職業としてのセキュリティ--日本企業のIT分業を覆した「黒船来航」

ここで指摘されている、サイバー被害の裏に「ベンダー主導によるIT導入という日本特有の企業文化を背景とした構造的な問題」があるというのは、その通りだと思います。2010年代になってからも、セールスフォースを導入するために、セールスフォースに強いベンダーに依存するという構図が生まれてことも、そのひとつの現れでしょう（内部IT人材が育成されないという意味においてです。セキュリティ的にはセールスフォースにすることで強化されていると思います。念のため）。

なお、実際にサイバー攻撃によるインシデントが発生した際、ベンダー依存の企業に比べ、自社でサービスを開発してるITベンチャーは、対応スピードも早く、回復力も高いと感じます。

今後アジャイルプロセスで内製開発されるシステムが増えてきて、益々セキュリティの重要性・緊急度・拡大傾向は高まります。特に自社エンタープライズ系のアプリ開発では、ユーザー中心の価値観で価値の最大化を狙いますので、セキュリティの優先が下がるベクトルが働くからです。ユーザーがセキュリティの内部事情に精通するのは期待できません。また、アジャイル組織が求める現場への権限委譲も同様のベクトルを強化してしまいます。

自社向けのエンゲージメント開発でリスクをコントロールしたいなら、モダンな継続配信が求められるでしょう。

そしてその膨大な検討を企業最適化させるためにセキュリティ部署を設けるなら、紙によるアセスメントを少なくして、代わりにアーキテクチャ、フレームワーク選定、パラメータ、ソースコードによるプラクティス提供、こうした活動にレベルアップして行くのが目線となると思います。センター・オブ・エクセレンス系のチームとセキュリティチームの融合に近い考え方です。

そして、その様な活動を支えるため、脆い要塞で隔離するセキュリティから ゼロトラストなセキュリティに代えていき、加えて、データの更新削除が物理的に不可能なデータアクセス方法に転換することでスパムの無力感醸成も長期的な活動としてすぐに仕込んで行きたくなると思います。

＞一方の罪の部分は、この仕組みによって日本企業のほとんどが「企業経営に大きなインパクトを与えるITの効果を無視するようになった」ことだ。それは、ユーザー企業が「自分たちに最適なITとは何か？」ということを考えなくなったことと同義であり、IT導入時の興味が「コスト」だけになった瞬間でもあった。

＞その結果、ユーザー企業のIT導入と言えば、シリコンバレーなどの欧米で実績のある新しいソリューションを導入することに終始した。その代表例は、「統合基幹業務システム（ERP）」「顧客関係管理（CRM）」「ビジネスインテリジェンス（BI）」など枚挙にいとまがない。少なくともこの20年間のIT導入の主役は、ほとんどがそれらであった。


ここはまさにその通りだと思います。

しかも、ERPなどを盲目的に導入することに決定するのは、そのERPを実際には操作しない経営陣や上位管理職。
そんな自分では操作しない人たちが『自分たちにとって最適なIT』なんて考えることは当然なくて、導入と運用にかかるコストが賄え切れるかどうか、の一点でしか考えてない。

だから大規模なERPを導入しても、5年くらいでまた次のERPの話になっちゃう。実際に操作する人たちにとって使いづらいのだからそうなるのは当たり前。

IT化は、実際に業務をしている人たちの意見をまずは最優先にして考えるべき。本当に業務負荷がラクになる見込みがあるのかどうかも実業務担当が判断すべき。

システム導入プロジェクトに実業務担当も入れているから意見を聞いている、というのは大きな間違いだよね。日本では『忖度』が激しいのだから素直な意見がプロジェクト内で言えるわけもない。