コラム

第4回 【攻めのIT人員を確保するために】情報セキュリティ対策負担が経営資源に変わる方法がある

  • 2019年5月30日
  • ドコモ・システムズ株式会社

経営戦略としてのセキュリティ投資が必須の時代

IT人材の不足が叫ばれて久しい。しかもこの先、年々減少していく。

その事実を客観的に裏付けるデータがある。 2016年に経済産業省(経産省)が発表した「IT人材の最新動向と将来推計に関する調査結果」では、2020年に約37万人、2030年に約79万人のIT人材が不足すると予測。 今からわずか1年後の2019年をピークとして供給が減少し、不足数は拡大する傾向にある。

もう1つ、見逃せないデータがある。IPA(情報処理推進機構)が2018年4月に公開した「IT人材白書2018」によれば、約3割のIT企業が“IT人材が量・質ともに大幅に不足している”と答えた。 ちなみに“やや不足している”との回答を加えると、実に9割が不足感を感じている結果となった。

このように、ITを主戦場とする企業でさえ満足の行く人材を確保できていないのが現状だ。一般企業においては、なおさら人材不足を痛感していることだろう。 整備された情報システム部門を持つ大企業ならいざしらず、いわゆる“ひとり情シス”が八面六臂の活躍をする中堅企業では、担当者が辞めた途端に全社のシステムが回らなくなるリスクを抱えているケースも少なくない。

その一方、近年、プレッシャーとして重くのしかかるのが情報セキュリティ対策だ。しかもこれはIT部門だけではなく、経営にも直結する話である。 2015年には経産省が「サイバーセキュリティ経営ガイドライン」を策定し、「経営者のリーダーシップの重要性」「ビジネスパートナーなど自社以外への配慮」「平時からのコミュニケーションと情報共有」 を“経営者が認識すべき3原則”として定めた。

要するに経営者はサイバー攻撃にさらされた場合のリスクを日頃から把握しておきなさい、ということだ。 さらにガイドラインでは「経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」とまで明記されている。

働き方改革が進むほど負荷が増えるIT担当者

そんなことは百も承知だとの声が聞こえてきそうだが、現実はどうだろう。 情報漏えいや標的型攻撃など、下手をすれば事業継続が危うくなるセキュリティリスクを承知しながら、「いつ降りかかるかわからないインシデントの対策に積極的に投資する余裕はない。なぜならコストセンターだから」 といったジレンマを抱えた経営者も多いのではないだろうか。

上記でも触れたように、現実的には優れた人材確保は容易ならざる状況にまで来ている。 冒頭に示した経産省のデータでは、情報セキュリティ人材が2020年に約19.3万人不足すると予測しており、高まる需要に人材供給が全く追いついていないことが浮き彫りとなった。 優秀な人材は既に取り合いになっていると考えたほうがいい。


2020年には情報セキュリティ人材が19.3万人不足する
(経産省「IT人材の最新動向と将来推計に関する調査結果」より)

さらに、高いスキルセットを持つIT人材は転職市場で引く手あまたの状況だ。 2020年には東京オリンピック・パラリンピックが開催され、一大イベントに向けてIT人材獲得競争も加熱している。 何でも頼れる我が社のITスーパーマンが他社に転職してしまい右往左往した……中堅企業からはこういった“あるある”のケースも漏れ聞こえてくる。

しかも厄介なことに、サイバーセキュリティの世界は攻撃者が一枚も二枚も上手であり、予想もしない方向から新しい攻撃を仕掛けてくる。 それに対処するために日頃から最新情報を仕入れて勉強に励むIT担当者もいるが、どうしても限界はある。

IT担当者におんぶにだっこであるこの状況は、働き方改革の面からも見過ごせない。 働き方改革にはICT利活用が必須だが、代表例であるモバイルワークや在宅勤務を導入するにしても、セキュリティ対策が後手に回ってしまったのでは取り返しがつかない。 すなわち、社内システムを一手に下支えするIT担当者たちはこれまで以上の大きな負担を抱え、残業時間削減どころの話ではなくなってしまう。

いずれにしろ、些末なヘルプデスク業務から高度なネットワーク管理までスーパーマン的に活躍するIT担当者に、日々巧妙化・高度化を続けるサイバー攻撃のセキュリティ対策まで背負わせるのは酷な話である。

では、ベストプラクティスは一体何なのだろうか。

理にかなっているセキュリティのアウトソース

これからの時代のベストプラクティスの1つは、セキュリティ対策をまるごとアウトソースすることだ。 ここまで述べてきたように、ことセキュリティに関しては付け焼き刃の対策では追いつかない状況にあり、IT担当者のキャパシティは限界に近づきつつある。 さりとて、何かが起きてからスペシャリストを補充したいと思っても、世に人材はいない。

だが、その道のプロに委託すれば常に最新セキュリティ対策を担保できる。

これは、「経営戦略としてのセキュリティ投資」といった面からも理にかなっている。 セキュリティ人材の教育コストが馬鹿にならないのはもちろん、ただでさえ忙しい自社のIT担当者が予測不可能な攻撃に対して四六時中万全の態勢を整えておくことは不可能だからだ。 “餅は餅屋”に任せることでセキュリティに関する不安は払拭され、IT担当者はこれまでセキュリティ対策に奪われていた時間を取り戻せる。 すなわち、本業により集中できるようになる。

セキュリティのアウトソースで最も効果的と言えるのは、トータルソリューションに他ならない。 さまざまなベンダーが入り組むITシステムの中で、コストを鑑みて「ある一部分だけ任せます」とした場合、セキュリティポリシーが異なる環境が併存することになり、必ずどこかに穴が空く。 ならば、同一のセキュリティポリシーの中でワンストップで任せられるのが望ましい。

とは言え、まずは段階的にアウトソーシングしていき、セキュリティの人材不足を解消していきたいと考えるケースもあるだろう。 そうした際、豊富なメニューから保険プランと同じような考え方でセキュリティプランを組み合わせることができればいいのにと思う経営者もいるに違いない。

ドコモ・システムズが提供するセキュリティプランの「s-WorkProtector」は、これらの要望をすべて網羅するパッケージプランである。 最小限の「Basicプラン」に始まり、各種オプションを加えた「Premiumプラン」に至るまで幅広い選択肢を用意。 自社の実態に合ったセキュリティプランを組み合わせながら利用することができる。


幅広いメニューから自由に組み合わせ可能な「s-WorkProtector」

NTTグループを支えるセキュリティを利用できる安心感

ドコモ・システムズ クラウド事業部 コンサルティング部 部長の井尻 周作氏は、s-WorkProtectorが求められる背景をこのように語る。

「ほかのIT投資と異なり、セキュリティは“これだけのコストでこれだけの効果が出ている”といった利点が見えにくいものです。 皮肉なことに見えない部分に脅威が潜んでいるからこそ何らかの対策を取らざるを得ないわけですが、サイバー攻撃は巧妙化かつ複雑化の一途をたどり、とても自社の人員で対応できるレベル感ではなくなってきました。

また、AD(Active Directory)対応やID連携、お客様の自社システムとの連携など、一口でセキュリティと言っても求められるニーズはさまざまです。 そこで柔軟に対応できるパッケージとしてs-WorkProtectorが役立つのです」


ドコモ・システムズ クラウド事業部 コンサルティング部 部長 井尻 周作 氏

ではs-WorkProtectorならではの強み、ポイントはどこにあるのだろうか。 井尻氏は「22万人におよぶNTTグループのセキュリティ基盤と同等のソリューションを享受できること」を一番に挙げる。 しかもこうした盤石のセキュリティ対策が、1アカウントあたり950円/月で利用できることも大きなアドバンテージだという。

「ドコモ・システムズはNTTグループとドコモグループ、22万人のユーザーを常日頃守り続けています。
すなわち、s-WorkProtectorは攻撃に関する最新の対策が反映されたソリューションなのです。 我々にアウトソースすることで、非常に質の高いセキュリティを担保できるとともに、何物にも代えがたい“安心感”を得ることができます」

これならセキュリティ人材の不足も恐れるに足りないだろう。浮いた人的リソースやITコストを戦略的な経営に回すことが可能となる。 IoT、AIへの対応が加速する中、今後は“攻めのIT人員”が求められる。だからこそ見えない脅威はセキュリティのプロに対策を任せ、しっかりと経営基盤を固めておきたい。

※この記事は、日経xTECH Activeで2018年7月に掲載された記事を再構成したものです。

ドコモ・システムズ株式会社

鍛えあげたIT力で、あらゆる企業の「改革」を。

btn-pagetop