20世紀のうちはサイバーセキュリティはごく一部の技術者だけが知っている、狭い世界だった。それでもインターネット、PCや携帯端末の普及によって、被害事例が出始めた。誰でもつながる世界には、善人ばかりではないということが、狭い世界の外にも伝わるようになった。
21世紀になって、大手ベンダーの社内では、純粋に技術者・研究者だけではなく、管理部門や営業、サポート部門らの理解も得て、セキュリティの事業体制が整ってきた。そこで直面するのが、ユーザ企業の中にある「壁」だった。
金融機関を始めとする社会インフラ事業者では、IT部門の中にセキュリティ担当部署を置いている企業も多い。問題は、その部署の社内での影響力である。ベンダーが提案するソリューションをセキュリティ部署が評価してくれたとしても、導入は容易ではない。当該部署が計画を立て、予算・人員・設備を確保し、従業員向けの訓練などしようとすると、
◇財務部門
・この費用は、もしサイバー攻撃が無かったらムダになるのだな
・そもそも、どうやってこの支出を回収するつもりだ
・この種の費用は純粋なコストだから、年率5%カットだ
◇人事部門
・特殊な資格を持った要員の採用なんて、処遇できず無理だ
◇現業部門
・新しい設備やソリューションを入れて、現場のオペレーションが変わるのは困る
◇総務部門
・ITに詳しくない従業員も多い、セキュリティの訓練や教育の普及は難しい
などと抵抗されてしまう。最後の手段として経営層にすがるのだが、日本企業の経営者でデジタル技術に詳しい人は多くない。セキュリティ部署の人が一生懸命説明しても「カタカナ混じりの言葉が分からない」と理解が得られない。
セキュリティ部署に評価されてほっとしていたベンダーの営業マンも、「社内の壁を破れなかった。残念だ」との電話をもらって、肩を落とすことになる。
<続く>