Skip to content

セキュリティ製品

~製品導入に必要なリテラシー~ 

セキュリティ・エグゼクティブ・ディレクター 中島浩光

 

 

今月は「セキュリティ製品」についてちょっと書いてみようかと思います

まだまだインターネットが使われ初めのころの1990年代に「セキュリティ SHOW」だったかな?展示会があって、行ったことがありました。当時は主に物理・施設のセキュリティ関連製品がメインで、いわゆるソフトウェア製品はほとんど展示してなかった状況ですが、そっちの分野はそっちで面白いんですが、今回は、主に「セキュリティソフト・ハード」の話です。 

 

 

<多種多様?>

 

さて、皆さんはセキュリティ製品というと何を思い浮かべるのでしょうか?

ウィルス対策ソフト、暗号ソフト、ファイアーウォール、ログ管理、監視ソフト、ワンタイムパスワード等々、実にいろんな製品があります。個別の製品名ではなく、「セキュリティ製品」というカテゴリーの中にいろんな種類の製品があったりします。

個人的にはこれはすごく不思議なんです。

例えば、「データベース製品」というカテゴリーにある製品であれば、細かい部分は違いますが「データベース」という機能は同じなんですよね。また、「ネットワーク製品」であれば、「ネットワーク」という階層に関係のある製品が並ぶはずなんですよね。

そういう視点で、セキュリティ製品を考えてみると、いろんな機能の製品があり、いろんな階層の製品があったりします。なのに、「セキュリティ製品」という感じでまとめられてしまうのです。




<一般消費者向けセキュリティ製品>

 

さて、セキュリティ製品の中でもいわゆる「一般消費者」向けのセキュリティ製品に関しては、個人的には製品としてはある意味非常に良く出来ているなぁ、と思っています。当然そうでない製品もありますが、全体の傾向として、「良く出来ている」ということです。

というのは、とにかく「利用者の負荷が小さい」。これは、一般消費者側のIT環境が「ほぼ同じ」という状況のためであるのですが、数クリックでインストールできて、使い方も簡単で、場合によっては「勝手に動いて、勝手に守ってくれる」状態です。そのため、利用者側に高度な「リテラシー」がなくても、水準以上に「使えるソフト」になっています。

 

ただ、難を言えば、

  • 「このソフトを入れるだけで全て安全です!」みたいな誇大広告がたまにある。
  • 過剰に不安を抱かせるような広告も多い。
  • 他のソフトのインストールする時に、セキュリティソフトをついでにインストールさせようとするものがある。

など、製品の問題ではなく、「売り方」に問題があるかなぁ。利用者側のリテラシーのなさに付け込んで売ってるんじゃないか?と思ったりします。まあ、全ての製品がそうではないですが。



<企業向け製品はどうなのか?>

 

一方、企業向け製品はどうなのでしょう?

企業向けの製品の場合、一般消費者向けと違い、企業側のIT環境が企業毎に違うため、「設定」とか「カスタマイズ」を大なり小なりしなくてはいけないわけです。製品によりますが、基本的な情報が分かれば設定が済み、ほぼ自動的に運用してくれる製品もあれば、結構な工数をかけて設定を行い、かつ、運用開始後にもチューニングといわれるものや設定の追加・変更を継続的に行っていかなくてはいけない製品まで、いろいろあったりします。

そのため、利用者側がその製品をどうやって使うのか?さらにはその製品で何をしたいのか?という目的を理解するとともに、そのために「何を」設定したりカスタマイズしたりしなくてはいけないのか?を理解しないと、いけないのです。そういったことが、セキュリティ製品を企業側で導入する上での「リテラシー」になるわけなのですが、この部分が利用者側にないケースが結構あったりします。その場合、いろいろと不幸(?)な状態になってしまうのです。

 

 

<セキュリティ製品を導入するにあたって>

 

個人的な経験からなのですが、セキュリティ製品(に限らないのかもしれないのですが)を導入するにあたってのポイントは多分いろいろあるのですが、結構以下のことが重要かなぁ?と思ったりします。

 

1.既存のセキュリティ業務の一部か?新しいセキュリティ業務か?

もし、それが既存のセキュリティ製品の置き換えや、セキュリティ業務の効率化にあたるものであれば、既にそのセキュリティ業務の担当者がおり、運用管理をしていると考えられるのですが、そうではなく今までやっていなかったことに対して、セキュリティ製品をいれて解決しようとしているのであれば、非常に注意が必要です。というのは、その製品を導入して、どうやってセキュリティ業務を運用していくのか?という視点が抜けがちになります。通常の業務システムであれば、そのシステムでどうやって業務を運用するか?という感じで業務フローを書いたりするんですが、セキュリティ製品の導入においてそういったセキュリティ製品に関する業務フローはほぼ見たことがなかったりします。

また、今までやっていなかった業務になるのであれば、それを誰がやるのか?やる工数はどのくらいになるのか?といったことも考えなくてはいけないのですが、往々にして「既存のメンバーで大丈夫だろう」みたいになることも多いです。大丈夫じゃないことも多いんですけどね。

 

2.セキュリティ製品に出来ることではなく、出来ない事をきちんとチェックしたか?

製品ベンダーは製品を売りたいわけです。そのため、「あれもできます」「これもできます」という感じで「出来ること」が売り文句になるわけです。

でも実際に製品を買って導入しはじめると「あれはできません」「これはできません」と言い出したりします。そうなると、ベンダー側と利用者側で齟齬が出始めて結局考えた通りのことが出来ない場合も多くなります。そうすると、「この製品使えない!」とかいう評価が利用者側から出てきたりするので、ベンダーには「何は出来ないのか?」をちゃんとチェックすることをお勧めします。

 

 

ということで、今回は多分以外に見落とされがち(?)なセキュリティ製品導入のポイントを書いてみました。まあ、ちょっと前に似たような状況の会議に参加してしまったので、、、。

 

 

 

 

 


GRCSによるブログ記事です。