5年に一度しか来ない既存ベンダーの正体
かつて既存ベンダーは、コンピュータによる正確な計算結果がもたらす業務効率化を、その高いサービス品質で実現した。コンピュータメーカーなど当時のベンダーは、契約範囲を超える要求にも当然のごとく対応し、時にはユーザーが想定していないリスクなどに対しても先回りで対処するような素晴らしい対応もしていた。まさに至れり尽くせりと言っていいだろう。
そしてそれは、ユーザー企業にシステム部門の人材育成コストなどを低く抑えられるなどの大きなメリットをもたらす。「既存ベンダーに任せておけばなんとかしてくれる」ことが前例となり、それが当たり前になった。しかし、これによりユーザー企業は自ら考える機会を失ってしまった。このような経緯で日本のユーザー企業は、なんでもやってくれる既存ベンダー依存症になってしまったのだ。
しかし、新しい技術やインターネット接続を大前提とするシステム環境は、ベンダーのSEが全てを把握して対処するには、あまりにも大きく複雑になり過ぎた。つまり、それまでのような高いサービスレベルを維持することは、技術的にもコスト的にも難しくなり、なんでもやってくれる既存ベンダーというのは幻想になりつつある。ハードウェア故障やバグに起因するシステム障害と、セキュリティインシデントの対応知識は大きく異なる。なんでもやってくれたはずの既存ベンダーでも対応できなくなってしまった。
もちろん、そのようなベンダーからも機器の監視サービスなどは提供されているが、あくまでも検知したことを知らせるだけの限定的なものが多く、その後の対処はユーザー企業に任されるのだ。ユーザー企業は、少なくともセキュリティ対策に関しては、既存ベンダーに頼ることは難しい。有事の際には自分自身で状況を把握し対処できなければならない。
既存ベンダーは、セキュリティ対策においては次々と新製品を納品するだけの存在となった。しかし、それは肝心の運用が回らないという問題を黙殺し、ユーザー企業の対策を導入時点で無効化させたに等しい。ユーザー企業は金を払ったことで安心してしまう。しかし、それは自ら油断を招くだけで、弊害と悪循環しか生まない。
このようなユーザー企業と既存ベンダーの相互依存の構造から、セキュリティ対策に関しては、ほとんどの既存ベンダーが製品販売に特化する道を選択した。その結果、以前のような高いサービスレベルを提供できる存在ではなくなり、既存ベンダーはシステムのリプレースサイクルである5年に一度登場するだけの存在になってしまった。5年に一度やって来る既存ベンダーは、その間に発売された新しいセキュリティ対策製品を提案する。この状況が常態化した環境こそが、セキュリティ対策の不都合な真実なのだ。
もう、既存ベンダーに以前のようなサービスレベルを望むのは難しい。ユーザー企業は、そろそろIT全般の仕様決定プロセスを自分の手に取り戻さなくてはならない。特にセキュリティ対策はその傾向が顕著だ。少なくとも、セキュリティインシデントが発生した際に本当に助けてくれる新たなパートナーを、この不都合な真実によるしっぺ返しを受ける前に見つけておくべきだ。
- 武田 一城(たけだ かずしろ)
- 株式会社ラック 1974年生まれ。システムプラットフォーム、セキュリティ分野の業界構造や仕組みに詳しいマーケティングのスペシャリスト。次世代型ファイアウォールほか、数多くの新事業の立ち上げを経験している。ウェブ、雑誌ほかの媒体への執筆実績も多数あり。NPO法人日本PostgreSQLユーザ会理事。日本ネットワークセキュリティ協会(JNSA)のワーキンググループや情報処理推進機構(IPA)の委員会活動、各種シンポジウムや研究会、勉強会での講演なども精力的に活動している。
