セキュリティ企業に聞く、失敗しないセキュリティ商品選び〜株式会社フォーバルクリエーティブ(2)

これが典型的な失敗パターン〜失敗しないセキュリティ製品選び

企業の業務とネットワークが切り離せないものとなり、さらにインターネットに接続されている現在、何のセキュリティ脅威にもさらされていない企業はもはやどこにもないだろう。このようにセキュリティ対策の重要性はいっそう高まっているが、脅威は広範化・複雑化しているため、セキュリティ対策商品も数多くの種類が存在している。

企業がセキュリティ商品を選定するにあたって、勝ちパターンはあるのだろうか？逆にどんな選び方が失敗しやすいのだろう？

ScanNetSecurity編集部では、企業の情報システム部門やセキュリティ担当者が抱えるこの問題に答を出すべく、SIerやIT系商社のうち、特にセキュリティ分野で洞察と実績を持つ企業を訪問し、失敗しないセキュリティ商品選びをくわしく具体的に聞いた。

今回は、株式会社フォーバルクリエーティブの、ソリューション・マーケティング部上席テクニカルスペシャリストの馬場重通氏と、営業部マネジャーの田中大介氏を訪ねた。(本稿は両氏に実施したインタビューを編集し構成した)

────

Q：セキュリティ製品を選ぶ際の良い規準とは何？

一番大きな要素となるのは、やはりコストパフォーマンスですね。特に運用コストを重視されるお客様が多い印象があります。また、ラージエンタープライズとSMBでは、前者がパフォーマンスの方をより重視し、後者はコストの方をより重視する傾向があるようです。

また、コストをより抑えるために、統合型のオールインワン製品を選ぶ傾向がありますね。オールインワン製品は管理、運用を一箇所に集中して行えるため、特に運用コストの面で注目されているようです。しかし実際には、SIerが勧める製品をそのまま購入するケースが多いように感じます。

Q：セキュリティ製品導入段階別にお客をカテゴリに分けると？

導入段階は、お客さまのファイアウォール機器を見ればある程度わかります。

まず最初に「ファイアウォールが導入されていない企業」、次に、「ファイアウォールは導入されているが、それが買い換え時期に来ている企業」、そして、「ファイアウォール機器をはじめセキュリティ対策が一定レベルで行われており、同様のセキュリティ対策を支店や支社にも導入したいと考えている企業」、大きくこの3つの段階に分けられると思います。

それぞれ「新規導入組」「買い換え組」「増強組」とでも呼べるかと思います。

「買い換え組」は、数年前にファイアウォールのブームといえる時期がありましたが、このときに導入した企業が主な対象となっているようです。当時は簡易ファイアウォール機能を搭載するルータも立派なファイアウォール機器として認識されていましたから、導入した企業も多かったのです。簡易ファイアウォール機能では、セキュリティ上のさまざまな脅威から企業を守ることが難しくなってきています。そこで今度は専用のファイアウォール機器の導入を検討することになるのですが、ルータ程度のコストで導入できると認識していることが多く、ファイアウォール機器の価格に驚かれることも少なくありません。

支店や支社にもセキュリティ対策を導入したいという「増強組」では、コストパフォーマンスはもちろん設計、導入、管理、運用のすべてにおいて容易さが求められます。このようなニーズから、UTMが選ばれる傾向が強くなっています。

Q：業種の違いによってセキュリティ製品選びに違いはある？

ここ最近で活発になっているのは、やはり金融系でしょうか。目前に迫ってきた日本版SOX法に対応しなければならないことと、それに合わせてセキュリティ対策を見直そうという意識があるのかもしれません。特徴としては、セキュリティ対策をトータルサービスとしてすべて組み込みたいというニーズが高まっているようです。

アウトソーシングやASPという形で、セキュリティ対策を外に任せたいというニーズも、業種にかかわらず高くなっています。この傾向も、裏には日本版SOX法への対応があるようです。セキュリティ対策はインフラも含めてデータセンターごと外部に任せ、リスクを分散させたい意識が働いているのでしょう。この意識は企業規模が大きいほど強くなっていて、新会社法や日本版SOX法のすべてを自社で対応するのは大変なことなんですね。

一方で、地方自治体などはセキュリティ対策の提案が承認を受けるまで、驚くほど時間がかかります。承認が下りた頃には、提案した製品が2世代くらい古くなっているというケースも少なくありません。このため最新の製品で提案をし直すことになり、また承認まで長い期間を待たなければならず、結果的にいつまで経っても対策が行えないことになってしまいます。地方自治体の体質なのでしょうけど、とても歯がゆく感じますね。

Q：企業の目的別にセキュリティ製品をグルーピングして下さい

セキュリティ対策製品は数多くありますので、製品を選ぶには十分な検討が必要です。SIerの提案をそのまま鵜呑みにしてしまうのではなく、順序を追って製品を選んでいくことが重要になります。そのためには、まず自社にどのようなリスクがあるのかを洗い出し、把握します。その上でリスクに合った解決法を探っていくのです。目的とリスク、対策をまとめると以下のようになります。

1）メールサーバやWebサーバを迷惑メールやウイルス、不正アクセスから保護する目的
→　IPS

2）内部からの情報流出を防ぐ目的
→　メールコントロール

3）Webアプリケーションからの攻撃や情報労流出を防ぐ目的
→　WAF

4）会社が認めていないソフトを使用させたくない目的
→　資産管理

5）外部から持ち込まれるPCなどのセキュリティを高めたい目的
→　エンドポイントセキュリティ

現在のセキュリティ商品トレンドは、上記の5点に絞られます。自分の企業がどの部分にフォーカスするのかを明確にしておかないと、企業側もメーカー側も、お互いに時間の無駄になってしまいます。

Q：「こういう導入の仕方をすると失敗する」ってありますか？

あります。製品選びというよりも、製品選びの結果なのですが…

──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec