見出し画像

セキュリティ・ビジネス・モデルとは(後編)

情報システム部門(情報システム子会社)向け

<概要>
本コラム後編では、11月号で登場した『セキュリティ対策の自給自足論』を深堀することにより、情報システム部門が、新たに『セキュリティ・ビジネス・モデル』を検討した際に陥りやすい『肩書』、『給与制度』を深堀します。これまでSE(システム・エンジニア)として30年以上も同じ賃金体系で確立していたビジネス・モデルは、『工数(人月)』として一定の評価はあります。本コラムでは、セキュリティ・ベンダーとして『サイバー攻撃や脆弱性診断などのナレッジを提供するビジネス・モデル』が論点です。このモデルは『工数(人月)』ではなく『価値を売る』コンサルタントやアナリストとして登場します。

1.『セキュリティ対策の自給自足論』とは?

情報システム部門が自らセキュリティ関連のビジネスを進めることは良いことであり、ぜひ大企業や、さらに中堅企業でもこのビジネス・モデルを検討したいものです。ただ、理想としは『セキュリティ対策の自給自足論』はデジタル・トランスフォーメーションのような話であって欲しいですが、かなり地味な話になります。筆者は2000年頃から20年間に及ぶ『セキュリティ・ビジネス』のリサーチで、多くの『情報システム子会社』が利潤を出せるほど『セキュリティ市場は形成されていない』と判断しています。どのような『セキュリティ市場』がこれまで発掘されたのでしょうか。

図5. 情報システム部門が検討するセキュリティ市場とは

図5

出典:日本情報システムユーザー協会(JUAS)(2021年9月)

『情報システム子会社』が、図5の中からセキュリティ・ビジネスとして看板を挙げているものは、下記のような2パターンに分類されます。この2パターンは、大きく『製品の販売』と、『サービス提供』(例:パブリック・クラウドでのセキュリティ・サービス提供、SOC/要員派遣などのサービスの提供)の2形態です。具体的には、

●『製品の販売』
 ファイアーウォール/次世代ファイアウォールの市場
 アンチウィルス/HDD暗号化の市場
●『サービス提供』
 クラウド・ベースのアンチスパム
 SOC(セキュリティ・オペレーション・センター)
 ISO27001/プライバシーマークなどの認証取得のコンサルティング
などに分類できます。

図6. セキュリティ市場の提供形態には『販売』と『サービス』がある

図6

出典:ディルバート(2021年11月)

2000年頃からの『セキュリティ市場』は、『製品の販売』が主流で、毎月同じ金額を支払う『サービス提供』は少なかったと言えます。唯一、市場をしっかり形成して来たサービスは、「SOC」や「URLのフィルタリング」(後にセキュアWebゲートウェイとなる)です。
『情報システム子会社』であれば、PCのアンチウィルスやHDD暗号化、ネットワーク・ファイアウォールなどを親会社に提供し、さらにデータセンター運営では、他社にも『セキュリティ機器』を納品していたはずです。しかしながら、『情報システム子会社』が利潤を出せるほど、仕入れ値が安価にできた製品は当時なかったため、利益は少なく、責任だけが『情報システム子会社』に残って形になったはずです。ただ、このような地味な『セキュリティ機器』の納品が知らず知らずのうちに、ナレッジの収集や市場の動向(リサーチ)を経験できる良いビジネス・モデルであったことには間違いありません。

2. セキュリティのビジネス・モデルは販売からサービスへ舵取りを開始

ここでサービスとしてのSOCを見てみましょう。SOCは、1990年代後半には、日立システムズや野村総合研究所がサービス提供をしていたものの、当時は無名のサービスで、逆に提供側も「特定の顧客向けのオーダーメイドSOC」を開始していたため、宣伝もそれほどしていませんでした。唯一宣伝をし、情報システム部門に脚光を浴びたSOCは、2001年のISS(Internet Security Systems、2008年にIBMに買収される)でした。多くの日本企業やベンダーがISSを見学したと思われます。これまで見たことのなかった海外のSOCというものを、日本人が目にしたものです。この時期を「第1次SOC陣営」の到来と呼びます。

図7. 日本国内でのSOC市場の変遷(代表的なSOC)

図7-1

国内では、2012年以降「第2次SOC陣営」が誕生します。これは、海外でのSOCビジネスにおいて身売りをするベンダーが多く出て来た影響が国内にも出て来たからです。例えば、DellのSecureWorksの買収、NTTコミュニケーションズ(現NTTセキュリティ)のSECODE/Integralis/Solutionary の買収などがあります。一方国内でも、NECのインフォコム、サイバーディフェンスの買収が代表的な「第2次SOC陣営」として産声を上げます。

SOCは儲かるビジネス・モデルに感じますが、身売りをせざるを得ない懐(ふところ)事情が当時ありました。要員を24時間貼り付ける「オペレータ派遣」のような「要員管理」が利潤を圧迫します。人が辞めてしまうと、当然ながら監視の穴が開きます。埋めるために「高い年俸のアナリスト」を採用し、結果として、提供側の採算が合わないビジネス・モデルとなります。海外では、『セキュリティ』のサービスからコンサルティングへ、大きな舵取りをした時期が2015年前後であったとも言われます。また、当時プライベートSOCとして、情報システム部門がSOCを自営化する動きも見られました。

この時期、国内でも新たに『セキュリティ・ビジネス・モデル』を検討した企業が『肩書』(コンサルタント、サイバーセキュリティ・アナリスト(備考4参照)、ホワイトハッカー)に拘り、『給与制度』が、SE(係長⇒課長⇒部長)というテーブルから、専門的知識を有するテーブル/深夜の勤務をこなす給与体系へ人事部が変えた時期でもありました。

例えば、この図7のSOCを歴史上の出来事として例えると、『織田信長のリサーチ(情報収集)能力とその賃金の支払い』などに類推できます。1560年の桶狭間の戦いでは、簗田政綱(やなだ まさつぐ)の専門的なリサーチ結果として、『今川義元は馬ではなく輿(こし)に乗って出陣している』という情報がありました。この情報により、織田信長は輿(こし)を中心に攻撃し、また馬と違い輿は「逃げるのも遅いはずなので、最も弱い部分(脆弱)である」と仮説を立てたのです。

この織田信長のビジネス・モデルこそSOCのような『リサーチ』です。「やなだまさつぐ」は、何年も探偵や忍者のような諜報活動として影の存在だったでしょう。ビジネスにおいて、このような影の存在も重要です。『セキュリティ・ビジネスにおいてもSOCのような影の存在』も、同じく重要なのです。

備考4 サイバーセキュリティ・アナリスト
サイバー・セキュリティの人材育成に関して、こちらのP.9もご参照ください
サイバーセキュリティ人材を育てる.pdf (cnet.com)

3. セキュリティのビジネス・モデルとしてコンサルティングはどうか

国内でも、ISMSやプライバシーマークの認証取得などセキュリティ(ガバナンス)のコンサルティングのビジネスが、2005年当時より開始されました。またコンサルティングとして、『SAST 静的アプリケーション・セキュリティ・テスト』ソースコード診断や、『DAST 動的アプリケーション・セキュリティ・テスト』して、ペネトレーションテストなどが、ビジネスとして提供され始めました。ただ、どのコンサルティングも1回限りの案件が多く、ガバナンスの案件は、会計ファームのERP導入コンサルティング案件までには至らなかったはずです。

図8. 日本国内でのコンサル・ファーム、リサーチ*(総合研究所)の変遷

画像8-1

*リサーチ:国内ではシンクタンクと総称され、研究員が在籍する(海外はリサーチと称され、アナリスト/リサーチャが在籍する) 
*2 ベリングポイント:2002年にKPMGコンサルティングがベリングポイントへ社名変更(SOX法で監査法人KPMGと分離され、KPMGという社名が使えなくなった)その後、廃業したアンダーセンを吸収
*3 Pw(プライス・ウオルター)とCoopers(クーパーズ)が統合されPwC 
*4 Dirbato=Digital+tempo rubato(音楽速度記号「自由に」の意味)
 注:本図の矢羽根の長さ、正式な社名は、一部表記を整えるために成形しています。

図8のように国内でコンサル・ファームが台頭したのは、1980年代後半であり、まだ歴史が浅いビジネスです。その代わりリサーチ・ファームとして『総合研究所』、略して『総研』と呼ばれるシンクタンクは、1960年代から設立されていました。当時の国内での汎用機のビジネス・モデルは、『マシンを売る/カスタマーエンジニアがマシンを設置する/SEが人月を稼ぐ』など、対価の支払いや課金体系に『工数(人月)』が暗黙の了解で企業と汎用機ベンダーの間で生まれていました。

ただ、この1970年代より国内でも『オペレータなどの夜間作業/要員の派遣/調査データを販売する』など、これまで価格が不明確だった部分に値段を付けて販売しようと考えたのが『総合研究所』です。リサーチというと馴染みがありませんが、『総研』と呼べば国内でも浸透していました。

このコンサル/リサーチの2強のベンダー以外に、2015年以降、コンサル/リサーチを合わせたような、インフラSE職が強い『テクノロジー系のコンサル・ファーム』(図8赤枠)が台頭して来ました。彼らの収益源は、『従来のSIの常駐SE』とは異なり、ベンダーやSIなどで経験した最新のインフラ/ネットワーク基盤のスキームを持っているエンジニアの存在です。例えば、パブリック・クラウドの導入/設定、APIやインターフェースのナレッジやスキルです。かつての日本企業では、OJTや研修などで、ナレッジを買うことができましたが、現在のデジタルサイネージなどが活躍する現場では、ナレッジこそが貴重な収益源であり、容易に教科書として販売されていません。

この『テクノロジー系のコンサル・ファーム』での代表格は、アクセンチュアです。アクセンチュアは、図8にあるように、元々は(欧州に強みのある)アンダーセン・コンサルティングとして活動していましたが、1989年(北米に強みのある)アンダーセン・ビジネス・コンサルティングとで、カニバリゼーションが発生するようになりました。当時、法廷争いの末、調停として2001年に社名をアンダーセン・コンサルティングから、アクセンチュアに変更しました。この頃より、テクノロジー系のコンサルタントが豊富であり、最近では会計ファームを従業員数などでしのぐようになって来ていると言われています。この『テクノロジー系のコンサル・ファーム』の特徴的な出来事として、アクセンチュアが2020年にSymantecのSOC部門を買収しました。また、コンサル部門とSOCなどのリサーチ部門が1社でバランスを整え、相乗効果を狙う動きが出て来ました。

一方国内でも『テクノロジー系のコンサル・ファーム』として、2014年にベイカレント、2018年にディルバートが産声を上げました。この2社は、アクセンチュアとほぼ同じビジネス・スキームですが、唯一異なるのが、国内で(情報システム子会社が無いような)情報システム部門に強い点です。少人数の組織に常駐や、小規模な案件(単発で会計ファームが断るような案件)も容易に常駐できるため、結果として従来の会計系のコンサル・ファームと同じような収益を達成できる点が強みです。

4. 海外の会計ファームがサイバー・セキュリティのコンサルへ参入

図8のように海外の会計ファームのKPMG/PwC/EY/Accentureなど外国勢が、2015年以降、国内のサイバー・セキュリティのビジネスに参入して来ました。ここで、Accentureを除き前述のSOCまでは彼らは参入してきませんでしたが、彼らの日本市場への強い参入の意図は、何だったのでしょうか。『日本は儲かる』という意識からなのでしょうか。

筆者が考えるに、『日本は真面目で、サイバー・セキュリティにそれなりに投資する』と踏んでいたという点も一理あります。ただ、海外のコンサルと日本のコンサルでは、海外では『常駐をする人がコンサル』というイメージが強いです。例えば、北米ではあれば、コンサルはその州に何か月も滞在します。人件費は高いですが、正社員の代わりとして成果が出やすい職種です。一方日本では『常駐する人はSIerのSEが昔から居るので、改めてサイバー・セキュリティのコンサルを常駐させるメリットはない』と思われます。そのため、サイバー・セキュリティとして、外資のコンサルへ依頼するメリットは少ないように見えます。ただこの海外のファームの利点は、先の織田信長で例えたアナリスト*という職種にあります。

*アナリスト:コンサル・ファームの新人を「アナリスト」の肩書(タイトル)として表記する場合もありますが、そのアナリストと、リサーチ・ファームのアナリストは異なります。

図9. アナリストとコンサルティングの違い

画像9

出典:ディルバート(2021年11月)

図9のように、主にリサーチ・ファームに所属するアナリストは、『同じ調査を数年間』もしているため、情報戦争では強いです。ただ、コンサルティングと大きく異なる所は、ビジネスの価格帯が、数千万円が限界であり、企業に取り『お荷物』『コストセンター』と揶揄される場面も多いはずです。図7で説明したSOCのエンジニアは、まさに『サイバー・セキュリティのアナリスト職』であり、情報やナレッジが多いと称賛されますが、自社に戻ると『売上が低い』と言われるコストセンターです。

一方コンサルは、安定的で売上が高い職業に見えますが『毎日サイバー・セキュリティの被害が出る分けではない』 ので売上がない月も当然あります。さらに、時期により、コンサル案件の増減が激しい時期もあり、人員の調整も難しいです。例えば、2005年~2006年ISMS認証取得案件、2007年~2008年内部統制報告制度案件、2017年~CSIRT案件などの案件が確認されますが、それ以降は案件(コンサルタント)の減少も確認できます。

冒頭にあった『セキュリティ対策の自給自足論』を情報システム子会社で始める場合、ほとんどの企業がこのコンサルティング(給与に増減があり)から初めますが、アナリストがいるリサーチ(給与が定額)もセキュリティ分野では重要な要素です。そのため両者のバランス(備考5参照)を保ち、自給自足を考えていくことが上手なビジネス・モデルの形成となります。

また、SIerのSEが、コンサル・ファームに転職すると、肩書が確かにコンサルタントになりますが、大きく職責を変える必要があります。このあたりは別の機会に分析しましょう。

備考5 『アナリスト』/『コンサルタント』の両者のバランス
このバランスは、その年度やその時期により異なって来る場合が多く、逆に固定で「当社のはアナリストは〇人、コンサルタントは△人」と組織を決めてしまうことは、柔軟性(適用性)に欠けると言われています。最近では、企業のリスクやインシデントに対して、会社の組織や要員を合わせる適用性、ビジネスサイドが要件定義検討時期と本番カットオーバーの着地時期に併せて案件を微調整する適用性が検討対象に求められます。

『ビジネスサイド』が好意的に適用=マンモスが氷河期に適用する場合をご参照ください
第7回 DX推進の際に企業がクラウド側の仕様に合わせる適用性 - (page 2) - ZDNet Japan

『コンサルタント』:日本の最初のコンサルタントは、600年以前、百済から日本に(人質として)渡来した百済人で、当時、倭国(わこく、その後、唐の時代になり日本と呼ぶようになる)の日本語を文字に起こし記録する技術(方法論)を提供したコンサルである。その当時の文字は、万葉仮名(借字:しゃくじ)などと呼ばれる。

『アナリスト』:日本で最初のアナリストは、唐(618年:とう)に(外交官ではなく)人質として大陸に渡たり、唐で「663年白村江の戦い」の戦犯(人質)を記録した研究員と筆者は考えている。

5. まとめ

『セキュリティ・ビジネス』を研究する際に、どのような分野が儲かるか、仮説を立てることは、間違いではありません。ただ『セキュリティ・ビジネスの青い鳥』は、探しても居ません。また『セキュリティ・ビジネス』は、『最初、どの企業や組織でも支払う』コストセンターでしかあり得えません。しかし、コストセンターでも複数のインシデントの経験を積むと、サービスの提供側に回れるチャンスがあります。特に『セキュリティ対策の自給自足論』として、情報システム子会社の例を挙げましたが、彼らこそ『親会社のシステムに長い間精通しているナレッジを持つアナリスト』であり、その『価値を安売りしない』ことも、ビジネス・モデルを考えるきっかけになればと思います。

執筆者
石橋正彦(いしばし まさひこ)
株式会社Dirbato(ディルバート)
コンサルティンググループ
ベリングポイントにてコンサルティングを経験し、ガートナーにてリサーチを経験、情報システム部門や情報システム子会社を経て現職。
趣味は海外のハードロック(Bon Jovi)、国内ではエイベックス(浜崎あゆみ)などの音楽やその歴史調査(日本語起源調査、百済史など)


いいなと思ったら応援しよう!