ITとセキュリティにも「失われた30年」はあったのか？

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [ITとセキュリティにも「失われた30年」はあったのか？](https://japan.zdnet.com/article/35243057/2/)【ZDNET JAPAN】(2026年02月04日) --- > [!NOTE] この記事の要約（箇条書き） - 日本の「失われた30年」（1990年代〜2020年代）において、ITとセキュリティ分野も同様に低調な変遷を辿った。 - 1990年代のIT黎明期はPCの普及（Windows 95がターニングポイント）とインターネット利用の始まりで、セキュリティはアンチウイルスソフトが主な対策だった。 - 2000年代のIT普及期にはドットコムバブルがあったが、日本からGAFAのようなプラットフォーマーが生まれず、国内市場が日本発のサービスを「受け入れなかった」ことが問題視された。これは「過度のリスク回避志向」が原因と分析されている。 - この時期のセキュリティは海外の高性能製品が導入されたものの、運用する人材不足によりその真価は発揮されず、アンチウイルスと従来のファイアウォールに依存していた。 - 2010年代には高度なセンサーを持つセキュリティ製品が普及したが、ユーザー企業にアラートに対応する人材がいなかったため「免罪符セキュリティ」が横行したと著者は述べている。 - 転換点となったのは、SOCの登場、2011年の標的型攻撃事件、そして2015年に経済産業省が公開した「サイバーセキュリティ経営ガイドライン」である。特にCSIRT（Computer Security Incident Response Team）の必要性明記が、ユーザー企業にセキュリティエンジニアを配置するきっかけとなり、セキュリティ運用が本来の姿に近づいた。 - 著者は、ITとセキュリティの成長が日本の「失われた30年」とほとんど同様に停滞していたと結論し、今後の適切な選択と継続的な努力の重要性を強調している。 > [!NOTE] 要約おわり --- - - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243057%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243057%2F&hashtags=ZDNET) - - 印刷する - - メールで送る - テキスト - HTML - 電子書籍 - PDF - - ダウンロード - テキスト - 電子書籍 - PDF - - クリップした記事をMyページから読むことができます　本連載は、好評のうちに終了した「企業セキュリティの歩き方」の後継となる。以前と同様に、セキュリティ業界を取り巻く現状や課題、問題点をひも解きながらサイバーセキュリティを向上させていくための視点やヒントを提示する。　また、連載タイトルの「正直」とは、ITやセキュリティ業界での四半世紀を超える筆者の経験で感じた「正直」なこと、場合によってはあえて「正直では無かった」部分にも言及することで、セキュリティを取り巻く構造や核心に切り込んで行ければと考えている。　今回は、日本の失われた30年におけるITとセキュリティの変遷や、その時々のターニングポイントだと筆者が考えていることについて述べる。メディアなどでは、1990年代から現在（2020年代）までのこの期間を「失われた30年」と表現することが多いが、ITとセキュリティも、それに該当してしまうのだろうか。　失われた30年とは、1990年代初頭のバブル経済崩壊後、日本が約30年間にわたり経済成長の停滞、デフレーション（物価下落）、賃金の伸び悩み、国際競争力の低下など、長期的な経済の低迷と国力の相対的な低下の総称だ。結果的に、現在を割と端的に表現した言葉であり、一般にもこの言葉は浸透している。　世界の経済の伸長もあって、国内総生産（GDP）や国民の平均給与などの指標では横ばいの状況が続いているものの、少なくとも株価については1989年末の日経平均株価最高値（3万8915円）を大きく超えた状況が続いている。このことから、底は脱したと考えられ、なんとか「失われた30年が40年になることは避けられた」ように思われる。　もちろん、明日にでもコロナ禍やリーマンショックのような衝撃的な不況が発生するかもしれない。日本では中産階級層が縮小し貧困層が拡大しているが、同様の傾向は先進国でも見られ、成熟した資本主義社会が抱える共通の問題だとも思える。いずれにしても、30年間にわたる長期の停滞期を（本当にギリギリかもしれないが）脱したのが日本の現在地だ。　次に、「その失われた30年におけるITとセキュリティはどうだったか？」この問いに関する考察を述べていく。全くの偶然だが、この30年間はよわい50を超えた筆者の社会人になってからの時期とほぼ同じであり、筆者の社会人経験の振り返りのような内容も含まれる。 ## IT黎明（れいめい）期とそれ以前　1990年代というのは、昭和が終わって平成が始まった頃である。筆者はこの1990年代のほとんどを学生（平成元年が中学2年生の3学期）で過ごした。PCを初めて購入したのもちょうどこの時期でNEC製の「PC8801」シリーズを購入し、プログラミングを学び――と言いたいところだが、実際にはほとんどゲームばかりしていた。　しかも、「三国志Ⅱ～Ⅳ」や「信長の野望シリーズ」「大戦略シリーズ」などのシミュレーションゲームを好んでいたため、太守や戦国武将、国家を変えれば無限に遊べるゲームばかりで、受験期を含めてこの地味な作業を伴うゲームをやり続けた。今思えば「暇なのか？」と思うものの、意外とこの修行のような、無限に続くかのようなシミュレーションゲームの経験は現在のビジネスで結構活用できている。「人間万事塞翁（さいおう）が馬」とはよく言ったものだ。　現代のITとセキュリティの観点から、この時代のPCをどう捉えるかは少し難しく、その当時の状況を少し説明したい。日本のコンピューターの歴史は、それ以前の機械式計算機などもあったが、一般的には1950年代の真空管式国産機「FUJIC」やトランジスタ機「ETL Mark III」から始まった。　一般にコンピューティングが普及したのは、1960年代のオフコン・メインフレームであり、これが第一世代と言える。IBMやUNIVACの海外コンピューターの導入から始まり、NECや富士通、日立などの国産コンピューターメーカーがそれに続く形になった。　第二世代は1980年代以降のパーソナルコンピューター（PC）の爆発的普及となる。この時期は、第一世代の大型コンピューターからPCへコンピューター自体が「ダウンサイジング」した時代で、これによりコンピューティングの裾野が大きく広がった。具体的には、国産PC（主にPC-9801）がオフィスや店舗のバックヤードなどに設置され、売上実績の管理や発注と納品の管理などがなされていた。　これを額面通りに解釈すると、すでにITの進化が始まったように感じるかもしれないが、PCはスタンドアローンのものが多く、ITというより計算機の延長と言った方が近いかもしれない。アナログの電話回線にモデムやカプラーでネットワーク接続している場合もあったが、フロッピーディスクドライブ（FDD）のような記憶媒体経由での情報連携が主流で、現代のようにネットワークとコンピューティングが一体化している時代とは、まだまだ懸け離れていた。ITというからには、何は無くとも「インターネットに接続すること」が基準になると思われる。　そういう意味では、社会現象にもなったMicrosoftの「Windows95」の発売が、間違いなくITにとって最初の大きなターニングポイントだった。もちろん、インターネット自体の起源は、1960年代後半のアメリカの軍事研究ネットワーク「ARPANET」だが、一般の人がインターネットに普通にアクセスできるようになったのは、このWindows95の発売から始まったのは疑いようのない事実だ。　当時、Windows95を搭載したPCでネットサーフィンをするというのが最先端の人たちの行動となり、「趣味はネットサーフィン」という現在では少々信じられない状況がまかり通っていた時代だった。1990年代の後半くらいまでは、ウェブを使う事は手段ではなく目的だったのだ。　この頃のセキュリティというと、コンピューターウイルスの存在はすでに世の中に認知されており、トレンドマイクロやシマンテックのアンチウイルスソフトも家電量販店や大規模な書店などで購入することが可能だった。ただし、当時のセキュリティはアンチウイルスソフトの導入こそがセキュリティの全てにかなり近い状況だった。 [PAGE 2](https://japan.zdnet.com/article/35243057/2/) ## IT普及期（ドットコムバブルと2000年代）　インターネットの黎明期とその後の成長期や普及期とは、ドットコムバブルと呼ばれるインターネットビジネスの隆盛の時代で分けられる。ただし、バブルと呼ばれるようにこの時に起業したIT企業の多くが泡沫（ほうまつ）のように消えてしまった。それでも、「Yahoo！」のような生き残った会社もある。また、その後に登場したGAFA（Google、Amazon、Facebook、Apple）に代表される多くの米国企業が、プラットフォーマーと呼ばれる巨大IT企業となった。　筆者は、IT分野における日本のターニングポイントはここにあると考えている。結局は「日本からGAFAが生まれなかった」ことに尽きるのだが、実は生まれなかったことだけが問題ではない。実は幾つものGAFA級のビジネスの卵はあったと思われるが、そのような日本発のサービスを「日本市場が受け入れなかった」ことの方が問題だった。　その理由は、本連載の前回の拙筆「海外製ソリューションの輸入業者に成り果てたITベンダー」にも記載されているが、この記事を読んだ立命館大学の上原哲太郎教授がご自身の「X」（旧Twitter）で述べている [感想](https://x.com/tetsutalow/status/1996002254902751436) がより端的な表現だ。　その感想とは、「いやー。ほんと頷くことばかり。で、そのほとんどの真因は結局、日本文化の過度のリスク回避志向と、そこから来る終身雇用に代表される人事評価制度にあると思うんだよなぁ…」というものだ。　この筆者と上原教授の見解の一致は、同じ時期（実際には上原教授の方が期間は長く、内容は比較にならないほど深い）の日本のITを見て来た人の共通のものかも知れない。結局、上原教授の言う「過度のリスク回避志向」により、ベンチャー企業の芽生えを日本の大企業が自らつぶしてしまったことに尽きる。　個人的には、日本企業が「なぜ米国のベンチャー企業の製品には、内容をろくに見もしないで出資を含めて積極投資するのに、日本のベンチャー企業には見向きもしない」のはどういう理屈だと思う半面、2000年代の筆者自身は専ら海外製品の日本市場への普及啓発のトップランナーのような存在だったこともあり、そのことには今更ながら反省するしかない。　実は、某大手メーカー系ベンダーに所属していたころに、国内ベンチャー企業の製品の取り扱いの企画書を何度か本部長や役員に提出したことがあった。しかし、その幾つかの国産製品は、販売代理店契約を締結するというハードルは超えたものの、他の海外製品のような拡販のための組織を整備するに至らなかった。　この時の筆者の感想は、盲目的な「米国のシリコンバレー信仰」に近いものだったが、実はその裏に「過度のリスク回避志向」という日本の古くからの文化に近い意思決定要因が関わっていたのかもしれない。　このように、2000年代までのセキュリティは、大手企業が大規模なインシデントの報道のたびに「海外の高性能セキュリティ製品」を検討、その幾つかが購入され、じわじわ市場が拡大することで少しずつ成長していった。　その反面、ユーザー企業に高性能なセキュリティ製品を運用する人材を置けなかったことで、「海外の高性能セキュリティ製品」の真価が発揮されることは無かった。そのため、この頃までのセキュリティとは「アンチウイルスソフト」と「ファイアウォール（主にステートフルインスペクション形式のもの）」に依存し続けた時代だったのだ。 ## セキュリティはまだ黎明期「免罪符セキュリティ」が横行した時代　セキュリティ製品がファイアウォールのような壁ではなく、高度なセンサーによって攻撃を検知できるようになったことは非常に大きな進歩だった。しかし、2010年くらいまでの日本は残念ながら最高に評価しても「画竜点睛を欠く」状況だったと言える。　高度なセンサーは攻撃を検知するが、検知アラートに対応する人材がユーザー企業には存在しなかったからだ。結局、高度なセンサーが見つける攻撃アラートのほとんどは無視され、有効活用されない事態が散見された。　「なぜ有効活用できない製品を導入するのか？」と不思議に思う方も多いだろうが、それは巧妙化するサイバー攻撃には、最新のセキュリティ製品を導入すれば安心だという思い込みから来ている。しかも、攻撃者がどのような攻撃手法を使い、その対策として——というような論理的な裏付けもなく、売れている最新の製品を購入するという短絡的なものだった。　図らずも、「免罪符セキュリティの流れを作ったＡ級戦犯は筆者」だという意見が、古くからのセキュリティ業界の方々の間で存在する。なぜなら、筆者が「海外の高性能セキュリティ製品」の代表格である次世代型ファイアウォールの爆発的な普及に深く関わってしまったからだ。わが事ながら、このように書くとずいぶんと悪逆非道な経歴に聞こえてしまうが、もちろん事情がある。以下に少しだけ言い訳をさせていただいた。　まず、次世代型ファイアウォールの日本上陸が2008年であった。すでにステートフルインスペクション型の従来型ファイアウォールは、値段が安かったこともあって大企業はもちろん、中小企業まで普及しきっていた。しかし、ウェブの進化はすさまじく、ネットワークトラフィックのほとんどがウェブアプリケーションとなる状況だった。　当時、すでにPort80/443を通るウェブアプリケーションの割合は80%を超えており、従来型ファイアウォールのPort開閉によるネットワーク制御は、それほど機能していない状態だった。その点、次世代型ファイアウォールは、Port80/443を通るウェブアプリケーションを判別し、アプリケーションレベルでの制御ができるようになった。これは、アプリケーション可視化と呼ばれた画期的な機能だった。　この次世代型ファイアウォールは、現在の日本市場でも群を抜いたシェア率を保っており、圧倒的な機能を持つセキュリティ製品だった。ただし、その当時で従来型のファイアウォールとの違いを理解し、効果的に運用できるユーザー企業は数えるほどだった。　それでも、次世代型ファイアウォールを仕様通りに運用できる時代は２～3年程度で来るはずだと筆者は思っていた。しかし、その願望は「はず」で終わってしまった。その後5年以上も同じ状態が続き、その時点では「日本史上最高の免罪符セキュリティ」が爆誕したと言われても、返す言葉も無かった。　ただし、その後の日本のセキュリティ市場は大きく伸長した。まず、セキュリティオペレーションセンター（SOC）での対応が始まり、2011年の標的型攻撃事件と2015年に経済産業省が公開した「サイバーセキュリティ経営ガイドライン」の指針に沿って、「サイバー攻撃への対策が経営責任」という合意形成が、少なくとも大企業においてはその時点でなされ、日本のセキュリティは飛躍的に効果が出せるようになった。　また、同時にそのガイドラインに「Computer Security Incident Response Team（CSIRT）」の必要性の記載があったことが本当に秀逸だった。なぜなら、これがインシデント対応の組織がユーザー企業に設置されるきっかけとなったからだ。　それまでベンダー企業にしか居なかったセキュリティエンジニアが、ユーザー企業側にも居ることが当たり前になった。これによって、本来あるべき姿を追求する当たり前のことが、ベンダーとユーザー企業の間で成立するようになったのだ。　これによって、免罪符セキュリティとなっていたセキュリティ製品の多くが、本来の機能と運用を果たせるようになったきっかけとなった。10数年を経た現在でも免罪符セキュリティは「それなりには散見」されるものの、少なくとも絶望的な状況からは脱したと言える。このような経緯もあって、（私事で申し訳ないが）筆者が「悪逆非道の汚名」を被り続けるという最悪の状況には至らなかった。　このように、ITとセキュリティも成長はしていたものの、その本質は「日本の失われた30年とほとんど同様」の低調なものだった。そもそも、日本の失われた時代が30年もの長きにわたって継続してしまったのは、日本がIT分野で米国や中国に負け続けた結果だとも言える。今後、日本がどれだけ失われた時代を持たないで済むかは、できる限り最善の道を選択し、粛々と進み続けるしかないのだ。 **武田一城（たけだかずしろ）** 株式会社ベリサーブ 1974年生まれ。独立系SIerなどを経て2022年より現職。システムプラットフォーム、セキュリティ分野の業界構造や仕組みに詳しいマーケティングのスペシャリスト。次世代型ファイアウォールほか、数多くの新事業の立ち上げを経験している。ウェブ、雑誌などの執筆実績も多数あり。NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会（JNSA）のワーキンググループや情報処理推進機構（IPA）の委員会活動、各種シンポジウムや研究会、勉強会での講演なども精力的に活動している。 - - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243057%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243057%2F&hashtags=ZDNET) ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。 ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。