第39回 サイバー攻撃で変革を迫られた日本のIT業界事情:日本型セキュリティの現実と理想(2/4 ページ)
サイバー攻撃の巧妙化によって、従来のコンピュータメーカーや通信キャリア、SIerなどの情報システムベンダーではセキュリティ対策が難しくなってしまった。IT業界はセキュリティ人材やセキュリティ企業そのものを取り込む構造変革を進めているが、この業界の生き残り戦略とは何だろうか。
セキュリティ対策の成り立ちとIT業界の構造
その後、WindowsやLinuxなどのオープンなシステム環境が普及したこともあって、コンピュータメーカーは当時のような全範囲を扱うことは少なくなった。これはいわゆる、ダウンサイジングなどと呼ばれたコンピュータ導入におけるコストの圧倒的な低下という市場原理がもたらした現象だ。
しかし、日本の市場は欧米などと異なり、ユーザー企業の主導で情報システムの仕様を決めるような文化が育たず、その役割を引き続きコンピュータメーカーを含むシステムベンダーに依存する状況が続いた。そのため、最初の情報システムを構築したベンダーが、そのユーザー企業の業務とシステムに精通する“既存ベンダー”となった。それ以降の定期的なシステムのリプレイスを何度か経ても、システムの要件や仕様に大きな影響力を持ち続けている場合も多い。
つまり、ハードウェアやOS、ミドルウェアは各メーカーの純正製品から汎用的なものに変わったが、過去の経緯や業務とシステム環境に熟知している既存ベンダーの影響力は維持されたのだ。これ以降、ベンダーとユーザー企業の相互依存の構造による日本特有のIT業界の構造は続いた。もちろん、仕様や運用設計を自主的にできるスキルを得られたユーザー企業や、2000年代以降に多く立ち上がったWeb時代の新興企業はこの限りではないが、それでも市場全体ではまだ多く見られ、欧米などとはその状況は大きく異なる。
そして、セキュリティ対策もこのようなIT業界の構造と大きくは変わらない。なぜなら、結局は守るべきコンピュータやシステムの防御方法でしかないからだ。ただ、セキュリティ対策は非常に複雑で特殊なスキルが必要とされる分野である。そのため、新しいOSやミドルウェア、ネットワークなどの変遷に対応してきた既存ベンダーでも、セキュリティという分野があまり得意ではなく、これまで微妙な形で専業ベンダーとの棲み分けがなされてきたのだ。
それでも、以前なら情報漏えい事件や事故などの際に課題となった攻撃手法に対応できるセキュリティ対策製品(アンチウイルスソフトやファイアウォールなど)を導入するだけでも、ある程度防御できていた。情報システムの既存ベンダーはセキュリティ対策の製品候補を選定し、それによって一定レベルのセキュリティを保つことが可能だった。その意味で従来のセキュリティ業界は、IT業界全体と同じように、既存ベンダーが専業ベンダーの製品やサービス(場合によってはそれらの構築作業を含めて)の販売代理店となって、顧客であるユーザー企業に提供する構造が続いたのだ。
関連記事
- 第30回 日本の終戦までの最後の1年間とサイバーセキュリティの現状の共通点
日本は1945年8月15日に終戦を迎えた。日中戦争に始まる戦いの末期は防戦一方となり、生命線として定めた境界線を突破される状況に追い込まれた。日本にとってこの大きなターニングポイントから、現在のサイバーセキュリティを考えてみたい。 - 第36回 IoT機器のセキュリティ対策はだれがやる?
IoTのセキュリティ対策の中でコンシューマー機器は急を要するが、対策は簡単には進まない。JNSAの「コンシューマ向けIoTセキュリティガイド」にある対策の担い手や視点から、コンシューマーIoT機器におけるセキュリティの方向性を解説する。 - 第27回 ガンダムの「ミノフスキー粒子」がもたらす世界とサイバーセキュリティの共通点
以前に「機動戦士ガンダム」に登場するモビルスーツから「セキュリティ戦略」を解説して好評をいただいたが、再びガンダムの世界観を支える「ミノフスキー粒子」を題材に現状を説明してみたい。一見、全く関係のないガンダムとセキュリティだが、現実の世界とは異次元のサイバー空間の攻撃の本質を理解する一助になれば幸いである。 - 第26回 「標的型攻撃対策」ブームの終わりとその先にあるもの
ここ数年のセキュリティ対策では「標的型攻撃」ブームが続いていたが、もはや“食傷気味”の感じだ。この連載がスタートして1年が経ち、筆者が伝えたかったことやセキュリティ業界の動向を振り返りながら、その先を考察したい。
Copyright © ITmedia, Inc. All Rights Reserved.