コスト算出の難しいセキュリティ製品の賢い製品選定とは？

【18本目】セキュリティ製品のコストの常識を疑え

2009年10月14日 09時00分更新

文● 大谷イビサ／TECH.ASCII.jp　
記事協力●HDE

セキュリティ製品は投資対効果が見えにくかったり、導入よりも運用コストの方に重点が置かれていたり、他のIT機材に比べてコスト算出が難しい。ここではセキュリティ製品のコストとその導入効果について見ていきたい。

セキュリティ製品のコストを抑えるコツとは？

　コスト削減が高らかに謳われる昨今だが、情報セキュリティにかけるコストはキープするという企業も多い。とはいえ、無尽蔵に予算があるわけではないので、効率的な投資が必要だ。元来、セキュリティ製品は高度な暗号や認証技術、信頼性や精度の高いソフトウェアなどで実現されているため、コスト的に高くなりがちだ。また、セキュリティ製品は、単に導入するだけでは正しく効果を発揮できない。最新の脅威に対抗したり、パフォーマンスを落とさないようにするためにはサブスクリプションやコンサルティングなどのコストも考えなければならない。ここでは意外と知らないセキュリティ製品のコストについて考えてみたい。

（1）導入コストだけでなく運用管理コストも頭に入れる

　セキュリティ機器は、導入コストだけではなく、運用管理コストをきちんと頭に入れておく必要がある。たとえば最新の定義ファイルやアップデートを利用するためのサブスクリプションは、日々新しくなる脅威に対抗するためには必須だ。こうしたサブスクリプションは、アンチウイルスソフト、IDS、メールセキュリティ製品、WAFなど多くの製品で導入されている。また、ハードウェアの場合は、故障に備えた保守やサポートの体制も重要になる。昨今はこうしたサブスクリプションが企業の負担になっていることも多いため、リプレイスの際はこうした点も考慮する必要がある。

（2）UTMのような統合型製品を過信しすぎない

　ウイルス、スパムメール、情報漏えいなど、セキュリティの脅威は非常に多岐に渡っており、こうした脅威に対して製品を1つずつあてがうのは大きなコストがかかる。6本目に述べたとおり、複数の製品を統合して、管理を単一のハードウェアにまとめるという点でUTM導入によるコスト削減効果は大きい。

　しかし、複数のセキュリティ機能を統合したUTMのようなアプローチが必ずしもコスト削減に直結するとは限らない。日々改良されているとはいえ、機能や検出精度の面では専用機に劣る部分もある。そのため、もしスパムメールを防ぎたいとか、誤送信を防止したいといった目的がはっきりしているのであれば、専用のソリューションを導入した方が導入効果は大きい。

（3）アプライアンスは安価とは言い切れない

　ソフトウェアインストール済みのハードウェアとして提供されるアプライアンスは、導入も容易で、ハードウェアに最適化されているので、安心だ。

　とはいえ、最新鋭のサーバが非常に安価になっている昨今、コスト面ではアプライアンスが最適とはいえなくなっているのも事実だ。また、仮想化技術の浸透により、1つのハードウェアに複数のソフトウェアを独立して動かすことも可能になりつつある。こうなると複数のアプライアンスを別々に導入するより、ソフトウェアベースの製品を仮想化プラットフォーム上に載せて、統合化した方がよいという判断にもなりうる。

（4）投資対効果が見えやすいセキュリティ製品もある

　セキュリティ製品は、概して投資対効果を測定するのが難しい。ファイアウォール等を見ればわかるとおり、どれだけ攻撃を防いだかは、ログを見なければ確認できない。実際に攻撃を受けた場合、どれくらい損失が発生するのかを算出するのも難しい。こうなると、せっかく予算をとっても、コストセンターと見なされる可能性もある。

　一方で見えやすい製品ジャンルもある。代表的なのはスパムメール対策。多くの製品は、導入することにより、スパムメールの削減量を図ることが可能になる。もちろん、「迷惑メールが減った」という定量的な体感を得られることも多い。リスクとの比較ではあるが、予算確保の難しい昨今、こうした効果が見える化されたセキュリティ製品であれば導入しやすい。

（次ページ、HDE Web Copで効率的なセキュリティ投資を）

前へ 1 2 次へ

ツイートする

カテゴリートップへ