セキュリティはキリがない

株式会社セキュリティア
代表取締役　中村 俊一

「セキュリティは入れても入れてもキリがない」

よくお客様で耳にする言葉です。他方「セキュリティは儲からない」、これは IT 企業でよく言われています。「どちらも言いえて妙、よく言ったものです」ってセキュリティ屋が言っちゃあいけない！

お客様 ● セキュリティはキリがない

IT企業 ● セキュリティは儲からない

「セキュリティはキリがない」という風潮を作ったのは我々ベンダー自身

「セキュリティはキリがない」、「セキュリティは儲からない」を助長してしまったのが数年前のマイナンバー施行前夜のありさまです。

多くのベンダーやコンサルティングが開催するセミナーは連日満員の大盛況。

可笑しかったのは「マイナンバー・セキュリティ」を謳った製品やサービスです。

アクセス管理、暗号化、ウィルス対策を始めとして、ログ管理、メールセキュリティ、バックアップ、データ消去、金庫までありとあらゆるセキュリティ製品、サービスが「マイナンバー・セキュリティ」というタグをつけました。

ご多分に漏れず、私も前職ではセキュリティ製品全て「マイナンバー」で、セミナー大盛況（笑）。

結局、ユーザーはソリューションが多すぎて何を導入してよいかわからず、様子見。セキュリティ屋の目論見は大失敗。私の業者仲間で満足にもうけた会社は一つとしてありませんでした。「セキュリティはキリがない」、「セキュリティは儲からない」を確固たるものにしてしまいました。

セキュリティベンダーの自戒

数多くのベンダーが、ユーザー個々の環境や必要なセキュリティレベル、予算などを考えずにプロダクト（サービス）をあたかもベストのように提案してくる。

世の中にセキュリティのソリューションが有象無象に存在する。

そんなプロダクトありき（プロダクトアウト）のやりかたがお客様に飽きられ、「セキュリティはキリがない」と言われるようになったのだと思います。

実感（お客様の実情）

他方、「セキュリティはキリがない」とおっしゃっている企業によく話を伺うと、ロクなセキュリティが入っていないことが多いのです。

言葉が過ぎるようですが、「ロクな」の意味は「適切な」ということです。

「そこを守りたかったのに何故その製品？」ということが多いのです。

筋の通ったセキュリティ方針と計画がなく、付け焼刃に、担当者判断でセキュリティ製品を選定し、経営は安いにこしたことがないと競合製品とアイミツを取らせて当初予定と違うモノを導入。

また新たなインシデント対応でまた導入の必要性が出てきてしまったりするから「セキュリティはキリがない」と言われるようになるのです。

「セキュリティはキリがない」という風潮を作った原因

ベンダー ● プロダクトアウト ● コモディティ化 ● セキュリティ脅し ● 「売らんかな」の姿勢 ● 顧客の分析不足

ユーザ ● 付け焼刃 ● 認知バイアス ● 安物買いの銭失い ● 知識不足 ● 業者任せ

「セキュリティはキリがない」と言わせないために

適切なセキュリティを導入し、「セキュリティはキリがない」とならない、またはセキュリティのベストバイ（ best buy ）をするためには、まず自社のセキュリティポリシーを確立することです。

企業ごとに、どのような情報資産があり、どのように守られるべきで、また消失や漏えいした場合のリスクや、セキュリティ強化のプライオリティなどを明確にするべきです。

この際、昨今サプライチェーンへの攻撃が多発しているので、自社がサイバー攻撃の踏み台になったり、取引先から侵入される可能性も考慮するとよいでしょう。

このように一本筋の通ったセキュリティポリシーと計画を確立することにより、情報セキュリティを常にベストに近い状態に保ち、余計な費用を抑えることが可能になります。

本コラムは 2019 年 4 月 25 日に開催された「サイバー攻撃に屈しない最先端 NGAV+EDR セミナー」において当社代表取締役中村俊一の講演内容から抜粋しました。