· 

JUAS 企業IT動向調査報告書2021から今を読む その2

松田 幸裕 記


新型コロナウイルスの新規感染者が減少傾向にあります。しかし、既に人の流れが増えてきており、このまま緊急事態宣言を解除してもすぐ感染者が増える可能性は高く、心配ですね。ただ、十分なデータ蓄積もなく、政府や自治体は適切な意思決定ができず、人々の緩みは抑えられない状態のため、ワクチン接種が広がるまではだましだましの策で行くしかなさそうですね。

情報番組やニュースではオリンピック・パラリンピックへの批判が激しさを増しています。あまりにも一方的な論調で、これをオリンピック・パラリンピックの出場選手たちが見たらどう感じるのだろうか…と思うと心が痛くなるので、最近はこういうテーマになるとテレビのチャンネルを変えるようにしています。一つの番組でも、スポーツコーナーでは「五輪出場、おめでとうございます!」と選手にエールを送りつつ、ニュースコーナーでは「五輪を開催する前提はおかしい!五輪の意義は?!」と批判するような場面も見られます。さすがにこういう場面を見ると、もうこの人達が言うことは信用できない…と思ってしまいますね。何が善で何が悪なのか、人それぞれ異なるものですが、自身でしっかり考えて言動や行動に一貫性を持たせたいですね。

本題に入ります。前回の投稿「JUAS 企業IT動向調査報告書2021から今を読む その1」では、JUAS(一般財団法人 日本情報システム・ユーザー協会)から公開された「企業IT動向調査報告書 2021」より、経営課題にまつわる傾向について考察しました。本投稿では視点を変えて、セキュリティについて考えてみたいと思います。

報告書から見えるセキュリティの傾向

本報告書にはセキュリティに関連する各種調査が行われています。ここから見える主な傾向は以下です。

  • セキュリティが経営課題と認識されている割合が増加
  • デジタル化に向けて、セキュリティのリスク評価が不十分であると認識されている割合が高い
  • 情報セキュリティ関連費用はこれまで以上の増加が見込まれている
  • ゼロトラストセキュリティなど新たな技術対策の見直しや強化は、企業規模が大きいほど対策が推進される見通し
  • すべての情報セキュリティの役割において、人材の不足状況が悪化している

いずれも驚くような結果ではなく、皆さんも頷ける内容ばかりではないでしょうか。

セキュリティ人材を確保できれば課題は解決できるのか?

上記の傾向の一つとしてセキュリティ人材不足の悪化があります。セキュリティ統括責任者、セキュリティ管理者、セキュリティ担当者などすべての役割において人材が不足しているという現状のようです。

ただ、いろいろな企業ITの実情を見てきた中では、人材を確保できれば解決できるのか、少々疑問を感じます。もちろん人材がいるに越したことはないのですが、人材がいても十分に機能していなければ、効果は薄くなってしまいます。

役割の明確化による副作用

本報告書によると、情報セキュリティに対応する部門はIT部門であるという割合が特に高く、88.2%となっており、セキュリティ専門の部門というのは少ないようです。ただ、おそらくIT部門の中でも、「IT部門内のセキュリティ担当チーム」が存在するというパターンも多いのではないでしょうか。

セキュリティ脅威の増大、セキュリティ対策の重要性を考えると、セキュリティ専門の部隊を置いて情報の集約や戦略の統一を行っていくことも必要ですが、専門部隊を置くことによる副作用もあるため、注意が必要ではないかと思っています。セキュリティという役割の人がいると、それ以外の人は「セキュリティのことは考えなくていい人」になる可能性があります。本来は中心にセキュリティ専門部隊がいて、その他のIT関係者もセキュリティの知識や意識を持つことで対策が最適化されますが、役割を明確化してしまうことでその他の人が「自分にはその役割・責任がない」と思ってしまい、逆効果に陥る場合もあります。

例:IT導入におけるセキュリティ要件定義

以前の投稿「効果的なIT導入に向けて ~セキュリティ要件定義~」で、IT導入におけるセキュリティ要件定義について触れました。導入ベンダーは導入がゴールのため、セキュリティリスクという観点があまりなく、その状態のまま要件定義を進めることが多いです。正しくセキュリティ対策されたIT導入を行うためには、ITのユーザー企業側で自社のセキュリティ方針に基づき、各セキュリティリスクを加味した対策の整理が必要です。この際、セキュリティリスクの整理には網羅性が必要なため、このためのテンプレートなどはセキュリティ専門の部門で標準的なものを作成するべきです。ただ、すべての要件定義にセキュリティ担当者が参画するのは非現実的なため、実際にテンプレートを使ってリスクの整理を行い導入ベンダーと共に対策を考えるのは、IT導入のプロジェクトメンバーであるべきです。

そう考えると、まず中央にセキュリティ専門部隊は必要で、彼らはセキュリティの標準を定義し、各IT導入で利用するテンプレートなども標準化します。そしてIT部門も全員セキュリティのスキルが一定以上必要で、専門部隊が作成したテンプレートなどを使ってセキュアなIT導入を進めていくことになります。

現実には、「セキュリティ部門が作成する規約の内容が非現実的」、「セキュリティ部門と現場のIT部門との主張が折り合わない」など細かい課題もあり、簡単ではありませんが、どのような形を理想形として人材確保や育成を行っていくかを考え、推進していく必要があると思っています。