SMB向けセキュリティ管理サービスの選び方：Column

会社のIT管理が社内の手に負えないと思ったら、セキュリティ環境を支援してくれるサービスプロバイダーを探すことだ。ではどうやってサービスを選べばいいのか。

[Mike Rothman，TechTarget]

　中堅・中小企業（SMB）のIT専門職が真っ先に考えるのはセキュリティのことだろう。残念ながら、SMBにとってリソースの制約と予算の現実は厳しいものだ。クレジットカードのセキュリティ基準であるPCIDSS（Payment Card Industry Data Security Standard）に焦点が当てられる中、これまでこうした規制について心配する必要のなかった何百万ものSMBが、セキュリティコンプライアンスの真っ只中に置かれることになる。

　どうすべきか。現実に目をそむけて問題が過ぎ去ることを祈る態度は通用しない。何も手を打たないという選択肢はないのだ。

必要なスキルとは

　戦略的オプションについて解説する前に、現在のセキュリティ問題と取り組むために必要なスキルについて、率直に評価してみよう。

ノウハウ

　攻撃の手口は極めて巧妙化しており、ITを守るためにはこれに追いつかなければならない。つまり、ファイアウォールの設定、仮想プライベートネットワーク（VPN）、不正侵入防止、アプリケーションセキュリティ、および一般的なSMBセキュリティアーキテクチャを構成する約5〜10種類の製品の設定を難なくこなせることが必要だ。

情報

　セキュリティは非常にダイナミックなものであり、日ごと大きく変化する。一度設定したら忘れてしまっていいというわけにはいかない。セキュリティ市場の動向と、最新の攻撃手段に常に気を配る必要がある。攻撃者より常に一歩先を行くためには、一貫した警戒態勢が必要だ。

時間

　SMBのIT管理者にとって最も貴重なのは恐らく時間だろう。しかし、真新しい製品を売りつけてくるベンダーのうたい文句が何であろうと、常に最高のセキュリティ環境を保つには時間がかかる。ポリシーの管理と、自社のシステムに脆弱性が存在しないことを確認するのが中心的な作業になる。

　上記のようなスキルが自分にはないと思ったら、決断は容易だ。セキュリティ環境を支援してくれるサービスプロバイダーを探せばいい。セキュリティ管理サービスプロバイダーにはあらゆる形態と規模があり、再販業者がこの分野にかかわるケースも増えている。セキュリティ環境管理を「支援」してくれるという連中に圧倒されるのは間違いない。

サービスプロバイダーの選び方

　では主要サービスプロバイダーはどうやって選べばいいのか。さまざまなサービスプロバイダーと話をする際、次の4点を念頭に置くことだ。