品から汎用的なものに変わったが、過去の経緯や業務とシステム環境に熟知している既存ベンダーの影響力は維持されたのだ。これ以降、ベンダーとユーザー企業の相互依存の構造による日本特有のIT業界の構造は続いた。もちろん、仕様や運用設計を自主的にできるスキルを得られたユーザー企業や、2000年代以降に多く立ち上がったWeb時代の新興企業はこの限りではないが、それでも市場全体ではまだ多く見られ、欧米などとはその状況は大きく異なる。

　そして、セキュリティ対策もこのようなIT業界の構造と大きくは変わらない。なぜなら、結局は守るべきコンピュータやシステムの防御方法でしかないからだ。ただ、セキュリティ対策は非常に複雑で特殊なスキルが必要とされる分野である。そのため、新しいOSやミドルウェア、ネットワークなどの変遷に対応してきた既存ベンダーでも、セキュリティという分野があまり得意ではなく、これまで微妙な形で専業ベンダーとの棲み分けがなされてきたのだ。

　それでも、以前なら情報漏えい事件や事故などの際に課題となった攻撃手法に対応できるセキュリティ対策製品（アンチウイルスソフトやファイアウォールなど）を導入するだけでも、ある程度防御できていた。情報システムの既存ベンダーはセキュリティ対策の製品候補を選定し、それによって一定レベルのセキュリティを保つことが可能だった。その意味で従来のセキュリティ業界は、IT業界全体と同じように、既存ベンダーが専業ベンダーの製品やサービス（場合によってはそれらの構築作業を含めて）の販売代理店となって、顧客であるユーザー企業に提供する構造が続いたのだ。