不足する人材を活かすセキュリティ施策:費用削減から時間削減への転換を

国内企業における情報セキュリティ人材の不足

現在、国内企業においては情報セキュリティを担う人材の不足が大きな課題となっている。経済産業省が2016年に公表した試算によれば、2020年時点で19万人のセキュリティ人材が不足するとされており、事実、野村総合研究所が2018年に実施した独自調査によれば、実に87.8%の企業が「セキュリティ人材が不足している」と回答している。このような状況では、外部委託しようにもITベンダ側の人的リソースも不足し、引き受け手を探すのにも苦労する事態に陥っているのではないだろうか。

要因は業種・業界や企業ごとの個別事情によって異なると考えられるが、その理由の一つとして、これまでに実施してきた様々なセキュリティ対策に紐づいて発生する運用作業が過大なものとなっている可能性がある。

日本企業は欧米に比べてセキュリティ対策が遅れていると言われており、各社においてもまだまだ対策が足りていないと感じている方は多いと思う。その割に運用作業が過大であるとはどういうことか?そこには2つの理由があると考えられる。

セキュリティ施策は一度始めると止めづらい

まず、災害防止施策なども同様であるが、セキュリティ対策のように「安全」を高めるために実施した施策というものは得てして止めづらい。そのため、たとえ実施に要する労力に見合うだけの効果が無かったとしても一度始めてしまうとその施策を廃止することは難しい。また、事故が起きるたびに次々と施策が追加され、運用作業が積み重なって増大していく結果に陥ってしまう。

これはIT部門だけでなく、利用者に対しても大きな負担を強いる状況を作り出している。添付ファイルにパスワードを設定させる運用、年々増えていくセキュリティ教育、標的型攻撃メール対策訓練、各部門に実施させているチェックシート型の自主監査など、多くの企業においてIT部門と利用者の双方に大きな負担がかかる施策が一般化している。

コストダウンの陰で増大してきた労働時間

他方、各企業では事業環境の変化に合わせてITシステムを導入していく一方で、それに伴い年々増大するITコストの抑制、すなわちコストダウンに注力してきた。コストダウン自体は企業活動において重要であることは間違いない。しかし、日本企業ではコストダウンを「設備費用や保守費用などの社外流出費用の抑制」と捉えられており、人員の作業負荷の軽減は含まれていないことが多い。むしろ、モノを買うぐらいならヒトに作業をさせて解決を図る、という考え方に陥っている企業も多いのではないだろうか。

一例としては、通信回線のコストを下げるためにWANを必要最低限の帯域・品質の回線に絞り込むケースがある。その結果、認証サーバ、パッチ配信サーバ、各種リレーサーバ等、様々な設備を全拠点に設置する必要が生じ、それに伴う様々な付帯作業(設備管理、パッチ当て、保守契約、老朽更新等)が拠点の数だけ生じてしまう。回線コストという目に見えやすい社外流出費用の低減に注意が向いてしまうあまり、その背後で必要となる作業量や運用コストが無視され、「人手が足りない」状況を生んでしまうのである。

逆に、運用に要する作業量を低減することができれば、人手不足が緩和され、そのリソースをセキュリティ向上施策などに振り向けることが可能となるだろう。

「費用削減」から「時間削減」へのシフトが成功の鍵

あまり知られていないかもしれないが、「コストダウン」という言葉は和製英語である。短いながらも意味が分かりやすく発音もし易いためか、この単語はすっかり日本企業に定着してしまっている。しかし、その結果として目に見える「お金」だけが評価指標となってしまい、働く人の時間や作業負担が軽視されてしまっていないだろうか。そのような状況では、いくら人員を増やしたところで新たな運用作業が増え続けるだけであり、根本解決にはつながらない。

人材が不足している今こそ、根本的に考え方を変える時ではないだろうか。「お金」優先の費用削減から「人」優先の作業量削減(時間削減)にシフトすることが成功の鍵である。