中小企業のセキュリティソリューション実装方法

企業が情報セキュリティシステムを導入し、維持する場合、専門家の力を借りるのが一般的な方法です。このような専門家は、社内の従業員の場合、または外部、つまりサービスプロバイダーや特定のソリューションの開発者である場合もあります。どのアプローチを選択するにしても、それぞれメリットとデメリットがあります。結局のところ、企業の情報セキュリティシステムの導入は極めて複雑なプロセスで、ソフトウェアをインストールすれば終わりではなく、以下のような準備の段階と実際の運用段階が含まれます。

1. 脆弱性のあるポイントを特定し、脅威に直面する可能性を評価し、必要な対策のリストを作成するなど、情報セキュリティリスクの分析。
2. 特定の情報へのアクセスに制限を設けて保護し、情報の完全性を確保するための、セキュリティポリシーの策定。
3. ソリューションの選定と導入。
4. ソリューションの有効性と、現行の要件を遵守していることを確認するための、定期的なソリューションの監査。
5. インシデント対応。

大企業であれば、情報セキュリティ部門がこれらのタスクに取り組むでしょう。しかし、中小企業はセキュリティシステムを自社で導入するか、サードパーティに業務委託するかの選択を迫られます。

インハウス導入

「インハウス」とは、情報セキュリティのエキスパート（または部署）が企業内、自社内に専従していることを意味します。企業・組織は、そういった人材を募集・採用し、自ら育成することができます。この方法のメリットとデメリットは以下のとおりです。

メリット

+ 会社がトレーニングプロセスを管理し、会社のニーズに合わせて調整を行い、必要なスキルを持つ人材を採用することができます。

+ 社内の従業員であれば社内のビジネスプロセスに精通しているため、より状況を理解した効果的なソリューションを提供できます。

+ 社内に担当者がいれば、サイバー脅威や問題発生時に迅速な対応ができます。

+ 企業秘密が悪意のある人物や組織に漏れることがありません。

+ 社外の専門家に依頼するよりも、費用対効果が高い場合があります。

+ トレーニングにより従業員の専門性が高まり、会社に貢献したいという思いも高まる可能性があります。

デメリット

– トレーニングに長い時間がかかります。

– 即戦力のエキスパートを採用すると、外部と契約して人を雇うよりコストが高くなる可能性があり、また時間もかかります。

– 従業員をトレーニング育成しても、経験豊富な情報セキュリティのプロと比較すると知識と経験のレベルに差があります。

– 導入のノウハウが長期にわたって役に立つといった保証はありません。特に、専任の従業員が導入業務を担当したとして、導入後はどうするかという問題があります。

– 経験を積んだ従業員が退職する可能性があり、その場合、ソリューションを維持するために新しい担当者を選び、再び１からトレーニングをするか請負業者を見つける必要があります。

このアプローチは、情報セキュリティ部門の将来の基盤を築くことができるため、成長段階の企業や事業拡大を計画している企業に適しています。しかし、そのような計画がない場合やビジネスの成長がインフラの整備に結びつかない場合は、新しい専門的なスキルに投資してもあまり意味がありません。

サードパーティによる導入

インフラの監査、ITセキュリティシステムの導入と維持など、ターンキーソリューションを提供するサービスプロバイダーが数多く存在します。第三者機関に依頼するメリットとデメリットは、以下のとおりです。

メリット

+ 時間の節約になります。人材の育成や採用の必要がありません。

+ 専門の業務委託先であれば、情報セキュリティ分野の知識や経験を持っているでしょう。

+ 業務委託先は、インハウスの能力を超えた幅広いサービスを提供できます。

+ 導入に関する懸念事項はすべてアウトソースで対応できるので、社内の人材を有効活用できます。

+ リスクが減るうえ、そのリスクを外部委託先に転嫁できます。

デメリット

– 長期的には、外部委託を利用すると自社対応よりコストが高くなる可能性があります。

– 業務委託先に社内のビジネスプロセスを理解してもらえず、状況に即したソリューションを導入できない場合があります。

– 透明性に欠けます。導入する製品に関して業務委託先がどれほど理解できているのか利用する側にはわかりません。

– 守秘義務上の問題が生じることがあります。自社のデータにサードパーティの業務委託先がアクセス可能になり、その業者の社内のセキュリティポリシーはわからないという状態になるためです。

– 業務委託先に対する依存度が高くなります。

– 組織として状況を十分に把握できなくなり、導入やサポートのプロセスに関して業務上の管理が行き届かなくなります。

まとめると、情報セキュリティシステムの導入に外部に委託することは合理的で一般的な方法です。通常、このようなサービスプロバイダーはソリューションの開発元と連携し、認定を受け、パートナーのステータスを得て、サービスを保証します。

ベンダーによる導入

これは2つ目のアプローチと似ていますが、違いは、導入を実施するのがソリューションの開発元である点です。担当者が開発元の従業員であれば、ソリューションを知り尽くしていることが保証されます。つまり、以下のようなメリットがあります。

メリット

+ サードパーティへの依存がありません。開発元が市場から撤退しない限り、ソリューションを利用し続けることができます。

+ ベンダーが直接保証するため、リスクがさらに軽減されます。

+ 製品の設定と導入を可能な限り迅速かつ効率的に行うことができます。

+ 誤った設定や長時間のセットアップ時間によるダウンタイムを最小限に抑えることができます。

+ エキスパートが設定を行うことで、本来の製品の性能を最大限に利用でき、情報セキュリティへの投資効果を最大化できます。

中小企業のほとんどは、サードパーティの専門家に現場まで来てもらう必要はありません。最近ではサーバー機能がクラウドベースになっていることが多く、そうでなくてもシステムのリモート監視が可能になっています。

カスペルスキーでは、カスペルスキー製の情報セキュリティツールの導入を支援するパッケージソリューションKaspersky Professional Servicesを提供しています。既存のインフラおよびポリシーの分析、ポリシーの策定と脆弱性への対応、ソリューションの実装とアップグレード、サポート、データストレージの暗号化など、幅広いサービスが用意されています。お住まいの地域で、当社のスタッフが十分な専門知識を持って対応します。IT部門の負担が軽減され、場合によっては常勤のシステム管理者も不要になるため、当社のパッケージソリューションは中小企業に最適です。