コラムCOLUMN

セキュリティはキリがない

コラム
セキュリティはキリがない

株式会社セキュリティア
代表取締役 中村 俊一

「セキュリティは入れても入れてもキリがない」

よくお客様で耳にする言葉です。他方「セキュリティは儲からない」、これは IT 企業でよく言われています。「どちらも言いえて妙、よく言ったものです」ってセキュリティ屋が言っちゃあいけない!

キャリアウーマンお客様
● セキュリティはキリがない
メガネをかけた男性IT企業
● セキュリティは儲からない

「セキュリティはキリがない」という風潮を作ったのは我々ベンダー自身

「セキュリティはキリがない」、「セキュリティは儲からない」を助長してしまったのが数年前のマイナンバー施行前夜のありさまです。

多くのベンダーやコンサルティングが開催するセミナーは連日満員の大盛況。

可笑しかったのは「マイナンバー・セキュリティ」を謳った製品やサービスです。

アクセス管理、暗号化、ウィルス対策を始めとして、ログ管理、メールセキュリティ、バックアップ、データ消去、金庫までありとあらゆるセキュリティ製品、サービスが「マイナンバー・セキュリティ」というタグをつけました。

ご多分に漏れず、私も前職ではセキュリティ製品全て「マイナンバー」で、セミナー大盛況(笑)。

結局、ユーザーはソリューションが多すぎて何を導入してよいかわからず、様子見。セキュリティ屋の目論見は大失敗。私の業者仲間で満足にもうけた会社は一つとしてありませんでした。「セキュリティはキリがない」、「セキュリティは儲からない」を確固たるものにしてしまいました。

セキュリティベンダーの自戒

数多くのベンダーが、ユーザー個々の環境や必要なセキュリティレベル、予算などを考えずにプロダクト(サービス)をあたかもベストのように提案してくる。

世の中にセキュリティのソリューションが有象無象に存在する。

そんなプロダクトありき(プロダクトアウト)のやりかたがお客様に飽きられ、「セキュリティはキリがない」と言われるようになったのだと思います。

実感(お客様の実情)

他方、「セキュリティはキリがない」とおっしゃっている企業によく話を伺うと、ロクなセキュリティが入っていないことが多いのです。

言葉が過ぎるようですが、「ロクな」の意味は「適切な」ということです。

「そこを守りたかったのに何故その製品?」ということが多いのです。

筋の通ったセキュリティ方針と計画がなく、付け焼刃に、担当者判断でセキュリティ製品を選定し、経営は安いにこしたことがないと競合製品とアイミツを取らせて当初予定と違うモノを導入。

また新たなインシデント対応でまた導入の必要性が出てきてしまったりするから「セキュリティはキリがない」と言われるようになるのです。

「セキュリティはキリがない」という風潮を作った原因

メガネをかけた男性ベンダー
 プロダクトアウト
 コモディティ化
 セキュリティ脅し
 「売らんかな」の姿勢
 顧客の分析不足
キャリアウーマンユーザ
● 付け焼刃
 認知バイアス
 安物買いの銭失い
 知識不足
 業者任せ

「セキュリティはキリがない」と言わせないために

適切なセキュリティを導入し、「セキュリティはキリがない」とならない、またはセキュリティのベストバイ( best buy )をするためには、まず自社のセキュリティポリシーを確立することです。

企業ごとに、どのような情報資産があり、どのように守られるべきで、また消失や漏えいした場合のリスクや、セキュリティ強化のプライオリティなどを明確にするべきです。

この際、昨今サプライチェーンへの攻撃が多発しているので、自社がサイバー攻撃の踏み台になったり、取引先から侵入される可能性も考慮するとよいでしょう。

  • 何をどのように守るのか
  • リスクアセスメント
  • プライオリティ
  • セキュリティ投資計画

このように一本筋の通ったセキュリティポリシーと計画を確立することにより、情報セキュリティを常にベストに近い状態に保ち、余計な費用を抑えることが可能になります。

本コラムは 2019 年 4 月 25 日に開催された「サイバー攻撃に屈しない最先端 NGAV+EDR セミナー」において当社代表取締役中村俊一の講演内容から抜粋しました。

中村俊一

株式会社セキュリティア 顧問

1984 年大手システムインテグレーターに入社、メインフレームの技術者(アセンブラ)を経験後、 2003 年よりストレージシステム、システム開発、アウトソーシング、セキュリティ事業等の部長職を歴任した後、グループ会社に転出し複数の事業が混在していた同社を情報セキュリティ専門企業に再編成した。
「セキュリティを提案するには自社が模範とならなければ」との考えから、陣頭指揮してセキュリティマネジメントシステムを構築しその効果の証としてプライバシーマークおよび ISMS を取得。また、セキュリティエバンジェリスト育成に尽力し、企業の啓発に努めた。
2018 年、東証 2 部上場の株式会社ハイパーグループで高度なセキュリティ事業を担う株式会社セキュリティアの代表取締役社長に就任。
2020 年、株式会社セキュリティア 顧問に就任。
 CISO 羅針盤」事業では自ら得意分野の「情報セキュリティポリシー策定」、「情報セキュリティマネジメント構築」、「セキュリティ実装計画、製品購買/導入コンサルティング」等を担当する。

カテゴリー

最新記事