Chapter6−2　ビジネスチャンスとしてのセキュリティ

ここまで述べてきた内容は、製品ポートフォリオの肥大化が営業現場に及ぼす悪影響と、そうせざるを得ない実情について簡単に述べてみたが、解決策の一つとして、製品群のシェイプアップは避けられないと思われる。一方、クラウド化が進行してもビジネスドメインが拡大し続けている領域があるように見える。それはセキュリティである。

　既述の通り、セキュリティはクラウド事業者だけで完結出来ない、見方によればプラットフォーマーはセキュリティには白旗を上げているようにさえ見受けられるからです。ITは進化し変遷する。攻撃はいたちごっこの連続であるが、攻撃者はその進化の差分によって生じた隙間を突こうとする。クラウドの進展とCOVID-19によって変化した環境の固定化によって、セキュリティリスクはさらに増大すると予想される。ここを主戦場とする会社は、プラットフォーマーやSaaSプレイヤーの影響を最小化し、事業継続と成長を望める、数少ないプレイヤーではないだろうか。2021年秋の今日、私の知る限りサーバーやスイッチ系の話をする人の話はとんと聞かない。データマネージメント領域も最近は新しい情報を聞かなくなった。仮想化など当たり前すぎて誰も話すらしないし、コンテナもどうだろうか。RPAやBI関連も一時期気を吐いていたが、ビジネスは上手く行っているのだろうか。

　最近ゼロトラストという言葉をよく耳にするようになった。防御壁の内側に入ることを許されたアクセスを信用しない、よって入ることを許されていても、データやサービスにアクセスする都度認証を行うということらしい。（この解釈は色々あるので一つの見解として記載する。）

　最近クラウドサービスを利用するユーザーだけでなく、提供する事業者もよくこれを口にする。私の知己であるキャリア会社の人間も、彼らのサービスについては、ゼロトラストをベースにしたクラウドサービスに注力していると言う。サイバー攻撃は止められず、受けたり侵入されたりすると言う前提でサービス提供をする必要に迫られているのであり、特にパブリッククラウドを利用する企業は、その対策を求められる。記述の通り、プラットフォーマーやパブリッククラウド事業者だけでセキュリティ問題を解決することは不可能なのであって、CASBやSASEなどと言う言葉が盛んに使われるのも、その現象をよく表している。

　しかし、データ漏洩の80%は、実は内部の人間のケアレスミスによるものであり、ゼロトラストを追い求めれば、SASEやCASBというものの検討の先に、結局データセキュリティの必然性へと帰着することとなる。加えて人間の行動様式を観察した上でリスクを判断する仕組みも必要になる。データセキュリティは新しいものではなく、もっとも基本的な対策は暗号化であるが、古くから存在した対策ではあった。ここに来てデータセキュリティが再度見直される動機付けは、米国と中国のデカップリングによるサプライチェーン上のデータ漏洩リスクが叫ばれるようになったことが大きい。米国立標準技術研究所（NIST） が発行する「NIST SP800-171」は、「連邦政府外のシステムと組織における管理された非格付け情報の保護」と題されたガイドラインで、米国防総省では、全世界の取引先に対してNIST SP800-171への準拠を求めており、日本の防衛省もNIST SP800-171相当のセキュリティ要求事項を調達基準に盛り込んでいる。これは、直接の納入業者だけでなく、裾野の広いパーツを提供する会社にまで広く影響が及びます。製造業の裾野が広い日本では、この影響が大きい。世間では、エアコンで有名なダイキンがまさか砲弾を作っているなどとは想像すらしないだろう。

　これを実現するため、データ属性に基づいてデータの管理と可視化を行うため、DLP(Data Loss Prevention)が再度注目されています。これも新しい製品サービスではありません。ただし、この運用にはGRC(Governance, Risk, Compliance)が深く関わり、IT部門とは日頃関係が薄い法務、人事、財務、経理、営業管理、輸出入などとの協業が必須となるため、広く採用されるに至らなかったのが事実です。要は、IT部門にとって面倒であったために、積極的に使おうとしなかったのです。

　話を元に戻しますと、セキュリティに関しては、新しい技術やコンセプトに振り回されなくても、果てしない攻撃者との戦いが続くので、ここに基盤を持ってビジネスを展開している事業は、廃れることがなく、生き残る可能性が高いと言えます。私自身も、10年経ってまさかDLPの引き合いが多くなる事態を目にするとは思いませんでした。