KCCS に聞く、失敗しないセキュリティ商品選び (2)「企業間・業界間のセキュリティ格差を広げる原因」

セキュリティ商材に強い商社や SIer を訪問し、いま売れているセキュリティ商品や、上手なセキュリティ商品選びのコツを、マーケティングや販売、開発の第一線で活躍する専門家に教えてもらう、SCANの人気連載「失敗しないセキュリティ商品選び」ですが、フォーバルクリエーティブ、住商情報システムと来て、3回目の今回は、京セラコミュニケーションシステム株式会社（KCCS）の徳丸浩氏を訪ねました。

京セラコミュニケーションシステム株式会社
http://www.kccs.co.jp/
KCCSのID管理システム：GreenOffice Directory
https://www.netsecurity.ne.jp/product/s00343/

─

＞＞横並び意識がセキュリティ格差広げる

─セキュリティに対する意識は、企業による差は大きいでしょうか？

大きいですね。特に管理システムとしての成熟度に大きな差があります。ウイルス対策やファイアウォールはほとんどの企業が導入していますが、その責任は誰が持っているのかといったことは非常にあいまいな企業が多いです。個人情報保護対策においても、規程はあっても運用されていない企業が多くあります。これは著名な企業でも少なくありません。

このようなマネジメントの面での成熟度は、Webの脆弱性対策において特に顕著です。これだけSQLインジェクションの危険性が問題になっても、「サイバーノーガード戦法」を実践している企業がたくさんいます。脆弱性管理は年に1回では意味がないという企業と、年に1回くらいはやっておこうかという企業があります。このようなセキュリティにおける格差は、どんどん広がっているように感じ、情けなく思うこともあります。

また、セキュリティ意識の格差は企業内でも存在します。たとえば、システム担当者は理解していても、上司を説得できないケースですね。特に業界内での横並び意識が強く、同業他社で現実に同じ問題が発生しないと導入に踏み切らないんですね。逆に言えば、ひとつの会社でセキュリティのインシデントが発生すると、同じ業界で導入が急激に進むという傾向があります。

＞＞「導入したら終わり」の時代はもう終わった

─製品選びにおいて、こうすれば失敗する、というのはありますか？

担当者の人間性は、かなり重要な要素だと思います。まずは製品を選ぶ際に、本当にその製品を必要としているのかどうかを考える必要があります。たとえば、Webの脆弱性をなくすために導入したいのか、あるいは競合他社が導入しているからなのか、といったことですね。また、単に上司から「導入しろ」と言われて入れるのか、それとも導入した効果まで考えた上でその製品を選んだのかということも大事な要素になります。

IDSと連動する製品では、アラートがたくさん上がってくるような場所に導入することになります。導入後の効果を考えずにこのような製品を導入してしまうと、管理や運用が大変で手が回らなくなってしまいます。つまるところ、担当者がどのような気持ちで取り組んでいるかが重要なのです。この部分がしっかりしていないと、失敗する可能性は非常に高いですね。

またベンダ側も、導入後のことまでサポートしなければいけないと思います。セキュリティ製品は「導入したら完了」ではなく、運用まで回り始めたところでやっと一息つけるようなものなのです。導入すれば終わりなのであれば、製品選びの必要もないんですね。

＞＞素朴な質問をぶつければ営業の化けの皮がはがれる

─製品を選ぶ際には、どのように情報収集するのがいいのでしょう？

製品の情報は、Webで調べることが一般的でしょう。Webでの情報収集は、確かに初期段階では有効です。しかし、あまり勧められる手段ではありません。製品のいい部分しか書いていないからです。やはり最終的には人と人とのやり取りがいいと思います。そして、ここでも人間性が重要な要素になるでしょう。

まずは、担当の営業とじっくり話すことですね。そしてその営業が、質問にしっかりと答えてくれる、信頼できる人間であるかどうかを見極めることが大事です。たとえば、セキュリティには専門用語が多いですが、専門用語以外でも難しい言葉を使おうとするような営業では、信頼できるとはいえません…

【執筆：吉澤亨史】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm