第39回 サイバー攻撃で変革を迫られた日本のIT業界事情：日本型セキュリティの現実と理想（4/4 ページ）

[武田一城，ITmedia]

日本に必要な情報システムとセキュリティベンダーの融合

　ベンダー主導による情報システムの構築と運用という日本特有の業界構造にセキュリティ対策も加わったことは、従来の仕組みの延長線に過ぎないという見方もできるだろう。さらに、「情報を厳重に管理する責任を持ったユーザー企業自身がすべきだ」という意見も筋が通っているが、筆者は少なくとも猛威を振るうサイバー攻撃への対策が一歩進んだことを素直に喜びたい。

　しかし日本には、そのようなユーザー企業や各種組織が自身でリスクを管理していく文化がまだ成熟していない。染み付いた組織文化のようなものは、一朝一夕に変わるものではなく、時間がかかるものだ。日本の企業や各種組織がこれからCISO（情報セキュリティに関する最高責任者）を任命し、それを頂点としたCSIRT（コンピュータセキュリティ事故対応チーム）などの体制を整備し、それらによってセキュリティ対策が機能するまでには、まだ時間がかかる。そして、もちろん攻撃者は防御側の準備が整うまで待つはずもない。

　既存ベンダーがセキュリティ対策に重点を置いた情報システムの提供に本腰を入れ始めたこの数年の動きは、日本にとって良いことだ。むしろ、今の日本の業界構造や環境ではこの方法しかないのかもしれない。まずは既存ベンダー側に体制や人材を集め、そこで可能な限りの対策を実行する。並行してユーザー企業もリスク管理とセキュリティ対策に関する知見や人材を整えることができれば、より堅固な防御の仕組みが構築されていくだろう。

　現在のセキュリティ業界におけるこうした動きは、ある意味でユーザー企業などと一体化してきた日本の既存ベンダーの生き残り戦略であり、ユーザー企業などにとっても、日本の重要な情報資産を守る上で効果的なセキュリティ対策である。欧米などとは異なる日本特有の業界構造においては、微妙に棲み分けられてきた情報システム分野とセキュリティ分野の融合が、猛威を振るうサイバー攻撃に対処する有効なステップだ。もちろん、これが理想形ではないかもしれないが、日本が重要な情報資産を守るために欠かせない変化である。

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）