セキュリティ製品選びで失敗しない8ステップ：ベンダーの言いなりになってはいないか？

ベンダーは契約獲得のためなら真実をもねじ曲げる。口車に乗って高価な製品を買っても無駄になるばかりだ。自社買う側が主導権を取り戻すためにはどうしたらいいのか。

[Mike Rothman，TechTarget]

　セキュリティ専門家にとって、製品やサービスの購入は最悪になるか最高になるかのいずれかだ。例えば情報セキュリティなどの市場を取っても競争は過酷で、ベンダー各社は販売契約獲得のために（あえて言うが）真実をねじ曲げる。

　企業が製品を一度も試用しないまま数十万ドルを費やしているとか、棚で埃をかぶったままの製品に数百万ドルを費やしたという話を聞くと、歯がゆさを感じる。マルチミリオンダラーの巨大企業の時代にあっても、技術管理職も業務管理職もエンタープライズセキュリティ製品の買い方を知らないため、法外な額が浪費されている現状には気分が悪くなる。

　ここで紹介するセキュリティ製品の購入に関する8ステップ戦略は、セキュリティ専門家が購買プロセスにおける主導権を取り戻すことが狙いだ。

　営業のプロは、このプロセスで主導権を握り、自分たちの売っている製品が必要なのだと顧客に思い込ませる訓練を受けている。営業担当者は体系化された営業サイクルを通じ、この目標達成に向けて顧客を誘導しようと全力を尽くす。この営業サイクルが、顧客が達成したいと思っている内容に沿うことも時にはあるが、そうでないことの方が多い。

　以下のプロセスはセキュリティ責任者のニーズに沿って、組織が適正な製品を適正なときに、適正な価格で購入できるように確立したものだ。

ステップ1：基盤固め

　どういう理由で何を購入する必要があるのかを知っておくのは、買う側の責任だ。ベンダーは、潜在顧客への接触時に買わせる誘因を作り上げようとするが、言いなりになってはいけない。正しい買い物のためには、セキュリティチームの予算と事前に承認されたプロジェクトが必要だ。こうしたプロジェクト予算獲得の鍵となるのは、ビジネスニーズと関連付けることだ。

ステップ2：チーム編成

　運良くリソースがあるなら、プロジェクト推進チームを編成する。この取り組みにはリーダー（プロジェクト成功の最終責任を負える人物）と、実際の評価を行う技術責任者またはグループが必要だ。

ステップ3：教育

　ベンダーが認めようと認めまいと、知識を持った買い手が最高の買い手だ。この段階は、自分たちが解決しようとしている問題と、それを解決するためのベストプラクティスについて、しっかり理解するためにある。関連する問題についてすべてを学ぶことはない。それでは時間がかかり過ぎる。それよりも、的を射た質問をするための知識を身に付けるのが目標だ。インターネットには、事始めに必要なバックグラウンドを提供してくれる優れたリソースがたくさんある。

ステップ4：行動開始

　この段階ではセキュリティ責任者がベンダーやリセラーに接触し、実際の調達プロセスを開始する。売り手はサプライヤーの名をたくさん連ねた長いリストを作りたがるだろう。このリストには、ステップ1で定めたニーズを満たしてくれる「かもしれない」提供元が列挙されることになる。リストを絞り込む1つの方法は、正式なRFI／RFP（情報提供依頼書／提案依頼書）プロセスを検討することだ。そうすればニーズに合った製品を売り手側に選んでもらうことが可能になる。

ステップ5：テスト

　製品購入の検討に費やせるリソースとプロジェクトの重要性に応じて、長いリストに挙げられた製品を幾つかテストしてみる。少なくとも2つ以上だ。製品のプロダクション導入は現実的でないかもしれないが、評価対象となる製品を実行し、プロジェクトのニーズが満たせることを確認するためのテストケースを構築する。特に、ベンダーの宣伝文句が事実を誇張していないかどうかに注意を払うことは、プロジェクトの成功に不可欠だ。

ステップ6：絞り込み

　リストの絞り込みはテストの前に確定するものだと考えるかもしれない。しかし考えてみてほしい。テストでの評価の結果、自社製品が買い手のニーズを満たし、ビジネス上の問題を解決できると分かれば、ベンダーの方でリストを絞り込んでくれる。ただし、絞り込んだ段階でも、少なくともベンダーを2社は残す必要がある。この時点でリストを絞り込み過ぎない方がいい。交渉相手が多いほど、望みの価格で必要なものを手に入れられる可能性が高まるからだ。

ステップ7：交渉

　わたしが一番好きな部分だ。ここまでうまくやってきていれば、候補として少なくとも2社が残っているはずであり、今度はこの2社を競わせて成り行きを見守るのだ。うまくいけば最初の提示額の半額になる可能性もある。なぜならここに来るまでに、ベンダーはこの契約獲得のために相当つぎ込んでおり、今さらそれを逃したいとは思わないからだ。基本的にはベンダー同士で競わせる。それぞれがこちらのニーズを満たせるわけだから、交渉の主導権は自分が握っている。不満があれば遠慮なく交渉を打ち切って、もう1つのベンダーを当たればいい。

ステップ8：選定

　ベンダーが死闘を展開するのを眺めるのは楽しいものだが、いずれは決定を下さなければならない。正しいプロセスに従っていれば、選定は容易だ。実際に機能させるという楽しみはここから始まる。何らかの理由で自分が選んだベンダーがうまくいかなくても、リストで絞り込んだベンダーはほかにまだ何社もいて、いつでも喜んで引き継いでくれるだろう。

　このプロセスは、どんな場合にもうまくいくとは限らない。例えば新し物好きの組織でニーズを満たせるベンダーが1社しかない場合などはうまくいかない。同様に、機能性や価格より政治がものをいうときもある。

　しかし大抵の場合、セキュリティチームがビジネス上の問題を最善かつコスト効率の高い方法で解決したいと思うなら、この8段階のプロセスに従えば、目標を達成し、高いつけを払って過ちを犯すのを防ぐ一助になるだろう。

本稿筆者のマイク・ロスマン氏は、アトランタにある業界調査企業、セキュリティインサイトの社長兼主任アナリストを務めており、著書に「The Pragmatic CSO: 12 Steps to Being a Security Master」がある。

関連ホワイトペーパー

ベンダー | IT投資 | RFP