人材不足の背景から考える--日本独自のセキュリティプラットフォームのあり方

　最終回となる今回は、これまでを総括しながら、日本企業のセキュリティプラットフォームのあり方を考えてみたい。

　まず、これまでの論点を簡単にまとめると以下となる。

• コロナ禍で加速したテレワークなどによるデジタルワークプレイスの推進で、旧来の境界型セキュリティの限界に関する議論が活発化している。（第1回）
• 境界内も含めたセキュリティ対策の実践を、アメリカ国立標準技術研究所の「Cybersecurity Framework Version 1.1」（NIST CSF）などのデファクトスタンダードをベースラインにして推進することが重要である。（第2回）
• 新たなセキュリティモデルであるゼロトラストに着目し、ビジネスモデルの変革とセキュリティレベルの向上につなげていく必要がある。（第3回）
• 日本のクラウドコンピューティングの導入はアメリカなどに比べかなり遅れている。その現状を認識すると同時に、オンプレミスの責任共有モデルとは異なる「クラウド責任共有モデル」を理解し、スキル、体制、仕組みを整え、ゼロトラストセキュリティなどを推進していく必要がある。（第4回）

　この環境下で日本企業は、クラウドコンピューティングをビジネス変革の原動力として利活用し、デジタルワークプレイスの推進と同時にセキュリティリスクを最小化させたいと考えているのではないだろうか。上記のような課題がある中で、日本企業がサイバーセキュリティの脅威から情報資産を守り、ビジネス変革を推進していくためのセキュリティプラットフォームを考察する。

日本におけるIT人材、セキュリティ人材の構造

　ゼロトラストセキュリティにせよ、クラウド活用にせよ、それを推進できる人材がいなければ実現できない。日本において、ITに関わる人材はどこに所属しているのだろうか。独立行政法人情報処理推進機構（IPA）の「IT人材白書2017（PDF）」では、情報処理、通信に携わる人材がIT企業かそれ以外の企業のいずれに属しているかを示している。（図1）

図1： ITとそれ以外の企業に所属する情報処理、通信に携わる人材の割合（日本、アメリカ、イギリス、ドイツ、フランス：2015年、カナダ：2014年）（出典：IPA）

　同様に、セキュリティ人材に関して、NRIセキュアテクノロジーズが図2のようなアンケート集計結果を公開している。

図2：セキュリティ人材の充足状況（出典：NRIセキュアテクノロジーズ）

　比較対象のアメリカ、シンガポールが、80％以上の企業がセキュリティ人材は充足していると感じているのに対し、日本では90％近くの企業がセキュリティ人材不足と回答している。セキュリティ人材不足は、日本特有の問題なのかもしれない。

　日本では、IT人材やセキュリティ人材が不足していると言われ続けているが、それに関わる人材がIT企業に集中的に所属していることと、併せて人材の流動性が低い雇用慣習が人材不足の要因の一つになっていると考えられる。ユーザー企業は、人材を確保したくても、人材が流動しない日本社会においては人材確保すらできないのである。

　結果、アメリカ流は「企画、設計、開発、運用をユーザー企業側が行い、インテグレーターは納品や一部の支援にとどまる」、日本流は「インテグレーターに全てを丸投げする」という違いが生まれている。クラウドの自己運転やゼロトラストセキュリティも、アメリカ流を前提に考え出されていると言っても良いものであることから、日本においてクラウド利用率が上がらないといった結果が出るのはむしろ当然かもしれない。

　とはいえ、コロナ禍によって、新たなワークスタイルとしてデジタルワークプレイスが推進検討され、同時にサイバーセキュリティへの脅威対策として、ゼロトラストセキュリティのような新たなモデルを迅速に検討せねばならない状況下で、日本企業はどう対処していけばいいのだろうか。