「個人情報」という言葉を聞かない日はない。言うまでもないことだが,相次ぐ情報漏えい事件や地方自治体の住民基本台帳ネットワーク(住基ネット)稼働が背景にある。つい先日も東京都中野区が個人情報保護を理由に住基ネットから離脱。個人情報をめぐる問題は,まだまだ続きそうだ。
こうした動きに呼応するかのように,セキュリティ・ビジネス市場が活況を呈している。セキュリティ・ベンダーやシステム・プロバイダは,新製品/サービスを続々と打ち出している。
日経システムプロバイダ2002年9月13日号でも紹介しているが,商談のキーワードは“情報漏えい”。これまで,ファイアウオールやアンチウイルス・ソフトなど外部からの攻撃を防ぐための対策に加えて,情報漏えいなど内部のセキュリティ対策のための製品/サービスの需要が高まっている。セキュリティ・ポリシー作成支援やWebアクセスや電子メール,クライアントの利用状況を管理する製品などがその代表例だ。
セキュリティは絶対に失敗の許されない厳しいビジネス
情報漏えいなど内部からのセキュリティ問題は,企業を「加害者」にする。信用が最も大切な企業にとって,外部からの攻撃で「被害者」になるよりも「加害者」になる方がダメージが大きい。宇治市の住民情報流出事件での最高裁判決や富士通の情報漏えい事件では,委託機関の監督も含めて厳しい管理責任が問われている。
セキュリティは,内部犯行によるものが多いといわれるが,欧米に比べて日本の企業はこうした認識が薄い。日本企業は終身雇用制を背景にして,転職が一般的な欧米企業と比べると,人材の流出が少ないとみられる。
「日本企業は欧米よりも,身内を信用する傾向が強い。まさか自社の社員がセキュリティを脅かしたりしないだろうと考えている企業が多い」とあるシステム・プロバイダは指摘する。このシステム・プロバイダが,試用として顧客企業にWebアクセス管理ソフトを使ってもらったところ,ほとんどの社員が勤務時間中に,業務に関係のないWebサイトにアクセスしていたことが発覚したという。
システム・プロバイダにとって,セキュリティ・サービスをメニューにそろえることは必須になりつつある。セキュリティ対策そのものにも需要が高いのはもちろんだが,本業のSI(システム・インテグレーション)案件のコンペで,セキュリティが一つの選定基準になっている側面があるからだ。
セキュリティにはさまざまな商機があるように見えるが,実際に提供するのは並大抵のことではなく,ITビジネスの中でも,最難関の部類に入るビジネスだといえるだろう。万が一,ユーザーの情報が漏えいしたらそのシステム・プロバイダにとってはまさに命取りになるリスクを抱えており,絶対に失敗は許されない。
やはり人の問題が大きい
「セキュリティに100%はあり得ない」。セキュリティ対策を提供する業者でこう話す業者は多い。あるセキュリティ・サービス・プロバイダの例だが,何百社ものユーザーを抱えながらユーザーから事例紹介の許可を受けたのはわずか数件。ここの会社のセキュリティ・サービスを受けているからうちは大丈夫だと言うことはどうやら難しい。ユーザーもセキュリティ・サービス業者に,まだまだ信頼を寄せていないと言えるのではないか。
最近では,情報漏えいでの損害賠償などを対象にしたセキュリティ保険も提供されている。情報処理振興事業協会(IPA)は,このセキュリティ保険市場が大きく成長すると予測している。不況の中で,好調な業績をあげたセキュリティ・ベンダーが控えめに喜んでいるのを目の当たりにしてやや複雑な気持ちになったものだが,こうしたセキュリティ保険の会社の繁栄を想像するにつけ,ますます複雑な心境になる。
先に述べた社内の人間を100%信頼できるのかという問題は,セキュリティ・サービス提供者側にもそのまま跳ね返ってくる。「セキュリティ・サービスのスタッフをどう確保するかが大きな課題だ」と,あるシステム・プロバイダ幹部は頭を抱える。
サービス提供者自身がどんなセキュリティ対策を施しているのかを明確に示す必要がある。スタッフにしても新入社員や経験の浅い社員をセキュリティ・サービスの担当者にできないし,担当者との契約事項を厳密にする必要がある。ISMS(情報セキュリティマネジメントシステム)の認証を受けることも有効な手段であり,取得しようとする企業も増えている。
だが,セキュリティは何より人間がかかわってくるもの。管理システムだけでなく,セキュリティ対策サービスにかかわる人間をどうやって育成してリソースを確保するかが,最も重要な課題になってくる。
(中井 奨=日経システムプロバイダ)
