最終回となる今回は、これまでを総括しながら、日本企業のセキュリティプラットフォームのあり方を考えてみたい。
まず、これまでの論点を簡単にまとめると以下となる。
- コロナ禍で加速したテレワークなどによるデジタルワークプレイスの推進で、旧来の境界型セキュリティの限界に関する議論が活発化している。(第1回)
- 境界内も含めたセキュリティ対策の実践を、アメリカ国立標準技術研究所の「Cybersecurity Framework Version 1.1」(NIST CSF)などのデファクトスタンダードをベースラインにして推進することが重要である。(第2回)
- 新たなセキュリティモデルであるゼロトラストに着目し、ビジネスモデルの変革とセキュリティレベルの向上につなげていく必要がある。(第3回)
- 日本のクラウドコンピューティングの導入はアメリカなどに比べかなり遅れている。その現状を認識すると同時に、オンプレミスの責任共有モデルとは異なる「クラウド責任共有モデル」を理解し、スキル、体制、仕組みを整え、ゼロトラストセキュリティなどを推進していく必要がある。(第4回)
この環境下で日本企業は、クラウドコンピューティングをビジネス変革の原動力として利活用し、デジタルワークプレイスの推進と同時にセキュリティリスクを最小化させたいと考えているのではないだろうか。上記のような課題がある中で、日本企業がサイバーセキュリティの脅威から情報資産を守り、ビジネス変革を推進していくためのセキュリティプラットフォームを考察する。
日本におけるIT人材、セキュリティ人材の構造
ゼロトラストセキュリティにせよ、クラウド活用にせよ、それを推進できる人材がいなければ実現できない。日本において、ITに関わる人材はどこに所属しているのだろうか。独立行政法人情報処理推進機構(IPA)の「IT人材白書2017(PDF)」では、情報処理、通信に携わる人材がIT企業かそれ以外の企業のいずれに属しているかを示している。(図1)
図1: ITとそれ以外の企業に所属する情報処理、通信に携わる人材の割合(日本、アメリカ、イギリス、ドイツ、フランス:2015年、カナダ:2014年)(出典:IPA)
グラフでは、日本だけ所属構造が逆転していることがわかる。半分以上のIT人材がユーザー企業に属している欧米と比較して、70%以上がIT企業に人材が集中している。ITに関わる要素をIT企業に委ねる動きになるのは当然だろう。クラウドは利用者責任領域の自己運転(管理、運用)が原則と言われては、クラウドを利活用したくとも移行できないというのが実情かもしれない。
残り本文:約2290文字 ログインして続きを読んでください。
