ウクライナ紛争前から、各国政府機関を狙うサイバー攻撃は急増している。身代金狙いのようなものではなく、政府機関の持つ情報を窃取して次の工作に使おうとするのか、現時点での政府活動を妨害したいのか、その国の対外的な威信を損ねたいのか、または市民の自国政府に対する信頼を失わせようとするのか、動機は不明。恐らくは、これらが入り混じったものだろう。
日本政府についてもその例外ではない。昨年末から政府クラウドへの攻撃が増えていることは、何度も報道されている。今回政府クラウド(インターネット回線サービス)を提供している富士通が、セキュリティ強化策を発表している。
富士通、政府クラウドの攻撃で再発防止策 実効性課題も - 日本経済新聞 (nikkei.com)
この記事の中に、同社OBの意見として「経営陣がセキュリティを軽視してきたツケが回って来た」というものがあった。具体的には、2016年に発足した「サイバーセキュリティ事業戦略本部」を2021年に廃止したことが挙げられている。セキュリティはビジネスにするのが難しく利益を上げられないので、経営層としては損切りをしたくなるのだ。これは同社に限った話ではなく、多くのベンダー/SIerが抱える課題である。
では、なぜサイバーセキュリティはビジネスになり難いのか。私自身の経験からすると、システムユーザ企業は「安全なシステムをベンダーが提供するのは当たり前。追加の何かが必要だったとしても、それは一括発注の中に含むか無料サービスであるべき」と思っている。一方ベンダー側は「安心・安全は新しい付加価値、ユーザ側のオペレーションも(事業継続の意味で)楽になる」と主張するが、並行線のままで終わる。
次回以降、セキュリティビジネスの難しさを、過去にさかのぼって論じたい。
<続く>