【コラム】国内サイバーセキュリティの現状と今後―市場と人材について―

　日本はここ近年で急増しているサイバー攻撃への対策として民間、公共における重要インフラや資産の保護、国家防衛を目的としたサイバーセキュリティ政策に毎年力を注いでいる。2014年11月にサイバーセキュリティ基本法が成立されて以来、産官学による一体化やG7先進国やNATOとの海外提携による幅広い取り組みが行われている。サイバー攻撃に対する全体的意識は、２年前に世界を震撼させたランサムウェアWannaCryを機に官民レベルで高まっている。来年７月の東京五輪開催に向け、大会組織委員会、東京都、政府それぞれにおいて綿密な調整・対策準備が行われている。

　日本のサイバーセキュリティは、公共・民間企業を対象とした様々なデモ演習、トレーニング、先端技術開発など政策面においてはここ数年である程度の成果が出ている。にも関わらず、国内における対策全般において依然としてネガティブな声が強い。最も共通する指摘は、日本は技術的にも物資的にも世界の先進国に比べて大きく遅れをとっているという点である。それもそのはずで、日本のセキュリティ市場は海外と比較すると規模が極めて小さく、市場の成長度でも大きな差がある。インドに本社があるマーケッツアンドマーケッツ研究所によると海外におけるサイバーセキュリティ市場は2017年の1,370億ドルから2023年までに2,482.6億ドルに上ると予測している。（注１）一方、日本のセキュリティ市場は同2017年時点で約96.17億ドル（１ドル＝113円）で、2011年から毎年軒並み成長しているものの伸び率は毎年4-4.5％と海外（毎年10-11%ペース）の半分弱である。


　さらにサイバーセキュリティにおける日本の国際的競争力の弱さを印象づけているのは 日本企業の海外マーケットへの参入の少なさである。国立研究開発法人新エネルギー・産業技術総合開発機構が行ったサービスソフトウェア国際競争の調査（2016年）によると、セキュリティソフトウェア事業おけるシェアは米（43.7％）、欧州（40.0％）企業に対して日系企業は半分以下の14.7％である。（注２）ルーターやゲートウェイなどネットワークハード機器においては米企業63.3％、欧州8.6％、欧米以外の多国籍企業合わせて27.2％とマルチプレーヤーであるが、日系企業はわずか１％にしか過ぎない。


　国内のセキュリティ市場に参入しているイスラエルの有力企業サイバーリーズンのCEOシャイ・ホロヴィッツは「日本企業は米国企業などと比べサイバー攻撃を防ぐ体制は５年から10年遅れている。」と言っている。（注３）日本の技術力について、従来から世界的地名度を知る人からしてみれば、少し大げさに聞こえるかもしれない。しかし、セキュリティや企業経営に多少詳しければ、まさに現実として直面している問題という共通認識となる。

　 　先に述べたように、日本のセキュリティ市場は少しずつではあるが着実に成長している。AIによるウイルス検知やサイバー保険、設計コンサルティングなど様々な商品やサービスが出始めている。その国内市場を大きく支えているのはやはり外資系企業である。シスコ、プライスウォーターハウス、ダイサート、ダークトレースなど米英企業のみならず、最近ではイスラエル、ウクライナ、フランス、シンガポール、チェコ、スロバキアなど様々な国籍を代表する企業が名を連ねている。（注４）こういった企業の多くは実装技術や商品において各自持ち味を生かしながら、国内企業の様々な業種・業界とのコラボレーションを行うべく積極的に売り込んでいることがうかがえる。特に興味深いのは、参入企業の多くは伝統的な大企業というよりは、むしろ比較的歴史の浅い新興企業であることだ。（注５）これはセキュリティ市場に参入する国内企業がNTT、富士通、トレンドマイクロなどITやコンピューター業界の大手や主力中心であるのとは対象的である。
　上記から言えるのは、日本のサイバーセキュリティ市場は必ずしも成長の見込みがない訳でなく、公共・民間双方におけるニーズも高い。海外と比較して決定的に異なるのは、1. 「参入企業が極めて限定的で入札競争による市場活性化には至っていない」、2.「国内企業の多くがセキュリティを自社や関連企業、サプライチェーンなどを守るための管理・運営に活用するだけの体制が整っていない」、3「業界・業種問わず次世代デジタル社会における橋渡し的ビジネスとしての社会認識がまだ浸透しておらず、システム化されていない」の３点といえる。

　現在セキュリティ分野において人材不足の声が度々取り沙汰されているが、決して国内に優秀な人材がいない訳ではない。NISCによる演習デモやNICTが行っている先端技術開発のように、実践トレーニングやモノづくりのための環境はある程度整っている。むしろ問題なのは、人材における捉え方やニーズがメディア上の統計だけで単一化解釈され（注６）、本質的な部分が見落とされていることであろう。人材と一言でいっても、アルゴリズムなどのデータ解析を中心とした専門的分析・研究もあれば、プログラム開発やネットワーク機器における実装、CERTのように事故対応処理を目的とした分析・処理や部門責任者への報告指示や経営者への提案までピンからキリまである。又業務上におけるセキュリティは役割とタスク別で非常に細かく分類されている。（注７）従って具体的にどのようなニーズが必要なのかはユーザー企業やクライアントによって様々である。（注８）さらに会社の人事体制、部門編成、当人への社内待遇など様々な要因が関わってくるので、企業・組織の人材に対する捉え方が常に不変とは限らないし、育成した人材が同社部門に中長期的に居残る保証はどこにもない。仮に必要とされる数だけセキュリティ人材が増えても、過去・現在・未来と変わりなく貴重な戦力として重宝されるだろうか？同業界はどこまで受け皿となってくれるだろうか？市場が徐々に開拓され、外注対応してもらえる国内ITベンダーや先端技術を開発する企業が少しでも多く誕生すれば、道は少し開けてくるかもしれない。しかし、市場が成長することで育成された人材に対するキャリアパスがどう描かれるのかは不明である。
　従って、人材不足についての指摘は日本のサイバーセキュリティにおける根本的課題の表面を一部削っただけに過ぎない。セキュリティ人材を育成法の範囲だけで終始させるのではなく、従来の経営体制からの変革、一事業としてのあり方、市場価値の形成、経済的効果など組織運営やビジネス全般に関わる諸問題を含めた包括的な経済的政策として、今後捉え直す必要が出てくるのではないかと考えられる。


【注釈】

1. https://www.marketsandmarkets.com/Market-Reports/cyber-security-market-505.html
2. https://www.nedo.go.jp/library/seika/shosai_201806/20180000000442.html
3. ジェトロ「世界は今－JETRO Global Eye（４月12日）」シリーズ　「IT大国イスラエル」 ‐サイバーセキュリティ技術で日本市場へ‐https://www.jetro.go.jp/tv/internet/2017/04/97cdf76c8e2c6454.html
4. ジェトロ「拡大するサイバーセキュリティ市場」（12月28日伊尾木 智子)。
5. サイバーセキュリティ先端技術の開発を手がけている企業は近年トレンドとなっているサイバーエコシステムから立ち上がったものが多い。スタートアップゲノム社「グローバル・スタートアップ・エコシステム・レポート2018」参照。
6. こういう傾向は「セキュリティ人材20万人不足」のようにメディア向けに向けた誇張表現によく見られる。
7.「産業横断サイバーセキュリティ人材育成検討会」 第一期最終報告書 別紙 人材育成 WG 活動報告書 第1.0版（2016年９月14日）「人機能定義一覧＆人材定義一覧」（p.38)より
https://cyber-risk.or.jp/sansanren/xs_20160914_02_Report_JinzaiTeigiWG_1.0.pdf
8. NICTの調査によると、多くのIT・ユーザー企業が技術系の人材で求めているのはジェネラリスト型（経営者層への報告・提案、業務上におけるインシデント対応の指示）で、学生の専門・研究分野とニーズに大きなギャップが生じている。国立研究開発法人情報通信研究機構ナショナルサイバートレーニングセンター衛藤将史「持続的なセキュリティ人材の配給に向けて」（2018年11月14日）

【了】