「セキュリティ内製化」の落とし穴 ベンダー不信の末にあるのは?:「過信」の死角
ベンダーは製品を売るだけで課題を解決してくれない――。そんな不信感からセキュリティ内製化に踏み切ることが広がっているが、その“自立”が新たな脅威を生み出す恐れがある。
ITベンダーAdvania UKによると、製品の機能や使いやすさといった観点から、中規模企業がセキュリティベンダーへの信頼を失いつつある。同社の調査レポート「Building core resilience 2025」では、英国の中規模企業がセキュリティを完全に自社で構築、運用する傾向が顕著になっていることが明らかになった。しかし、Advania UKによると、セキュリティの内製化には「大きなリスク」がある。どのようなものなのか。
調査で分かった不満と、セキュリティ内製化のわな
Advania UKは、自社でセキュリティシステムを構築、運用する主な要因として、セキュリティベンダーへの信頼が低下していることを挙げている。同社の調査で分かった、中規模企業のセキュリティベンダーに対する「不満」は、以下の通りだ。
- セキュリティベンダーが中規模企業よりも、大企業を重要なターゲットに据えていると感じること
- セキュリティベンダーが「製品の販売」に重点を置き、中規模企業が抱える課題の解決につながる「ソリューション」は提供していないと感じること
- その結果、セキュリティベンダーが自社の利益だけを考えていると感じること
しかしAdvania UKは、中規模企業がセキュリティシステムを自社で構築、運用することは、長期的な視点で企業にリスクをもたらすこともあると指摘する。「中規模企業にとって、セキュリティ『自立』は過信に陥りやすい」と、Advania UKセキュリティ/コンプライアンスディレクターのプラヴェシュ・カーラ氏は述べる。
「セキュリティ専任チームを有する大企業でさえ、近年の巧妙な攻撃に対抗し切れないことがある。セキュリティベンダーの専門知識がなければ、中規模企業は過去の防御策で過去の戦いをしてしまう危険がある」とカーラ氏は警鐘を鳴らす。
カーラ氏によると、セキュリティ事故が内部のミスや不正に起因する場合もある。そのため、企業は技術の導入だけではなく、内部脅威を想定したセキュリティ戦略の確立や従業員向けトレーニングなどにも取り組まなければならない。しかしこちらは、セキュリティシステムを自社で構築、運用する場合、盲点になりかねないと同氏は説明する。内部脅威の防止策が不十分な企業は、コンプライアンス(法令順守)や企業評価といった側面でリスクに直面することになる。
「従業員のセキュリティ意識を高めることは日々の業務に織り込んで、継続的な取り組む必要がある」とカーラ氏は言う。同氏によると、定期的なセキュリティトレーニングやテストによって従業員に知識を持たせ、脅威が生じた際に正しい対処ができることにつなげられる。
Copyright © ITmedia, Inc. All Rights Reserved.