梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

セキュリティビジネスの難しさ(4)

 20世紀のうちはサイバーセキュリティはごく一部の技術者だけが知っている、狭い世界だった。それでもインターネット、PCや携帯端末の普及によって、被害事例が出始めた。誰でもつながる世界には、善人ばかりではないということが、狭い世界の外にも伝わるようになった。

 

 21世紀になって、大手ベンダーの社内では、純粋に技術者・研究者だけではなく、管理部門や営業、サポート部門らの理解も得て、セキュリティの事業体制が整ってきた。そこで直面するのが、ユーザ企業の中にある「壁」だった。

 

 金融機関を始めとする社会インフラ事業者では、IT部門の中にセキュリティ担当部署を置いている企業も多い。問題は、その部署の社内での影響力である。ベンダーが提案するソリューションをセキュリティ部署が評価してくれたとしても、導入は容易ではない。当該部署が計画を立て、予算・人員・設備を確保し、従業員向けの訓練などしようとすると、

 

    

 

◇財務部門

・この費用は、もしサイバー攻撃が無かったらムダになるのだな

・そもそも、どうやってこの支出を回収するつもりだ

・この種の費用は純粋なコストだから、年率5%カットだ

 

◇人事部門

・特殊な資格を持った要員の採用なんて、処遇できず無理だ

 

現業部門

・新しい設備やソリューションを入れて、現場のオペレーションが変わるのは困る

 

◇総務部門

・ITに詳しくない従業員も多い、セキュリティの訓練や教育の普及は難しい

 

 などと抵抗されてしまう。最後の手段として経営層にすがるのだが、日本企業の経営者でデジタル技術に詳しい人は多くない。セキュリティ部署の人が一生懸命説明しても「カタカナ混じりの言葉が分からない」と理解が得られない。

 

 セキュリティ部署に評価されてほっとしていたベンダーの営業マンも、「社内の壁を破れなかった。残念だ」との電話をもらって、肩を落とすことになる。

 

<続く>