「ベンダーロックイン＝悪」はもう古いのか？ セキュリティ製品導入のポイントを考える：半径300メートルのIT

ITの世界では製品導入において常々「ベンダーロックイン」vs.「ベスト・オブ・ブリード」の議論が持ち上がります。セキュリティ業界においてはこれをどう考えるべきなのでしょうか。

[宮田健，ITmedia]

　先日、日本マイクロソフトによる記者説明会が開催されました。その模様は別途レポート記事として公開する予定ですが、同説明会で日本マイクロソフトの河野省二氏（技術統括室　チーフセキュリティオフィサー）が興味深い発言をしていました。

　同氏は「これまで語られてきた“ベスト・オブ・ブリード”が転換点にきている」とし「できる限りセキュリティをシンプルにして少数精鋭のソリューションに絞ることで、コストが60％削減できる」と指摘しました。

トータルコストを最大60％削減するセキュリティイメージ（出典：日本マイクロソフト「サイバーセキュリティに関するメディアブリーフィング」発表資料から抜粋）

　これはシンプルに表現すれば、かつて金科玉条（きんかぎょくじょう）のように語られてきた、さまざまなベンダーの製品を組み合わせる「ベスト・オブ・ブリード」ではなく、忌み嫌われていた「ベンダーロックイン」を受け入れた方が良いということになるでしょう。

　1990年代に新人エンジニアとしてSIerに入社した当時、筆者は「ネオダマ人材」と呼ばれていました。もはや死語となった「ネオダマ」とは「ネットワーク」「オープンシステム」「ダウンサイジング」「マルチメディア」の頭文字をとった言葉です。今ではどれもITを構成する上では当たり前の要素ですが、この中にオープンシステムという言葉があえて入っているのは、メインフレームなどのホスト系からの脱却に加え「ベンダーロックインを最小限にして良いものを集めよう」という狙いがあったのだと思っています。

　日本マイクロソフトほど大きい企業であれば、セキュリティ関連のポートフォリオは充実しているため、全てを1社にまとめて“ロックイン”した方が便利なのは確かでしょう。それによく考えてみれば、クラウドシフトが急速に進んでいる昨今、多くの組織が実質的にクラウドベンダーの「ロックイン」を受け入れているはずです。

　特にセキュリティにおいては、もはやロックインは完全なる悪ではなく、選択肢の一つになっているというのは大きな変化なのかもしれません。

単一のソリューションでは自社を脅威から守れない時代

　かつては中小企業であればUTM（統合脅威管理）製品を導入するだけで、ある程度の安全を確保できる時代がありました。しかし脅威の高度化や複雑化によって、私たちはセキュリティ製品に質と量を求めるようになりました。

　現在、テレワークシフトやクラウドシフトなどの影響から、対処すべきアタックサーフェスが急激に増加しています。内部不正についてはネットワークを流れる情報の精査や各種ログの精査が必要ですし、特権IDの適切な管理も求められます。相変わらず猛威を振るうランサムウェアを含めたマルウェアについては、EDR（Endpoint Detection and Response）製品による検知が必須でしょう。最近活動を再開したマルウェア「Emotet」に対処するためにはメールセキュリティを導入しつつ、従業員へのITリテラシー教育を整える必要があります。

　これらのセキュリティ対策をうまく実現するためには製品や機器同士の連携、つまり横のつながりが重要です。EDRで検知したアラートを基に判断し、その結果ネットワークを部分的に止めたり、デバイスを特定して保全したりするためには、それぞれの製品が単体で動作するだけでなく、APIを通じて連携されてログが一カ所に統合されている必要があるでしょう。これを考慮すると、多くのセキュリティポートフォリオを展開するベンダーの製品にそろえた方が、事例もたくさんあり連携が楽になるのは間違い無いでしょう。

　もちろん、横の連携を軽視しているセキュリティ製品というのはほぼありませんので、どの製品も「やればできる」レベルにあるとは思います。問題はセキュリティの目的が何かということです。私たちはセキュリティだけをやるためにセキュリティを強化しているわけではありません。できる限りシンプルに、負荷の掛からない方法で安全を手に入れたいわけです。そうなると特にセキュリティにおいては絶対にやりたいことが特定の製品でしか実現できないということが無い限り、ベンダーロックインはアリだ、と判断できるでしょう。

　その意味でかつての常識は変わりつつあるのかもしれません。もちろん、そのロックイン相手が信頼できるベンダーやパートナーであることは必須です。

「ベンダーロックイン」の是非、その前に考えることがある

　ただし、これは「ベンダーロックイン」vs.「ベスト・オブ・ブリード」の単純な比較ではないことに注意する必要があります。これを選択する根拠として、ベンダーの言いなりになることや雑誌やメディアの受け売りであっては、どちらを選んでも絶対に失敗するでしょう。組織のIT戦略を決める根拠は、組織内部でそれを選択する力を育むことにあると思っています。つまりIT部門が業務を見直し、自組織のリスクを自組織で判断できる力を持たなければ、ロックインが善か悪か判断すらできないはずです。

　何となくで選んだとしても、昨今のセキュリティ製品はよくできているので、それなりの結果を得られるでしょう。しかし言われるがままに導入した製品は、組織にとっては「帯に短し襷（たすき）に長し」になりがちです。それを「ベンダーロックインが悪い」「ソリューションの組み合わせが悪い」というのは簡単ですが、何となく導入したものの結果は何となくにしかならないでしょう。

　セキュリティについては、やはり自組織に適した機能が何かを理解してそれから選定、導入に進む必要があります。ここでベンダーは助言はできますが、主体は「組織そのもの」であるべきです。ITを内製してセキュリティの構築も内製しなければ、「ベンダーロックインのメリット」も「ベスト・オブ・ブリードのメリット」も得られないでしょう。

　2022年6月に開催した「ITmedia Security Week 2022夏」（アイティメディア主催）で、川口設計代表の川口 洋氏が以下のように発言していたのが印象的でした。

　「本当にやりたいビジネスのIT活用を進めるならば、できる限りITが手の内にある方がよいだろう。ITを丸投げする時代は終わった。（中略）ぜひ皆さんも“ビジネスを進めるためにITを手の内に入れる”ことを考えてみてほしい」（川口氏）

ITを手の内に入れることが重要だ（出典：川口氏の講演資料から抜粋）

　筆者としては、かつて忌み嫌われていたベンダーロックインとは「ITを丸投げすること」に近いと考えています。サイバー攻撃が激化する今、その主導権を“手の内”にできるかどうかは、今後のDX（デジタルトランスフォーメーション）推進においても重要なポイントでしょう。皆さんも「ベンダーロックイン」の是非をきっかけに、自組織がどこまで自由に自社のITを語れるか、考えてみてはいかがでしょうか。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。