集約戦略を進める企業の現状は？

　そもそも集約戦略の現状についてはどのような状況にあるのだろうか。

　ハンキンス氏によると、2020年、2022年にそれぞれガートナーが実施したセキュリティ・ベンダーの集約に関する調査結果では、ベンダー集約戦略を計画・実施できていた企業は2020年で29％だったが、2022年では75％まで増えていたという。

この変化についてハンキンス氏は「セキュリティ・アーキテクチャの複雑さを解消する方法を検討する準備が整ってきた」と分析した上で、集約戦略を計画・実施しない場合、データセンターにおいて新しいサービスや新しいサーバーを環境に追加するたびにケーブルが増えて、サーバーラック内で「スパゲッティ配線」と呼ばれる乱雑な状態になることと似た事態が起こり得ると指摘する。


「ネットワーク・エンジニアが上手に管理しなければケーブルスパゲッティが発生するように、個々の問題を解決するためにセキュリティ・ソリューションを購入し続ければ同じような問題に遭遇する可能性があります」（ハンキンス氏）

　実際、ガートナーが2022年に実施した調査では、回答した37％の組織が少なくとも10個のセキュリティ・ソリューションを導入していた。こうした状況のため、現在のセキュリティ運用担当者は、より多くの業務やスキル、より多くの設定方法を知っている必要に迫られているという。

「私たちが行わなければならないのは、そうした状況を一掃することです。あなたの同業他社がやり始めているのは、ベンダーの数を減らすことであり、いかにしてアーキテクチャの複雑さを解消するかということです」（ハンキンス氏）

期待される「真のメリット」

　では、多くの企業・組織がセキュリティ・ベンダーを集約したいと考える最大の動機としては何があるのだろうか。ハンキンス氏は「私の経験上、ベンダーを集約するとき、常に予算削減が関係していました」と説明する。しかし調査結果によって、企業が集約する真の目的は別な点にあることが判明したという。


　上記の図のように、集約のメリットとして挙げられていた項目は、組織全体のセキュリティ・リスクへの対応体制を強化する、いわゆる「全社的なリスク・ポスチャの向上」（65％）が最も多く、「自社のセキュリティ機能（防御、検知、対応の成熟度）の向上」（59％）が続く。その一方で「ライセンスへの支出削減」を挙げた組織はわずか29％にとどまっており、企業が集約を行う目的として、コスト削減は必ずしも大きな位置を占めていないということがわかる。

集約戦略で注意するべき「2つのポイント」とは

　では、実際に集客戦略に着手する際においては、どんな点に気をつければいいのだろうか。

　ハンキンス氏によると、「時間的制約」と「既存ベンダーのベンダー・ロックインによる乗り換えコスト」の2つに注意する必要があるという。

「システム統合や再構築を経験された方ならご存知だと思いますが、その実現には多くの時間がかかります。その結果、ベンダー集約にどれだけの時間がかかるという現実的な見通しが立てられなかった組織ではセキュリティ・ポスチャが低下しました」（ハンキンス氏）

　時間的制約についてハンキンス氏は、ベンダー統合を進めるためには、平均して2年間のロードマップを作成する必要があると指摘した上で、「その成果が出るのは3年から5年かかることになるでしょう。少なくとも5～6年の長期的なプロジェクトになることを理解しなければなりません」との見解を示す。

　また、ベンダー・ロックインについては「ベンダーの契約内容が一致している組織は非常にまれです。また、特定事業者との取引関係もロックインを解消することを妨げてきました」と説明する。 【次ページ】集約のカギを握るある「2つの技術」とは