日本版SOX法・徹底解析

セキュリティの脅威が巧妙・複雑化するなか、企業のセキュリティ対策はコンプライアンスの証明や事業継続性を含む包括的なリスク管理へと発展している。IT投資の抑制傾向にあっても、同分野への投資は活発化しつつある。

[山本貴史（富士キメラ総研），ITmedia]2009年12月02日 08時00分 更新

http://www.itmedia.co.jp/enterprise/articles/0912/02/news003.html

　1990年代後半以降、企業では競争優位を確立するために、ネットワーク関連をはじめとする情報システムの構築が進められてきた。これは企業規模を問わず広く浸透し、情報システムが企業経営を支えるようになった。それに伴い、システムの安全性を維持するセキュリティ対策にも力が入れられた。企業のシステム整備とネットワークセキュリティ市場の発展は切っても切り離せない関係だ。

　富士キメラ総研が関連するサービス、機器、ツールを含むネットワークセキュリティの国内市場を調べたところ、2008年度の市場規模は4586億円となり、2012年度には6204億円にまで拡大すると予測できた（図1）。

（図1）ネットワークセキュリティ市場の推移（出典：富士キメラ総研『2009 ネットワークセキュリティビジネス調査総覧 ＜上巻：市場編＞』）

　従来ネットワークセキュリティ市場の拡大は、情報システムの安全性の維持や向上を求める企業がけん引してきた。だが2008年後半に起こった世界的な経済不況でその状況は一変する。100年に1度の大きな景気後退は日本にも波及し、消費意欲の低迷に伴う企業業績の悪化が顕著に現れた。企業が設備投資の抑制などを行った結果、好調に推移してきた同市場にもその影響は及んだ。

　だがこうした経済不況の中でも、同市場はコンプライアンスへの対応や事業継続性の確保など、企業の社会的責任を果たすための分野として認識されている。その結果、同市場に対する企業のIT投資は大きく抑制されなかった。2008年度の同市場の規模はこれまでにない低迷基調で推移したものの、投資分野としてはほかのシステム関連の市場と比べても大きく減っていない。

セキュリティ分野の投資は拡大傾向に

　富士キメラ総研が過去に実施した調査によると、企業の2009年度のIT総投資額は前年度比で4.6％の減少となるが、その中のセキュリティ対策分野においては、今後も継続的な投資が見込まれる。具体的には、（1）継続的な投資が必要であること、（2）発生するリスクに対処し続けていく必要があること、（3）中堅・中小企業でも対策が進むこと――がその要因だ。

　官公庁や地方自治体など国内の特定20業種のIT投資動向を調べたところ、投資全体に占めるセキュリティ対策分野の割合は2008年度が4.6％だった。その後は年々比率が大きくなり、2012年度には6.1％にまで拡大すると予測された（図2）。

（図2）IT投資におけるセキュリティ市場の割合（出典：富士キメラ総研『2009 ネットワークセキュリティビジネス調査総覧 ＜上巻：市場編＞』）

企業のセキュリティ対策と市場動向

　ここで企業のセキュリティ対策がどのように移り変わってきたかを確認しておこう。

　これまでのセキュリティ対策は、不正アクセスやウイルスへの対策など、外部からの脅威に対して安全性を維持することに主眼が置かれていた。市場の拡大に貢献したのはファイアウォール製品やウイルス対策ツールなどだ。だがこれらの製品の導入は企業規模を問わず一巡した。今後は入れ替え需要が中心になるため、これらの製品の市場は低迷基調になっていく。

　次に主流となったのは、企業の内部に潜む脅威の対策ができる製品やサービスだ。個人情報保護法の制定に伴い、大手企業を中心に企業の情報漏えいを防止する対策が進んだ。企業の資産である情報を保護する暗号化／ID管理／アクセス制御ツールが導入されていった。

　近年のセキュリティ対策は、もう一歩踏み込んだものになっている。主流は企業全体を包括したリスク管理だ。日本版SOX法への本格的な対応を実践する「アフターJ-SOX」への取り組みは、その代表例といえる。企業としての社会的責任を果たし、信頼性を確保する目的で、コンプライアンスの証明や事業継続性の確保などを進める企業も増えている。この分野はさらに投資が活発化していくだろう。

　IT投資が抑制される中、ネットワークセキュリティ市場の拡大は一時的に停滞するものの、中長期的な視点で見ると同市場の成長は加速していくと考えられる。

現在のトレンドと市場動向

　情報システムの保護やコンプライアンスの証明においては、内外の脅威に加え企業全体のリスク管理も求められる。セキュリティ対策として考える項目は多様化し、ツールの運用も多岐にわたってくる。ここでセキュリティ対策が重荷になる企業が出始めている。具体的には、セキュリティの専門家を確保できなかったり、人的リソースを充てることができなかったりといった具合だ。

　こうした中需要が高まっているのが、不正アクセスやウイルスなどの脅威を監視するセキュリティ監視サービスだ。あらゆる脅威を防除できる統合型セキュリティ監視サービスやログの統合管理サービスに加え、セキュリティ対策を専門の業者に委託するサービスの導入も進んでいる。こうしたセキュリティサービスの台頭は、同市場の拡大をもたらす要因の1つになっている（図3）。

（図3）ネットワークセキュリティ市場におけるセキュリティ機器／ツール市場とセキュリティサービス市場の比率（出典：富士キメラ総研『2009 ネットワークセキュリティビジネス調査総覧 ＜上巻：市場編＞』」）

サービス分野別の市場動向

　セキュリティをサービスの種類ごとに分類し、2008～2013年度までの平均成長率を割り出したのが（表1）だ。トップ5は以下の分野になった。

ランキング サービス名 2008年度 2013年度 平均成長率

1 ログ統合管理サービス 325 1500 35.8％

2 オンラインバックアップサービス 6500 2万8500 34.4％

3 タイムスタンプサービス 950 2300 19.3％

4 不正アクセス監視サービス 1万4000 3万2000 18.0％

5 統合セキュリティ監視サービス 1万500 2万3200 17.2％

（表1）セキュリティサービス市場別平均成長率ランキングTop5（単位：百万円）出典：富士キメラ総研『2009 ネットワークセキュリティビジネス調査総覧 ＜上巻：市場編＞』

　表1には出ていないが、今後高い市場成長率となるのが、内部統制におけるIT全般の統制を支援するサービス、コンプライアンスを証明するサービス、事業継続やデータの真正性を確保するサービスだ。日本版SOX法及びIT統制対応への需要は尽きず、市場は拡大する。逆に導入が一巡したウイルス／ファイアウォール監視関連のサービスは、コモディティ（日用品）化で価格が低下している。関連する市場も縮小傾向となる。

　（表2）はセキュリティ関連の機器やツールの平均成長率を並べたものだ。上位を占めたのは情報漏えい対策や内部統制、コンプライアンス関連の製品だ。内部の脅威に対するツールの伸長も見られる。脅威はネットワーク層からアプリケーション層にも及んでいるのが現状である。今後はアプリケーションに対するセキュリティ対策が強化されていく。

ランキング 製品名 2008年度 2013年度 平均成長率

1 電子透かし 90 750 52.8％

2 DLP 480 3220 46.3％

3 変更管理ツール 1000 4000 32.0％

4 統合ログ管理ツール 3600 1万2200 27.6％

5 Webアプリケーションファイアウォール 1270 4040 26.0％

（表2）セキュリティ機器／ツール平均成長率ランキングTop5（単位：百万円）出典：富士キメラ総研『2009 ネットワークセキュリティビジネス調査総覧 ＜上巻：市場編＞』

クラウド型サービスという潮流

　猛威を振るう脅威に対するセキュリティ対策のツールは日々増えている。だがツールの運用には手間が掛かる。ベンダーからの情報やアップデートファイルを入手し、その都度適用させなければならない。脅威の拡大に伴い、更新データは肥大化する。あらゆる対策を忠実にしようとすれば、その分だけ時間を投下しないといけない。ここで生じるタイムロスも、企業のセキュリティ対策における大きな足かせとなる。

　この負担を軽くするのが、セキュリティ対策のサービスをネットワーク経由で提供する「クラウドコンピューティング型」のサービスだ。有効に使えば、企業がセキュリティ対策における技術の習得や運用管理に掛かる手間を削減できる。これまでセキュリティ対策に費やしていた時間を、より専門的な対策を講じる時間に充てられるようになる。

　脅威は大量化、巧妙化する一方だ。クライアント／サーバ型を中心とした従来型のセキュリティ対策では、絶対的な効果が得られなくなっている。クラウドコンピューティングの仕組みを取り入れた対策は、セキュリティレベルの向上、運用管理の負担軽減、対応時間の低減などの大きなインパクトをもたらすはずだ。