現在のセキュリティ領域は、一言で言えばカオスな状況にある。次々と登場するフレームワークやガイドライン、そして「SASE」(セキュアアクセスサービスエッジ)や「ZTNA」(ゼロトラストネットワークアクセス)といったアルファベットの略語が飛び交い、それらを提供するベンダーも膨大な数に上る。
SB C&S ICT事業本部 ネットワーク&セキュリティ推進本部 販売推進統括部 ゼロトラスト推進室 テクニカルマーケティングマネージャーの遠藤宗正氏は、「当社が取り扱っている製品だけでも200社ほどある。世の中にはさらに多くの選択肢が存在しており、ユーザーが自社の要件に合致するメーカーを自力で探し当てるのは難しい状況にある」と説明する。
SB C&S ICT事業本部 ネットワーク&セキュリティ推進本部 販売推進統括部 ゼロトラスト推進室 テクニカルマーケティングマネージャーの遠藤宗正氏
同社は、約4年前にセキュリティに関する専門知識を基に最適なソリューションを提案する「セキュリティソムリエ」を立ち上げた。セキュリティソムリエは、顧客の課題感や予算、既存環境をヒアリングし、数百の選択肢から最適なソリューションを選び出す。
製品を選定する際、既存システムとの相性を見極めることが重要になる。相性の悪い製品を連携させると、実際の運用段階で不具合を招く恐れがあるからだ。セキュリティソムリエには、導入後に問題が起きないように、製品間の親和性を正確に把握する専門性が求められる。
また、顧客の対策領域の優先順位を付けることも重要になる。顧客からは「最近ランサムウェアが流行っているからその対策がしたい」といった抽象的な要望が少なくないという。ランサムウェア対策といっても、守るべきものが何かといったことや予算感で複数あるソリューションの中から選ぶものが変わる。
優先順位付けとして同氏がまず聞くのは、「顧客の重要資産がどこにあるか」ということだ。ランサムウェア対策というと、エンドポイント検知・対応(EDR)を最初に導入する顧客が多いが、そもそも端末自体に重要資産がなければ、EDRを導入する意味が薄れてしまう。
例えば、仮想デスクトップ基盤(VDI)やシンクライアント端末を使っていたり、データが全てクラウドストレージにあったりした場合、優先すべきは感染経路の遮断やバックアップデータの隔離だ。「優先順位が変われば、選ぶべきソリューションも変わる」と同氏は説明する。
同社は、取り扱うソリューションの評価を徹底している。利便性やライセンス体系、機能の深さに加え、管理画面の日本語化やサポート体制といった多角的な評価基準を設けている。特に、単体機能のみ利用できるライセンス体系があるかの精査は欠かせない。顧客が利用している既存製品と重複する機能が包含されていると「二重投資」になるリスクがあるためだ。
また、海外製品を日本に導入する際、独特の組織文化が壁になることもある。その典型が大規模な組織変更だ。外資系の製品には、入社や異動が多くなる4月1日に、一斉にアカウント情報を自動反映させるスケジュール機能がないものや、日本に多い兼務の管理に制限があるものも存在する。
こうした課題に対して、同社はメーカーに日本法人設立の交渉や管理画面・マニュアルの日本語化を働きかけるとともに、顧客に対しては製品ごとの細かな仕様の違いを比較表にして提供しているという。
