IPAが制御できないこの国のセキュリティー - orangeitems’s diary
"IPAとSIerは一蓮托生であり、IPAから発信される情報を抑えていれば、SIerとして食べていく限りは十分な情報が得られ活動できる"え?そんな話初めて聞いた。少なくとも私が現役で関わっている時代にそんな構造はなかった
学生時代にちょっとしたアルバイトからSIerに関わりまして(この頃はN系とF系がメイン)、その後は個人事業主になる等して主にN系メインで業界で稼がせて頂いた私ですが、IPAとSIerにそんな関係があったなんて聞いた事もないし、感じた事もありません。
私が認識する限り、IPAはIT社会実現の為の人材育成や、同様にIT社会が回る為に必要となる諸手続きや構造に関する指針や助言を行う事が目的で、特段、IT社会の構造上の何れかに特別に関与する事もなければ、それらを意識して業務に当たっている事はありません。
そもそも、国家試験についてもIT人材育成に関わる為に行われている事であり、特段それ以上の目的もない。
別にSIerとして欲したから設立されたわけでもなく、SIerに使わせるために試験制度を設計しているわけでもない。
近年区分が再編されているのも、単純にその領域のIT人材が不足する事や、その領域について特化すべきと判断されたために追加または再編されたものに過ぎない。
確かに、SIerというか、どちらかというとSIerの下請け企業では国家資格やIT資格を保有する事で一時金を支給するような制度はある。
が、一方で、それ自体がSIerの活動に影響を及ぼす事はまずない。
例えばSES派遣の現場において、面談の中で国家資格を保有している事は「お持ちなんですね」程度の会話はするだろうが、大半は業務経歴の中身の確認ばかりであって、おそらく参考程度でしかないだろう。
そもそもSIer自身は工程で言えば上流工程しか携わらないか、又は、管理工程のみを請け負う事が多く、実務的に開発であったり運用といった類いは、下請け業者が行う事が大半だ。
さらに言えば、SIerが受注する規模の話しでは、個々人の国家資格が云々等という議論は当然なく、ISOや情報セキュリティに関わる認定を受けているのか等、環境的条件から財務的条件による選別が大半であり、資格が影響するのは精々特定ベンダー資格が必須条件のケース(例えば仮想化であればVMware関連であれば一定数の保有者が必要なケースはある)のみで、それ以外で必要性はない。
その他、モデルケース契約書といった発表物もあるが、あれも同様でIT社会の中を健全に運営する為の仕組みとして指標が必要とIPAが判断し、その判断に基づき活動を行った結果であって、特段SIerとの関係性はない。
というか、SIerはそれぞれの事業者毎に比較的独特な購買部門/ロジックがあり、そもそもあれほど単純な契約書を使う事はない。
あれはどちらかというと、下請け業者や直接発注を行う規模の事業においてのモデル契約書であって、せいぜい項目を参考にする程度であって、その程度のものでしかない。
で、それはIPAもわかっていて「こういった視点もちゃんともってね」という意思表示であり、それ以上でもそれ以下でもない。
脆弱性に関する通報窓口も同じで、IT社会の健全の運営と促進という視点でいえば、ITツール/サービスを起因として社会基盤に悪影響を及ぼす事を良しとしないので、その視点から、情報の窓口としての役割を担っているに過ぎず、特段SIerやそれに関わる事業者の先頭に立って業界健全化の為に取り組んでいるわけではない。
また、文中ではIT文化はもともとアメリカ主体であると述べていますが、そんな事はありません。
そもそもNEC(日本電気)がまだ通信事業を主としている時代において言えば、当然コンピューターの主軸はアメリカにあったものの、日本は比較的独自の方向性を持っていました。後にNECがパソコン領域でそれなりに独自の文化で席巻したのはいうまでもありませんが、SIerやIT領域で言えば、富士通もNECもそれぞれ独自のオフコンを提供しており、外資系がその領域に踏み込む事は非常に難しかったのが実情です。
そもそもがWindowsであったりofficeといったツールですら日本市場で影響力を及ぼすのには一定の時間が必要だったわけで、どちらかというと日本のIT業界は昔からガラパゴス的な構造であって、アメリカ云々の構造や影響力に左右される事が強くなったのは近年の事です。
わかりやすい事例で言えば、昔は日本向けサポートが日本国内にあり、ソフトウェアも日本向けのパッケージが作られる程の状況でした。
当時は日本は独自の商慣習の影響もあり、そもそも直販というモデルが個人向けも法人向けも有効な販路ではなかった事も影響しています。
風向きが変わったのは、私が知る限りLinuxの台頭の頃であったと思います。
それまではクライアントサーバ系の構造であれば公共事業にかかわらず、ホスト系をどのメーカーがとるのかという事で全体の構造が決まり、自ずと採用される技術も確定する事になっていました。
これがLinuxの台頭とWeb技術を活用したインターネットサービスが徐々に話題に上ると、自ずと汎用性の高いホストが採用されるようになり、メーカーによる市場の方向付けは難しくなりました。
当然SIerはメーカーフリーの所もありましたが、事業領域毎に一定の関係を築いている事が多く、結果としてメーカーの影響力の低下に伴い、SIerも汎用的な技術を活用するという海外のトレンドに押し流される形で一気に流れが変わりました。
この時代に一気に勢力を伸ばしたのがIBM系です。
それまでも一部の領域では強かったIBMですが、逆転するほどの力はありませんでした。
ところが、APサーバ領域では圧倒的な製品を持っていた上、当時を知るエンジニアであればわかると思いますが、DB2は独自性と革新性を持つデータベースでもあった為、特定領域では明らかな優位性を持つ事もあり、あの頃の事業成長率で言えば、圧倒的であったと思います。
また、この頃から国内調達でも基盤領域で国内メーカー以外が採用される事も珍しくなくなった(それ以前は外資系サーバーの場合、国内メーカーが仕入れた後、わざわざ国内メーカーでモデル番号を振り直した製品として納品していた)事も追い風となり、一気に多くの領域でIBM系の勢力がまし、この頃から国内技術のトレンドは特に日本固有の技術や方向性から、より国際的で汎用的なモノへと移り変わります。
つまり、もともと日本のIT技術は日本独自でガラパゴス的であったものが、むしろ近年の方が国際的であり汎用的、元記事に従えばアメリカ主体のものに切り替わった経緯があり、決してアメリカ主体のものに従っていたわけではありません。
こういった動きについて当然ですがIPAが指針を示す事もありませんし、何かしら関与する事もありません。
というか、元々IPA無かったし・・・。
IPAによりリスクが軽減される事もありませんし、別にアメリカの文化や新しい動きによってリスクが高まった事もありません。
単純にその案件に関わった事業者がクソだったか、その案件の旗振り役がクソだっただけで、それ以上でもそれ以下でもありません。
業界的に腐っていたとして、それをIPAが正す事も、正す為に彼らが活動する事もありません。
せいぜいIPAはよりよい環境を作る為の指針として、今後も一定の成果を発表するでしょうが、結局はそれを見てどうするかというのは一つの影響はあるとしても、IPAがIT社会の統制をとる事は、これまでも、これからもありませんし、そんな目的として設立されてもいませんよ。
