地方企業の遅れがビジネス機会に変わる！セキュリティ支援ビジネスの可能性：株式会社サイトウジムキ 斎藤元有輝氏

Q1. 現在の事業内容を教えてください

岡山県倉敷市で、祖父の代から続く会社です。もともとオフィス用品やオフィス機器、いわゆる複合機とかパソコン、プリンターといったハードの販売を中心にやってきました。地域の企業に対して、日々の業務を支える環境を整えるという役割ですね。

ただ最近は、それだけではなくて、そこに付随するセキュリティの分野にも力を入れています。具体的にはウイルス対策ソフトだったり、UTMといわれる外部からの侵入を防ぐ機器などの提案もしています。というのも、IT機器を導入するだけでは不十分で、その後の安全な運用まで含めて支える必要があると感じているからです。

特に地方だと、まだセキュリティ意識や導入が進んでいない企業も多いので、単にモノを売るだけではなくて、「どう守るか」というところまで含めて提案していく、そういう事業に広がってきているというのが今の状況です。

Q2. セキュリティ対策評価制度とは、どんな制度ですか？

この制度は一言で言うと、サプライチェーン全体のセキュリティレベルを底上げするために、国が指針を示して企業の対策状況を評価していく仕組みです。これまでって、企業ごとにバラバラで対策をしていたんですけど、最近のサイバー攻撃はそこを突いてくるんですよね。例えば大企業自体はしっかり対策していても、その下請けや孫請けの中小企業が狙われて、そこを踏み台にして本体に侵入されるケースが増えているんです。

実際に、サプライチェーンの一部がやられたことで、大企業の工場が止まったりする事例も出てきています。そうなると影響は一社だけじゃ済まなくて、国全体の経済にも関わる話になってくるので、これはもう個別企業の問題ではなく、全体で守らないといけないという流れになっています。

そこで経済産業省が中心になって、JISやISOのような形で基準をつくり、「この項目はできていますか？」という評価をしていく仕組みがこの制度です。評価は星の数で表されていて、3つ星から5つ星まであるんですけど、まずは3つ星が一つの基準になると言われています。ただ、この3つ星でもかなり項目が多くて、これまでの一般的な対策レベルとは比べものにならないくらいしっかりやらないと取れない内容になっています。

今後は、大手企業と取引を続けるためにはこの評価を取得していることが前提になる可能性も高くて、「このレベルを満たしていないと取引できません」という流れになっていくと見られています。なのでこれは単なる任意の制度というよりも、これからのビジネスの前提条件になっていくものだと思っています。

Q3. セキュリティ対策評価制度事業とその支援を始めた背景はどのようなものがありましたか？

もともとうちの会社は、オフィス機器、例えば複合機やパソコン、プリンターといったハードを販売するところからスタートしているんですけど、その流れでウイルス対策ソフトやUTMといったセキュリティ関連の商材も扱ってきました。ですから、セキュリティ自体はまったく新しい分野というよりは、既存事業の延長線上にあるものだったんですね。

ただ実際にお客様と接していく中で感じていたのが、特に地方におけるセキュリティ意識や導入状況の遅れです。東京など都市部ではある程度進んでいる対策も、地方ではまだ導入率がかなり低くて、UTMを入れている企業も体感で1割くらいかなという印象でした。この情報格差というのはかなり大きいなと感じていました。

そこに加えて、ここ数年で大きく変わったのがAIの進化です。AIの発展によってサイバー攻撃の精度が一気に上がっていて、迷惑メール一つとっても日本語が自然で見分けがつきにくくなってきていますし、クリックさせるための手口もどんどん巧妙になっています。つまり、ITを使う以上はセキュリティと切り離せない時代に入ってきたという実感がありました。

さらに、実際に大手企業が被害を受けるニュースも増えてきましたよね。表に出ているのは一部かもしれませんが、サプライチェーンのどこかが攻撃を受けることで大きな影響が出る事例もあり、「これはもう対岸の火事ではないな」と感じたんです。自社としても見直しが必要ですし、同時にお客様にもきちんと伝えていかなければいけないという危機感がありました。

そんなタイミングで、経済産業省がこのセキュリティ対策評価制度を開始するという話が出てきました。これから中小企業にも確実に影響してくる制度だと感じましたし、内容的にも決して簡単ではないので、何も知らないままだと対応が遅れてしまう企業も多いだろうなと。だからこそ、できるだけ早い段階で情報を届けて、必要であれば支援まで行っていくべきだと考えて、この事業に取り組むことを決めました。

Q4. いまからこの活動・事業をするためにはどうしたら良いですか？

この分野にこれから取り組もうと思ったときに、いくつか入口はあると思っています。一番わかりやすいのは、ウイルス対策ソフトのようなセキュリティ系のソフトウェアを扱うところから入る方法ですね。実際、この制度に対応するためにはこういったツールがあったほうがいいですよ、という提案ができるので、比較的入りやすい分野だと思います。

もう一つはハードの側面で、UTMのような外部からの攻撃を防ぐ機器を提案していく形です。これはある程度ネットワークや機器の知識が必要にはなるんですけど、実際の対策としては非常に重要な部分なので、ここも一つの大きな切り口になります。

ただ、それ以上に重要だと思っているのが、評価制度に関わる書類作成の支援です。この制度は評価項目がかなり多くて、何十項目もある内容を一つひとつ整理して報告書としてまとめていく必要があります。イメージでいうと、補助金申請よりもはるかに大変なレベルですね。企業側が自力で全部埋めるのはかなり負担が大きいので、ここをサポートできる人材のニーズは今後確実に高まると思います。

この仕事は特定の資格が必要な独占業務ではないため、極端に言えば誰でも関わることはできます。ただし、実務としてやるにはセキュリティの知識だけでなく、ヒアリング力や文章作成力も求められます。実際には企業から情報を引き出して、それを整理して書類に落とし込んでいく作業になるので、そのあたりのスキルが重要になります。

進め方としては、一気に全部やろうとすると企業側も大変なので、月に1回とか、テーマごとに区切って少しずつ進めていく形が現実的だと思っています。そうやって伴走しながら支援していくスタイルが、中小企業には一番フィットするやり方じゃないかなと感じています。

Q5. 今後、このジャンルの可能性と、成功するためにはどうしたら良いですか？

この分野に関しては、現時点で、まだ認知度は高くありませんが、今後は確実に広がっていくと思っています。というのも、これは一企業の取り組みというより、国が主導して進めている流れだからなんですよね。経済産業省だけでなく、内閣官房なども含めてサイバーセキュリティの強化を打ち出しているので、特に日本のようにものづくりが中心の国では、サプライチェーン全体での対策は避けて通れないテーマになっています。

今はまだ「知らない」「よくわからない」という企業が多い段階なんですけど、制度が本格的に動き出して、大手企業が取引条件として求め始めると、一気に広がる可能性があります。そうなったときに対応できるかどうかで、企業の競争力にも大きな差が出てくると思いますし、それを支援する側の市場もかなり大きくなるはずです。

ただ一方で、この分野はかなり範囲が広いんですよね。ハードの知識も必要ですし、ソフトの理解も必要、さらに書類作成やヒアリング、営業といったスキルも求められます。これを一人、あるいは一社だけで全部やろうとすると、相当負担が大きいですし、現実的ではないと感じています。

なので、うまくいくためには「チームでやる」という発想がすごく重要だと思っています。例えば、ハードが得意な会社、ソフトに強い会社、書類作成が得意な専門家、それぞれが役割分担をして連携していく。そうすることで、より質の高い支援ができますし、無理なく事業としても成立させやすくなります。

中小企業や個人でも、このチームの一員として関わることは十分可能ですし、むしろそういった連携が広がることで、この分野全体もより成長していくんじゃないかなと思っています。