CISOの相談室　第21回海外のセキュリティ製品利用時の注意点を教えて下さい

　会社で、海外のITセキュリティ製品を利用するにあたってどんなことに注意すればいいでしょうか？　海外と日本のセキュリティ事情の違いを踏まえて教えて下さい。

回答は最後にあります

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@ns-research.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

─

●遅れる日本語化

　特に海外のネットワーク系セキュリティ製品に言えることですが、製品の日本語化が進んでいません。未だに最新のセキュリティ製品は英語版のままです。日本人は当然日本語の製品や説明を期待しています。それにもかかわらず、製品ばかりかマニュアルすら日本語になっていない製品が後を絶ちません。

　笑えない実話ですが、どうしても日本語版が使いたいというユーザは、セキュリティレベルを犠牲にして、一世代昔の製品を使っているのです。今後の製品作りは、開発当初からマルチランゲージを意識して、世界同時発売や同時アップデートであるべきです。この点についてはMicrosoft社を見習ってほしいものです。

●海外とのセキュリティ事情の違い

　海外と日本との違いに、古いOSや遅いマシンへの対応があります。日本では特に自治体や学校で、未だに古いOSやマシンを利用しています。5年などの長期リースでマシンを導入したために、リースが終了するまでは新しいマシンが買えないというのが主な理由です。ところが、MicrosoftがOSのサポート打ち切りをアナウンスすると、多くのセキュリティベンダー達も「待っていました！」とばかりに古いOSのサポートを打ち切ります。それでも、ユーザは古いOSのマシンをネットワークにつないで使い続けているわけで、セキュリティ製品がそのマシンを対応しなくなった場合、そこがセキュリティホールになり、ウイルスが侵入してきたり、攻撃の標的になったりすることは当然の結果と言えます。

　また、OSのパッチも日本では問題になるところです。海外製品では、OSに最新のパッチが当たっていることがセキュリティ製品の機能を保障する仕様となっている事が多いのです。ところが、日本の多くの企業では可用性こそが最重要で、稼働中のシステムにパッチを当てることでシステムに問題が出ることを恐れ、テストマシンでのパッチの評価が終わらまでは本番サーバにパッチを当てないとか、恐ろしいことに半年以上もサーバにパッチが当たっていないという企業もざらにあります。このような理由から、海外に比べ、日本ではセキュリティ製品のアップデートがいつも後手に回っているのです。

　また、オーバースペック、つまり、セキュリティも行き過ぎてしまっては…

【執筆：せきゅバカ一代】
＜執筆者略歴＞
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@ns-research.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec