企業において、情報漏洩をはじめとするセキュリティ対策や、地震・局所豪雨・新型インフルエンザなどのリスクマネジメントに対する関心は相変わらず高い状況である。だが、昨今の傾向として、計画から実施までの期間が長くなってきている。今後のセキュリティ案件においては、単体製品の導入ではなく、全体最適の視点から、セキュリティ基盤構築を目指すべきだ。
これまでの代表的なセキュリティ対策ソリューションとしては、2005年頃から提供されてきた情報漏洩対策ソフト(統合型セキュリティソフトウエア)がある。このソリューションは、個人情報保護法の開始が、2005年4月1日と期限が切られていたために計画から実施までの時間が短かかった。
日本のセキュリティやリスクマネジメントを取り巻く環境はこれまで、日本独自に育ってきた。例えば、ISMS(現在ISO27001)などの認証制度は、海外に先んじて普及し、認証取得に関連したシステムインテグレータや多くの国産小規模ベンダーが生まれた。結果、国内のセキュリティベンダーは、約半数が国産ベンダーである。他のIT分野と比較すると、日本独自の業界ルールが作り易く、小規模ベンダーにとってみれば、参入障壁も低い状況にあったわけだ。
しかし、ユーザー企業のニーズは、昔のような日本独自性の強い「売り切り案件」から、世界標準の「継続的案件」に変わりつつある。例えば、2009年には、統合ID管理(ユーザープロビジョニング=UP)や統合ログ管理(SIEM)への取り組みや問合せの増加が目立った。2005年の個人情報保護法の際に購入した統合型セキュリティソフトウエアを見直す企業も出始めている。
IT全般を見た場合、仮想化やクラウドといった、次世代インフラストラクチャへの期待が非常に高まり、それに取り組む企業も増えている。ガートナーITデマンド・リサーチが2008年11月に実施した「サーバ仮想化の導入状況」に関する調査によれば、従業員数2000人以上では、「利用中/導入中」が39.3%、「新規導入予定」が23.2%あった。
ただ、仮想化環境におけるセキュリティ対策を実施している企業となると、1桁になってしまう。今後は、仮想化環境を意識したセキュリティ対策の実施が増加するものと考えられる。
セキュリティ対策のコスト最適化も、ユーザー企業における大きな課題である。セキュリティ環境を共有し、共同監視する「管理型セキュリティサービスプロバイダー(MSSP)」のように、製品を“売る”のではなく、“サービスを提供する”提案が必要になる場面が増えてくるだろう。
ユーザー企業はこれまで、様々なセキュリティ製品を導入してきた。目先の問題解決という側面が強かったからだ。企業のIT部門は、2009年以降、厳しい経済環境の中でセキュリティ対策や事業継続計画に関して大規模な投資はできなくなってきた。しかしこれは、既存の製品に無駄がないか、コストを最適化するにはどうすべきかを検討する良い機会でもある。
以下では、セキュリティとリスクマネジメントの重要項目を、専門アナリストが解説する。
【セキュリティとリスクマネジメントのトレンド2010】
企業のIT部門では、実際、どのような懸念事項を抱えているのであろうか(図1)。その傾向を分析すると、内部統制報告制度としての「SIEM」や「アクセス管理」「メール関連」に関する懸念が散見される。
