その他セキュリティ クニエ

人材不足の背景から考える--日本独自のセキュリティプラットフォームのあり方

日本企業がサイバーセキュリティの脅威から情報資産を守り、ビジネス変革を推進するためにはどうすればいいだろうか。クニエでディレクターを務める倉橋氏が考察する。

 最終回となる今回は、これまでを総括しながら、日本企業のセキュリティプラットフォームのあり方を考えてみたい。

 まず、これまでの論点を簡単にまとめると以下となる。

  • コロナ禍で加速したテレワークなどによるデジタルワークプレイスの推進で、旧来の境界型セキュリティの限界に関する議論が活発化している。(第1回)
  • 境界内も含めたセキュリティ対策の実践を、アメリカ国立標準技術研究所の「Cybersecurity Framework Version 1.1」(NIST CSF)などのデファクトスタンダードをベースラインにして推進することが重要である。(第2回)
  • 新たなセキュリティモデルであるゼロトラストに着目し、ビジネスモデルの変革とセキュリティレベルの向上につなげていく必要がある。(第3回)
  • 日本のクラウドコンピューティングの導入はアメリカなどに比べかなり遅れている。その現状を認識すると同時に、オンプレミスの責任共有モデルとは異なる「クラウド責任共有モデル」を理解し、スキル、体制、仕組みを整え、ゼロトラストセキュリティなどを推進していく必要がある。(第4回)

 この環境下で日本企業は、クラウドコンピューティングをビジネス変革の原動力として利活用し、デジタルワークプレイスの推進と同時にセキュリティリスクを最小化させたいと考えているのではないだろうか。上記のような課題がある中で、日本企業がサイバーセキュリティの脅威から情報資産を守り、ビジネス変革を推進していくためのセキュリティプラットフォームを考察する。

日本におけるIT人材、セキュリティ人材の構造

 ゼロトラストセキュリティにせよ、クラウド活用にせよ、それを推進できる人材がいなければ実現できない。日本において、ITに関わる人材はどこに所属しているのだろうか。独立行政法人情報処理推進機構(IPA)の「IT人材白書2017(PDF)」では、情報処理、通信に携わる人材がIT企業かそれ以外の企業のいずれに属しているかを示している。(図1

図1: ITとそれ以外の企業に所属する情報処理、通信に携わる人材の割合(日本、アメリカ、イギリス、ドイツ、フランス:2015年、カナダ:2014年)(出典:IPA)
図1: ITとそれ以外の企業に所属する情報処理、通信に携わる人材の割合(日本、アメリカ、イギリス、ドイツ、フランス:2015年、カナダ:2014年)(出典:IPA)

 グラフでは、日本だけ所属構造が逆転していることがわかる。半分以上のIT人材がユーザー企業に属している欧米と比較して、70%以上がIT企業に人材が集中している。ITに関わる要素をIT企業に委ねる動きになるのは当然だろう。クラウドは利用者責任領域の自己運転(管理、運用)が原則と言われては、クラウドを利活用したくとも移行できないというのが実情かもしれない。

 同様に、セキュリティ人材に関して、NRIセキュアテクノロジーズが図2のようなアンケート集計結果を公開している。

図2:セキュリティ人材の充足状況(出典:NRIセキュアテクノロジーズ)
図2:セキュリティ人材の充足状況(出典:NRIセキュアテクノロジーズ)

 比較対象のアメリカ、シンガポールが、80%以上の企業がセキュリティ人材は充足していると感じているのに対し、日本では90%近くの企業がセキュリティ人材不足と回答している。セキュリティ人材不足は、日本特有の問題なのかもしれない。

 日本では、IT人材やセキュリティ人材が不足していると言われ続けているが、それに関わる人材がIT企業に集中的に所属していることと、併せて人材の流動性が低い雇用慣習が人材不足の要因の一つになっていると考えられる。ユーザー企業は、人材を確保したくても、人材が流動しない日本社会においては人材確保すらできないのである。

 結果、アメリカ流は「企画、設計、開発、運用をユーザー企業側が行い、インテグレーターは納品や一部の支援にとどまる」、日本流は「インテグレーターに全てを丸投げする」という違いが生まれている。クラウドの自己運転やゼロトラストセキュリティも、アメリカ流を前提に考え出されていると言っても良いものであることから、日本においてクラウド利用率が上がらないといった結果が出るのはむしろ当然かもしれない。

 とはいえ、コロナ禍によって、新たなワークスタイルとしてデジタルワークプレイスが推進検討され、同時にサイバーセキュリティへの脅威対策として、ゼロトラストセキュリティのような新たなモデルを迅速に検討せねばならない状況下で、日本企業はどう対処していけばいいのだろうか。

「その他セキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. マンガでわかる「ルール駆動開発」レガシーモダナイズを成功させる開発手法を基礎から理解する
  2. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  3. APIエコシステムを狙うサイバー攻撃が急増、Webアプリにおける最新のAPIセキュリティ対策とは?
  4. クラウドやコンテナ利用が増える中、世界の企業が利用するAPI経由の安全なアプリ構築手法とは?
  5. ウェビナーによる営業活動が本格化、顧客接点が増加する一方で見えてきたハードルと解決策とは?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]