CSEに聞く失敗しないセキュリティ商品選び(2)パッケージを組み合わせていると、効率悪化も | ScanNetSecurity
2024.04.29(月)

CSEに聞く失敗しないセキュリティ商品選び(2)パッケージを組み合わせていると、効率悪化も

セキュリティ商材に強い商社や SIer を訪問し、いま売れているセキュリティ商品や、上手なセキュリティ商品選びのコツを、第一線で活躍する専門家の話を聞くシリーズ連載「失敗しないセキュリティ商品選び」。フォーバル クリエーティブ、住商情報システム、京セラコミュ

特集 特集
facebookLINE
セキュリティ商材に強い商社や SIer を訪問し、いま売れているセキュリティ商品や、上手なセキュリティ商品選びのコツを、第一線で活躍する専門家の話を聞くシリーズ連載「失敗しないセキュリティ商品選び」。フォーバル クリエーティブ、住商情報システム、京セラコミュニケーションシステム、日立情報システムズ、三井物産セキュアディレクションにつづいて第6回目の今回は株式会社シー・エス・イー(CSE)を訪問しました。同社技術サポート室 セールスエンジニアリングマネージャー CISSP の小川 真毅 さんに話を聞きます。

株式会社シー・エス・イー
http://www.cseltd.co.jp/


●パッケージ製品を組み合わせた「不釣合いなシステム」は効率も悪い

─企業のセキュリティの対策状況を段階別に分けるとどうなりますか?

最低限の対策しか行っていないところ、現状で考え得る最高の対策を行っているところ、そして複数のパッケージ製品を組み合わせた結果、要件にマッチしていないところの3種類に分けられると思います。1番目と2番目はまあいいのですが、問題は3番目ですね。ウイルス対策やスパム対策など、目的ごとにパッケージ製品を導入することを繰り返したため、不釣合いなシステムになっているケースが多く見受けられます。

もちろん、このようなケースは最適な対策ができないわけではありません。必要なものをパッケージ製品で対応させ、足りない部分を別のパッケージ製品で埋めるということを繰り返した結果なので、まずは対策したいことをまとめた上で、対策できるシステム基盤を作るべきなのです。具体的には、目的のすべてを満たしてくれるソリューションを選ぶことになります。

─業種によるセキュリティ対策の違いはありますか?

やはり金融や大企業といったコンプライアンス対応が必要な企業は、セキュリティ対策にも熱心ですね。またセキュリティと効率の双方を重視するため、わたしどもとしても話が進めやすいです。中小規模企業でもセキュリティへの意識はあるのですが、やはり製品導入や運用におけるコストが障害になってしまうようです。そのため、専用の管理者を置かなくても運用できるようなものが求められていますね。

●現状分析と優先順位の決定がポイント

─製品選びにおいて失敗するケースにはどんなものがあるでしょう?

目的をはっきりさせないまま製品選びをすると、当然ですが失敗するでしょう。また、自社の現状を把握することも大切です。具体的には業務内容や業務状況、プロセス、これらの分析などですね。現状を把握せずにセキュリティ対策を実施しようとしても、効率的な対策は望めません。

たとえば、メールのセキュリティ対策をしようとするなら、現在企業でやり取りされているメールのうち、業務メール、機密情報を含むメール、私用メール、スパムメールの割合を把握することが必要でしょう。CSEでは製品選びの段階からコンサルティングも行っていますが、スパム対策で相談にいらした企業で現状を分析したところ、スパムメールよりも私用メールが多く、これらが業務効率を下げていたということも実際にありました。

コンサルティングを利用することも、製品選びでの失敗を防ぐ有効な手段だと思います。ファイルサーバが100台ある企業でセキュリティ対策を行う場合でも、コンサルティングによってアクセスが集中しているサーバは5台だったことが判明したケースもあります。まずは、この5台にのみセキュリティ対策を行うことで、費用効果の高い対策が実現できるわけです。製品選びの前にデータを集め、それを分析、検討することも大事だと思います。

●どれも同じに見えるWebの情報

─製品を選ぶときの情報収集は、どんな手段が有効でしょう?

もっとも手軽な情報収集方法はWebでしょうけど、どれも同じに見えてしまいますよね。イベントなどで集める資料にしても同様です。やはり直接顔を合わせることが一番だと思います。展示会なども顔を合わせますが、展示会では目立つ機能しかデモを行いませんし、時間も限られています。

代理店などに相談することがベターだと思います。ニーズに合ったデモを見せてくれますし、専用のデモルームが用意されているところもあります。評価機を借りるのもいい手段でしょう。資料では同じように書かれていたことでも、実際に使ってみるとまったく違うことを意味していた、などということもあります。

また、相談する際には前述したように企業の現状の把握や重要な資産、どんなシステムが動いているのかといった情報を集めておくと、よりスムーズに話が進むと思います。対策を行ったことで、他の部分に影響が出たり、別の脅威が発生する可能性もあるからです。

●発注後の導入が早いのがアプライアンス

─最後に、一般的な導入スパンを教えてください

案件や製品などによって異なると思いますが、「SECUREMATRIX」や「MIMEsweeper」で平均的なケースでは、相談から提案までが数週間から1ヶ月くらいです。ここでは要件のヒアリングを行い、CSEから具体的な導入案を提案するまでの時間ということになります。

提案が稟議を通過し、導入が決定すると発注ということになります。ここでは導入先での審議や、再提案などもあるため、2〜3ヶ月はかかるでしょう。発注が決定すると導入ということになりますが、「SECUREMATRIX」や「MIMEsweeper」、「RSA enVision」はアプライアンス機器として提供可能なので、すぐにでも導入できます。一般的な製品ではここでも数ヶ月、場合によっては1年かかることもあるため、意思決定から導入、運用が早いというメリットがあります。

─ありがとうございました。

【執筆:吉澤亨史】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  5. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  6. TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

    TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

  7. NETGEAR 製ルータにバッファオーバーフローの脆弱性

    NETGEAR 製ルータにバッファオーバーフローの脆弱性

  8. NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

    NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

  9. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  10. 札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

    札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

ランキングをもっと見る
ホーム 特集 特集 記事
TOP