2016年版・営業にダマされない!ITサービスの選び方(第4回)

新・営業にダマされない!セキュリティの選び方

2016.04.27 Wed連載バックナンバー

 情報セキュリティ対策というと、どうしてもインターネットからの不正アクセスやウイルス感染を防ぐことばかりに焦点があたりがちですが、近年のサイバー攻撃の手口は巧妙化し、より広範囲かつ多様な領域での専門的な対策が求められるようになっています。自社のIT環境全般を見据えて検討する必要があり、自前で検討することはかなり難易度が高いため、「餅は餅屋」ということで、セキュリティ対策をプロにアウトソースする企業が増えつつあります。

 一方、セキュリティ関連商品を販売する営業担当の中には、ユーザーの不安をあおり、視野を狭めたうえで、営業担当が売りたいサービスにフォーカスを当てたセールストークを行うこともあるようです。あとで後悔しないためにも、ありがちな失敗例を紹介しましょう。

 

「UTMは万能」の言葉を鵜呑みにしてしまう

<営業担当の売り込み>

 ネットワークセキュリティに必要な機能を1つの箱に集約しているUTM製品ですから、これさえ入れておけばセキュリティ対策はバッチリですよ。個別のセキュリティ機能の専用製品を組み合わせる場合に比べて導入のハードルも低く、ハードウェアも1台で済むので導入コストが圧倒的に低く抑えられます。当社のUTMの本体価格を見ていただければ、その安さがおわかりいただけるでしょう。


<情報システム担当>

 UTM製品を導入した直後から日々膨大なアラートが出力され、その意味を理解し、対応の可否や具体的な対応を導き出すのは、スキル的にも稼働的にも困難だと思い始めた。そのため、危険度の高いアラートだけでも対応しようとしていた矢先、外部からの指摘で機密情報が流出していることが明らかになった。調べたところ、UTMはその事象を検知していたにも関わらず、危険度の低いアラートであったため、放置されていた。UTMを導入するだけでネットワークセキュリティは完璧という売り文句と、価格の安さに釣られてしまったが、UTMが出すアラートへの理解が不十分で、導入後の監視や運用をもっとしっかりと考えておくべきだったことを痛感した。

 UTMにはファイアウォールVPN、ウイルス対策、不正侵入検知・防御(IDS/IPS)、Webコンテンツフィルタリングといったネットワークセキュリティに必要な機能が一通り実装されており、それらの対策を比較的安価に導入できるメリットがあります。

 しかしながら、UTMをはじめとするセキュリティ機器が生成するアラートは、実際には危険ではない誤検知がその大半を占めます。アラートは1日に数万件、数十万件にのぼることも珍しくなく、自社内でのセキュリティ監視には大変な労力と専門的な知識が必要になり、そのような分析業務を専門業者にアウトソーシングするのが一般的になってきていることも覚えておきたいところです。

 

100%のセキュリティ対策はない

<営業担当の売り込み>

 うちのセキュリティソリューションは入口対策のみならず、出口対策にも力を入れており、最近の標的型サイバー攻撃にも対応しています。情報システム担当さまと弊社でタッグを組めば、御社のセキュリティ対策は万全です。


<情報システム担当>

 それなりのコストと時間をかけて、満足のいくセキュリティ対策ができたと思っていた。プロが運用してくれるため安心していたところ、まさかの情報漏えいが発生してしまった。情報システム担当の所掌範囲で守ることだけに目を向けていたため、守りきれなかったときの対策や体制が会社全体としてできておらず、社内が大混乱してしまった。取引先や顧客への対応が後手に回り、企業の信頼性が失墜。被害は想像以上に拡大してしまった。

 そもそも、どんなに強固な対策を講じても100%安全なセキュリティはありえないことを理解しておくべきでしょう。これは大地震に耐える設備に加え、発生したときの対策が必要になる災害対策と同様です。「起きたときの被害をいかに最小限に抑えるか」という視点もセキュリティ対策には欠かせません。

 また、昨今の報道からも分かるように、セキュリティインシデントは今や経営リスクとして位置付けるべきです。そのためには会社全体としてセキュリティインシデントに向き合い、経営判断ができる体制作りも重要です。

 具体的には、セキュリティ上の問題を検討し、万が一問題が発生した場合にその原因解析や影響範囲の調査、また対外的な報告判断を行う「CSIRT(シーサート)」を、社内の組織を横断して構築することは有効な手段といえるでしょう。

 

グローバルでセキュリティポリシーは統一すべきか

<営業担当の売り込み>

 国や地域によって法制度、商習慣はさまざまですので、無理に日本国内のセキュリティポリシーで統一するのは時間的にも、労力的にもおすすめしません。「郷に入っては郷に従え」とも言いますし、必要な機器は現地で調達し、セキュリティ対策は現地の判断にまかせるのが正攻法です。


<情報システム担当>

 そもそも事業基盤が国内市場にあったので、あまり海外拠点のことは気にすることなく日本拠点のみを考慮してセキュリティ対策を導入してきた。ところが、事業の発展に伴い経営方針がグローバル重視にシフトし、M&Aにより海外拠点も増加した。そこでセキュリティ対策を現地にゆだねていた状況が仇になってしまった。セキュリティ管理体制が整っておらず、対策も行き届いていない海外拠点がサイバー攻撃の標的になり、そこを起点に自社グループ全体のネットワークへの侵入を許し、大変な事態を招いた。こんなことなら、最初からグローバル展開を見据えた計画をたてるべきだった。

 自社のビジネスがグローバル化しているのであれば、経営基盤であるIT環境も経営リスクとなる情報セキュリティもグローバルの視点で考えるべきです。

 確かに、法制度、商習慣は国や地域によって一様ではなく、海外で調達できないセキュリティ機器もありますが、自社ネットワークへの侵入はセキュリティ対策が不十分なポイントで成功するため、全社的、グループ全体、サプライチェーン全体でのセキュリティレベルの底上げが重要となってきます。

 ひとつの方法として、全体としてはセキュリティポリシーのベースラインのみを決め、各国や各会社にはその最低ラインから段階的なステップアップを促すなどのアプローチが考えられます。グローバルにおけるセキュリティガバナンスの構築や再考をお考えであれば、そのような実績を有するパートナーを選ぶべきでしょう。

▼それでは、セキュリティ対策の基本をおさらいしておきましょう▼
「セキュリティ対策の基本とは?」

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。

このテーマについてもっと詳しく知りたい

Bizコンパス編集部

Bizコンパス編集部

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter