こんにちは。はなくとです。
今回はセキュリティ製品を購入する前にチェックしておくとよいポイントを書いてみたいと思います。セキュリティ製品に関わらず、どのような製品でも事前に製品をいくつかの観点でチェックしておかないと、導入・運用が上手くいかず「こんなはずではなかった」となってしまいがっかりします。
はなくとが考えるチェックポイントは5つです。
1.攻撃者の視点で製品をチェックする
2.製品導入によるデメリットをチェックする
3.カタログスペックと実績値をチェックする
4.サポート内容をチェックする
5.導入実績をチェックする
それぞれ詳しく見ていきましょう。
1.攻撃者の視点で製品をチェックする
私見ですが、セキュリティ対策製品にはどこかに弱点があると考えています。ここでいう弱点とはセキュリティ対策製品の機能面での弱点だけでなく、セキュリティ対策製品の機能を迂回する、運用面での弱点を含みます。
機能面の弱点例は、機密情報をキーワードや正規表現で定義するDLP製品があった場合に、定義されていないキーワードや正規表現はDLP製品では防げないことを言います。
運用面の弱点例は、ネットワーク型のDLP製品を導入した場合、パソコンからUSBメモリで機密情報を持ち出す際はネットワーク型のDLP製品を経由しないため、機密情報の持ち出しを検知・遮断できないことを言います。
このように、どうすればセキュリティ対策製品の機能を回避できるのか?という攻撃者の視点で製品をチェックしてみると機能面、運用面での弱点を補完するセキュリティ対策を整理する必要性に気づくことができます。
ちなみにDLPについては下記にまとめています。
2.製品導入によるデメリットをチェックする
業務効率とセキュリティ対策はトレードオフになることが多いです。例えば外部デバイス制御によるセキュリティ対策を実施している場合、USBメモリや外付けハードディスクは利用できません。利用できたとしても、情報を書き出す際は申請/承認が必要になる場合があります。このように、セキュリティ対策を導入したために余分な作業が増えてしまいます。
また、パソコンにインストールするタイプのセキュリティ対策製品であれば、パソコンのCPUやメモリ等のリソースを余分に消費することもあります。管理サーバが必要な製品であれば、パソコンと管理サーバが通信するため、余分にネットワークの帯域を消費します。
このようにセキュリティ対策製品を導入によるデメリットをチェックすることで、運用負荷、システム負荷への影響をチェックすることができます。
ちなみに外部デバイス制御については下記にまとめています。
3.カタログスペックと実績値の差をチェックする
カタログスペックとはメーカが謳っている性能値です。これはメーカの環境で計測することが多く、自組織に導入した場合にも同様の効果を得られるかは怪しいです。どのような環境で計測した値なのか、自組織の環境ではどの程度のスペックが見込めるのかは確認しておく必要があります。製品を販売しているベンダも後でトラブルになるのは嫌だと思っているのでこの点は何かしら回答をくれます(検証してね^^ と言ってくるベンダが多いですが)。
このようにカタログスペックと実績値の差をチェックすることで、適切にサイジングを行うことができます。
4.サポート内容をチェックする
サポート内容とは、ベンダが保守サポートを提供している時間やSLA、サポート体制等です。自組織が求めている保守サポート時間(平日9~17時、24/365等)、SLAや対応言語と合わない場合は、そのセキュリティ対策製品の導入をあきらめるか、特別対応をとってもらうといった交渉や妥協が必要になってきます。
サポート内容をチェックすることで、自組織の求めるサポートレベルに適合するか確認できます。
5.導入実績をチェックする
自組織が属している業界や同等の規模の組織に導入実績があれば、自組織にも導入しやすいと考えてもらいやすくなります。また、ベンダ側にも導入前/後の問題点や課題のナレッジがたまっており、導入・運用がスムーズにいく可能性が高くなります。そのため、セキュリティ対策の導入を検討している担当者が、決裁権を持つエラい人を説得する材料になるでしょう。特に官公庁や金融関係ではこの傾向が強いように感じます。
6.まとめ
セキュリティ対策製品を選定する際は、
1.攻撃者の視点で製品をチェックし、抜け道を理解する
2.製品導入によるデメリットをチェックし、運用/業務/リソースの負荷を見極める
3.カタログスペックと実績値の差をチェックし、適切にサイジングする
4.サポート内容をチェックし、求めるサポートが得られるかを確認する
5.導入実績をチェックし、自組織への導入のしやすさや効果をイメージする
と、導入・運用がスムーズにいく可能性が高くなる。
おしまい