今年の冬のボーナスはひどい状況のようです。全ての会社がそうなっているわけではないですが、たとえ儲かっている会社であっても、コスト削減には取り組んでいます。
私がちょうど1年前に、コスト削減の波はセキュリティにも来るだろうと考えて今の会社を起業しました。そして今や、多くの会社がセキュリティどころか人件費にまで及ぶコスト削減を行っています。
このような状況ですから、セキュリティ業界はさぞかし厳しいだろうと思っていたら、意外なセキュリティビジネスが活発に動いていました。私は、これまでの経験から複数のセキュリティ関連企業のセキュリティビジネス構築のコンサルティングを行っており、同業の多くの会社と面談をする機会があります。その中で好調なのがセキュリティ教育です。
実は私はセキュリティ教育というビジネスには成長の見込みはないだろうと考えていました。なぜなら不況になると企業は一番に教育コストを削るからです。教育コストというのは、すぐに業績アップにはつながりません。従って、短期的な収益改善を迫られた企業は、まず教育コストをカットするものです。しかし、私の見込みは外れました。セキュリティ教育は意外と好調に推移しているようです。もちろん、メニューによっては全然ダメになっているものはあります。
なぜセキュリティ教育に今さらお金を払うようになっているのかと調べてみると、きっかけは「コスト削減」だったのです。つまり、セキュリティ専門家にコンサルティングを受けたり、脆弱性検査を受けたりするコストを削るために内製化を図り始めたのです。確かに、不況になれば外注コストを削減して内製化するのは自然なことでありますが、それがセキュリティに適用され始めたのです。今、特に人気が高いのが、ソフトウエア開発における脆弱性の検査やセキュアプログラミング、CISO(Chief Information Security Officer)関連の教育プログラムです。
これはある意味では良い方向です。なぜなら、セキュリティそのものは、本来、社内でしっかりやるべきで、専門的な部分のみを外部の専門家に委託すればいいからです。
現在提供されているCISO関連の教育コンテンツでは基礎的なセキュリティに関する知識が身に付くようになっており、このような基礎を学ぶことはとても重要です。なぜなら、セキュリティは「対策」をいくら覚えても「なぜそれが必要なのか」を知らないと応用が利かないからです。セキュリティは臨機応変な対応が最も求められる能力です。CISOと呼ばれる方には、決められたルールを守らせるのが仕事と考えている方も多いのですが、緩めたり統合したり、自動化でルールそのものを合理化したりする仕事が求められるのです。
セキュリティの基礎というものは、テクノロジーが変わってもぶれることはありません。表面上のセキュリティ知識はすぐに役に立たなくなりますが、「なぜそれがあるのか」を知ることは長く使える能力となるのです。
一方でセキュリティサービスのいくつかは、コスト削減の動きの対象となっているようで、その状況に対応できていない旧態然としたサービスメニューしか提供していない会社は苦戦しているようです。
企業が自前でセキュリティをやっていくことは、セキュリティ業界にとっては大きな変化を迫られることになります。これまでもこの連載で解説してきたように、高い専門性が求められるようになるのです。お客様自身がある程度の知識と経験を持つようになるので、ちょっと本を読みかじった程度のコンサルタントでは対価を払ってもらえません。より高い専門性と広い経験を持つことが求められるようになるのです。
これは厳しいようではありますが、お客様、セキュリティ業界ともに成熟化に向けた良い動きであると考えています。
