企業のビジネス目標や文化、リスクプロファイル、予算に最適なセキュリティベンダーを見つけることは、今や難しくなっています。ベンダーパートナーは、「テクノロジー上」の懸念事項だけでなく「人材やプロセス」に関する問題の解消にも協調して取り組んでくれるという点において、標準的なテクノロジーベンダーとの連携以上であることを示すことが、このブログ投稿の目的です。
Tripwireで働く前に、私は情報セキュリティ分野のインテグレーターに7年近く勤務しました。厳密に言えば、インテグレーターという仕事は、特定の技術に関連するサービス(特に監査、評価、コンサルティング、デプロイメント、ヘルスチェック、および最適化)に関して、テクノロジーベンダーが生み出したり放置したギャップを埋めるために存在します。
私がインテグレーターとして働いていたとき、多くのテクノロジーベンダーが、サービスに対して無視あるいは軽視の態度をとっていることにいつも驚かされていました。このような状況の一端は、コスト、リソース、およびスケーラビリティに関する問題にありますが、一般的なテクノロジーベンダーとその顧客の間の断絶のようなものも反映されています。
テクノロジー、プロセス、そして人材
多くのテクノロジーベンダーは、顧客が日常的に直面する問題の全容を認識していません。つまり、顧客は、技術的な問題だけではなく、人材やプロセスに関する問題も抱えているということです。実際、今日の情報セキュリティ分野には3,500以上のベンダーが存在しているため、顧客はテクノロジーの面では満足していると言えるでしょう。
一方で、厳格化が進む規制環境を考慮しつつ、テクノロジーをどのように包括的なセキュリティプログラムに組み込むか(プロセス)という課題や、誰がテクノロジーを管理するか(人材)といった問題がより大きくなっています。
プロセスに関しては、Domino’s Pizza UK & EnglandのCISOであるPaul Watts氏が、Infosecurity Europe 2018において、次のように語っています。、
「世界中で採用されているコンプライアンスや認証は、サイバーディフェンスの強固な基盤に代わるものではありません。CIOSが一連の認証を取得し、高レベルのセキュリティコントロールを多数実装していたにもかかわらず、ペンテスターによる侵入を許してしまった企業を私はいくつも知っています。」
人材に関して、Oliver Rochford氏は次のように発言しています。
「サイバーセキュリティテクノロジーは、単調な作業を自動化し、戦力を倍増させる力を持ちますが、他にも戦力を増強させるべき分野があります。テクノロジーは難しいタスクの遂行を簡単にしますが、人の代わりに遂行してくれるわけではありません。タスクの実行には、まだ人材が必要であり、今後しばらく、その状況は変わらないでしょう。」
テクノロジーベンダーがこれらの要素を総合的に理解しなければいけない理由
このような問題を認識していない近視眼的なテクノロジーベンダーは、それまでのセールスエンゲージメントがうまくいかず、顧客がそれらの問題の対処に苦労するために、顧客のセールスサイクルの管理に苦慮するようになります。これらのベンダーが、このような問題に対処できれば、セールスサイクルにおける混乱を軽減または解消できるはずです。
プロセスと人材以外の問題として、テクノロジーベンダーがオンプレミスとクラウドに対して、完全に異なるアプローチをとっていることが挙げられます。そのため、ほとんどの顧客が、オンプレミスとクラウドの両方の環境を管理している状況においては、セキュリティギャップや予期しないコスト、プロジェクトタイムラインの遅延が発生する可能性があります。異なるアプローチをとることを余儀なくされるベンダーは、通常、オンプレミスでのデプロイメントにコンソールを採用していないベンダーです。(もちろん、コンソールはクラウドのデプロイメントを成功させるために必要不可欠です。)
Adrian Sanabria氏は、The State of Securityのブログ記事で次のように主張しています。
「クラウド内はすべて仮想化されているため、コンソールを介してほぼすべてにアクセスできます。すべてのセキュリティをコンソールを経由して確保することを怠るということは、よくある(かつ大きな)誤りです。
最後に、ほとんどのテクノロジーベンダーは、顧客に最大限の柔軟性を提供するSaaSソリューションを提供するまでに時間をかけすぎています。ZScalerの Machine Learning and Artificial Intelligence部門VPであるHowie Xu氏も次のようにコメントしています。「SaaSの形態を取ることにより、リスクがほんの少し増す可能性はあります。イノベーションとリスクは相関するものです。市販のソフトウェアの場合、購入したらそれまでです。もし、それが良い製品ではなかったとしても、どうしようもありません。」
最良のベンダーパートナーとは?
最良のベンダーパートナーは、テクノロジーを、顧客が抱える3つの課題(人材、プロセス、テクノロジー)の1つであると見なします。最良のベンダーパートナーは、そのテクノロジーが顧客のプロセスやコンプライアンス環境とどのように相互作用し、誰がそれを管理するかを理解することなく、製品を顧客に販売することはありません。最良のベンダーパートナーは、理想的には、SaaSやマネージドサービスのオプションを提供します。そうでない場合も、経験豊富なパートナーによる認定プログラムを提供します。
問題を個別に解決するのではなく、複数の問題を解決するという意図のもと、最良のベンダーパートナーは、一般的なベンダーオプションのレベルをはるかに超える統合機能およびサポート機能を提供します。最後に、最良のベンダーパートナーは、オンプレミスおよびクラウドへの(コンソール経由の)デプロイメントに対し、まったく同じでないにしても、類似のアプローチを提供します。そのため、ハイブリッド環境のシナリオでも、コストを超過させずに、プロジェクトをシームレスに進めることができます。
優れたベンダーパートナーを見つける良い方法は?
- SaaSオプションおよびマネージドサービスをインハウスで提供できるベンダー、あるいはMSSPプログラムの認定を受けたベンダーを探します。
- コンプライアンスおよびネットワークアーキテクチャーに精通しているベンダーと連携します。
- ベンダーがプラットフォームに対するAPIだけでなく、ヘルプデスクなどのミッションクリティカルなプラットフォームへの統合も提供していることを確認してください。
- Compare/contrast On-premise/Cloud approaches.
- 予算に応じてさまざまなレベルのサポートを提供できるベンダーを選択します。
Tripwireならお役に立てます。
Tripwireは、コンプライアンス(Tripwire Enterprise)および脆弱性管理(IP360)プラットフォームにおいてマネージドサービスを提供しています。また、運用コストに柔軟性を求めるお客様向けに、それらのソリューションをSaaS、クラウドベース、ホステッド型の形態で提供しています。
さらに、Tripwireは、現在および新規のコンプライアンス要件に加え、主要なネットワークアーキテクチャーやサイバーセキュリティフレームワーク全般に関する豊富な知識と経験を有しています。相互接続性に関しては、何百ものベンダープラットフォームに対するAPIを提供するだけでなく、すべての主要なヘルプデスクプラットフォームへの統合にも対応しています。Tripwire製品では、オンプレミス型とクラウド型の両方に共通の、コンソールベースのデプロイオプションが用意されています。また、マネージドサービスと予算に対するお客様のニーズに応じて、段階的なレベルのサポートを提供します。
Tripwireのソリューションの詳細は、こちらからご覧ください。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
