企業経営における最大のリスクは「サイバー脅威の不確実性」
22か国50社の企業経営者を対象に行ったアンケート調査の結果をまとめた2014年度の「Global Risk Survey」によると、今日の企業経営における最大のリスクは、「経済の不確実性」が1位で55%を占めており、「サイバー脅威」が50%の2位となっています。
しかし、経営の第一線からは「サイバー脅威が最大リスク」だと訴える声が多くなっています。つまり、「経済の不確実性」は事業を運営する上で常に言及されている経営リスクですが、新しく登場したサイバー脅威はなじみの薄いものでありながら、その勢いはますます強くなっているからです。また、一度事故が起きたらすべてのメディアが先を争って報道しており、事後処理も困難でどうしたらいいのか分からない、という困惑の声も多くなっています。
また、サイバー脅威における深刻な問題は、その概念自体が難しく、とても分かりにくいこと。関連書籍を探してみても、熟練された技術者向けの技術書か、理論とはとても言えない啓発的な経営書か、のどちらかであることが多く、学びたくても学びにくいのが現実です。
そのため、経営と技術の間のギャップはさらに広がり、その隙間を狙う犯罪者や詐欺師によるITに関する各種事件が相次いでいます。経営者とエンジニア、生産者と消費者、双方とも問題の解決策が見つけられていません。今日の企業経営における最大のリスクは「サイバー脅威の不確実性」といえるかもしれません。
また、「サイバー脅威に対する対応ガイドが必要!」という現場からの要求が今強く求められます。その際に参考になるのがITの市場分析レポートです。
本稿でご紹介するレポートの発行元である「ガートナー(Gartner, Inc.)」は、米国コネチカット州スタンフォードにあるICTの研究・助言を行う企業。1979年に設立され、鋭利な分析力を武器として目覚ましい成長を成し遂げ、今や全体従業員5,700人のうち1,500人余りがリサーチアナリストとコンサルタントという世界最大級の研究集団です。
”ハイプサイクル”と”マジッククアドラント”をどう読むか?
「ガートナー」レポートで特に有名なのは、「ハイプサイクル」です。企業経営の意思決定に重要な資料であるだけに、簡単にそれについて紹介しましょう。
出所: Gartner's 2015 Hype Cycle for Emerging Technologies
「ハイプサイクル(Hype Cycle)」は、特定技術の成熟度を視覚的に表現するためのツールです。当該技術の研究開発水準や市場の反応など様々な条件によって各項目を「(1)黎明期(技術の引き金:Technology Trigger)、(2)流行期(過剰期待の頂:Peak of Inflated Expectations)、(3)幻滅期(幻滅のくぼ地:Trough of Disillusionment)、(4)回復期(啓蒙の坂:Slope of Enlightenment)、(5)安定期(生産性の台地:Plateau of Productivity)」の5つに分類しグラフ上に表示します。
(1)成長の可能性を秘めている技術に対する世間の関心が高まり、(2)概念-モデルへの過度な注目のおかげで製品も作ってみるものの、そのほとんどは失敗になり、(3)数多くの失敗でその関心が失われます。そこから生き残ったわずかの企業から成功事例が出はじめ、(4)利益を設ける製品が生産されることにより、再び注目を集め、(5)市場に一定のポジションを占めるようになり、品質を争っていく一連の過程です。ほとんどの技術がこのプロセスで進められます。
世の中に新しい用語やキーワードが登場し、メディアでも話題になるものの、すぐ冷めてしまいます。激しい競争の中で、ごくわずかだけがやっと生き残り、成功していく過程がグラフから見えてきます。ハイプサイクルの変化像を参考にすると、複雑なIT業界の不確実性もある程度消えていきます。
次は「ハイプサイクル」と同じくらい世界的に有名なグラフである「マジッククアドラント(Magic Quadrant)」について紹介します。ここでは、フロスト・アンド・サリバン(Frost & Sullivan)のグラフから紹介します。フロスト・アンド・サリバンは40年の歴史を持つ企業成長のコンサルティング会社。世界各国にある現地支社ネットワークを通じて、800人余りのアナリストから収集した情報を基に作成された市場分析レポートは、バランスのよい国際的視点と鋭利な解析力で高い評価を受けています。
出所: Frost & Sullivan's Asia Pacific Web Application Firewall Vendors 2015
縦軸は現在の市場分布状況を意味し、横軸は将来に向いた成長戦略の優秀性と実行可能性を意味します。消費者の立場からは、アーリーアダプターの戦略にするか、レイトアダプターの戦略にするかなど、自社の意思決定基準により、グラフの4分割面上の候補群の位置と変化から異なるインサイトを得られます。もちろん、最終意思決定の段階ではなく初期検討の段階でそれを活用することが賢明でしょう。
グラフ上の企業の位置は、売上、流通ネットワークの規模と品質、従業員数、特に開発者の数とそのレベル、販売、サポートといった各事業分野別における従業員の割合などによって決定されます。最終結果物が単純な絵の形になっただけで、その裏にはなぜこのようなグラフを描いたかその理由を説明する、読み終えるのが困難なほど分厚いレポートがあります。
重要なのはグラフではなく、その分厚いレポートにあります。そのため、ハイプサイクルやマジッククアドラントなど簡単に描かれたグラフは、あまりにも忙しくてその分厚いドキュメントを読む時間のない役員などいわゆる「重役用のサマリー(Executive summary)」とみてもかまいません。
ガートナーやフロストアンドサリバンなど、有名なコンサルティング会社のアナリストは、企業の実情を何も知らずただ机の前に座って難しい言葉だけを語っているわけではありません。現場の傾向を実質的に把握するための研究体制が充実していることも、業界を問わず彼らの分析結果を認める理由でしょう。
経営陣はこれらのレポートを閲覧し沈思熟考したうえで、意思決定の過程でそれを参考にすると、大変役に立ちます。特にIT関連技術は、新陳代謝が非常に活発で常に変化しているので、一度見たから十分理解したと思ってはいけません。 定期的かつ持続的な観察が必要です。少なくとも毎年更新されるグラフだけでもみてみるとよいでしょう。
実際に重要なのはある要素のグラフ上の位置ではなく、状況の変化によってその要素がどこからどこへと移動していくかです。つまり変化や、その変化の理由と根拠が重要です。最後にその一例として、Webアプリケーションファイアウォール(WAF)について読み解いていきましょう。
なぜ一変?WAFに対する市場評価が大きく変わった理由
最近「ガートナー」のレポート上のWAFの位置づけが変わりました。去年までは、WAFを「クレジットカードのデータセキュリティ標準(PCI DSS:Payment Card Industry Data Security Standard)」など法的規制のため、仕方なく導入するものでしたが、その効用性を疑い、適者生存のルールにより市場からすぐ姿を消す商品」と定義しました。しかし、最近のレポートを見ると「WAFは企業の情報セキュリティに必須不可欠な要素」へとその内容が変化しました。
「Hype Cycle for Application Security, Gartner 2013」では、「WAFは、他の競合製品に比べ、その効用性や拡張性が低いため、いまだにも小市場をせいぜい維持している」と評価を格下げしましたが、「Hype Cycle for Application Security, Gartner 2014」では、「規制対象に該当しないという理由でWAFを導入していなかった企業も、今はWebアプリケーションセキュリティの重要性に気づき、WAF導入がただ規制を充実させるための決定ではないことに気付いている。」とより現実的な評価をしています。WAFに対する態度が完全に変わっています。
WAFの位置づけの変化の理由を類推してみると、
- 法的規制があるので嫌々買うのではなく、導入してみたら実際にセキュリティ効果が高かった。
- WAFの代案として挙げられている「セキュアコーディング」は、結果的に非現実な希望にすぎなかった。
- 確実にセキュアなコーディングを行って、管理・維持することはWAF導入より、多くのコストがかかる。
このような理由からWAFの位置づけが急速に上がったと考えられます。このように”変化そのもの”より、”変化の理由”に焦点を合わせてみることが重要です。
企業の情報セキュリティ環境は常に変化しており、そのリスクは日々高まっています。相次いでいるセキュリティ侵害事故をみてもITリスクは、ビジネスの連続性を損ない、投資家の投資心理にも悪影響を与え、深刻な場合は社会混乱を招いて災害災難レベルの経済活動のマヒや企業活動の停止という結果につながる恐れがあります。それでも企業現場では、情報セキュリティに対する総合的な理解不足による意思決定の難しさを訴えています。
こうした観点から、「ガートナー」や「フロストアンドサリバン」などの市場レポートを参照することをぜひお勧めします。”海の灯台”のように「サイバー攻撃の不確実性」を照らすことは、企業の意思決定に大いに役に立つことでしょう。
