~ 導入:なぜ、彼らは「箱」を売りたがるのか ~
情シスの朝は、憂鬱な電話で始まることが多い。
「御社のセキュリティ対策、本当に大丈夫ですか?」
「最新のランサムウェアは、今のファイアウォールをすり抜けますよ」
彼らは「恐怖(Fear)、不安(Uncertainty)、疑念(Doubt)」――いわゆるFUDを煽り、高額なセキュリティ製品(箱)を売り込んできます。
誤解しないでほしいのですが、私はすべてのベンダーが悪だと言っているわけではありません。技術力のある誠実なパートナーもたくさんいます。
しかし、向こうから電話をかけてくる相手の多くは、「セキュリティの専門家」ではなく「販売の専門家」です。
彼らのノルマ達成のために、あなたの貴重な予算を使わせてはいけません。
必要なのは、彼らのトークをフィルタリングし、本物だけを残すための「迎撃(Counter-measure)」の技術です。
本記事では、ZTRラボが推奨する「ベンダー・ゼロトラスト」の精神に基づき、営業トークを論理で無力化する交渉術を伝授します。
Phase 1:【門前払い編】意味のない営業を秒殺するフィルタリング
まず、会う価値のないベンダーに時間を割くのをやめましょう。
電話や最初のメールの段階で、以下のキーワードが出たら警戒レベルを最大に上げてください。
NGワード①:「AIで100%守ります」
セキュリティの世界に「100%」は存在しません。AIは魔法ではなく統計です。
「誤検知(False Positive)の率は何%ですか? そのチューニングは誰がやりますか?」と聞いてみてください。即答できなければ、ただのセールストークです。
NGワード②:「ゼロトラスト製品をご紹介します」
ここが一番重要です。「ゼロトラスト」は製品名ではなく、戦略(Strategy)です。
「ゼロトラスト製品」という名前の銀の弾丸は存在しません。
▼こう切り返してください
「ゼロトラストは戦略だと認識しています。NIST SP800-207のアーキテクチャにおいて、御社の製品は『PDP(ポリシー決定ポイント)』ですか? それとも『PEP(ポリシー適用ポイント)』ですか?」
この質問をして「えっ?」と詰まる営業なら、その電話は切って構いません。自社製品がエコシステムのどこに位置するかも理解していないからです。
Phase 2:【デモ編】化けの皮を剥がす「キラークエスチョン」
フィルターを通過し、実際にデモ画面を見ることになった場合。
綺麗なダッシュボードや、世界地図に攻撃元が表示される派手な画面に騙されてはいけません。
以下の「3つの意地悪な質問」を投げかけてください。
Q1. 「検知できなかった時(すり抜け時)、ログはどう見えますか?」
「止めること」ばかりアピールされますが、我々が知りたいのは「止められなかった時の初動」です。
生ログのエクスポートは簡単か? 検索クエリ(KQLなど)は柔軟か?
「失敗時の挙動」を見せるのを渋るベンダーは信用できません。
Q2. 「運用の『泥臭い部分』を見せてください」
「アラート一覧」ではなく、「除外設定(Whitelist)の画面」を見せてもらってください。
実際の運用では、業務アプリが誤検知され、深夜に除外設定を入れる作業が発生します。そのUIが複雑怪奇だと、運用は破綻します。
Q3. 「御社のエンジニアと直接話せますか?」
営業担当者は「持ち帰って確認します」が仕事です。
契約前に、実際のサポート担当やSEと会話させてくれるよう要求しましょう。彼らのスキルレベルこそが、製品そのものの価値より重要だからです。
Phase 3:【見積もり編】隠れコストを炙り出す
いざ導入、となった段で「予算オーバー」にならないための防衛策です。
「0円PoC」の罠
「無料でPoC(概念実証)できます!」という提案には注意が必要です。
ベンダーが用意した「都合の良いシナリオ(必ず検知できるウイルス検体)」だけでテストしても意味がありません。
こちらが用意したシナリオ(例:正規のPowerShellコマンドを使った擬似攻撃など)で検証させ、「検知できなかったこと」も含めたレポートを出させてください。
TCO(総所有コスト)を5年で見る
初期費用と初年度ライセンスが安くても、2年目から跳ね上がるパターンがあります。
また、「日本語サポート費用」「必須トレーニング費用」「ログ保存ストレージ費用」など、オプション扱いの隠れコストをすべて合算した5年分の見積もりを出させてください。
まとめ:ベンダーを「業者」ではなく「パートナー」に育てろ
ここまで厳しく書きましたが、目的はベンダーをいじめることではありません。
こちらの要求レベルが高いことを示し、「適当な提案では通じない相手だ」と認識させることです。
そうすれば、向こうもエース級のエンジニアを連れてくるようになり、本質的な提案だけが上がってくるようになります。
結果として、あなたの組織のセキュリティレベルは上がり、無駄なコストは削減されます。
主導権は、常に「予算(財布)」を握っているあなたが持っています。
恐怖に煽られず、戦略を持って選別してください。
🛡️ 追伸:まだ「武器」を持っていないあなたへ
「そうは言っても、何を基準に選べばいいか分からない……」
「ベンダーに言い返すための『自社の守るべき資産』が整理できていない……」
もしそう感じるなら、まずは「戦略」と「現状把握」から始めてください。
- 戦略を学ぶなら:
小説形式でゼロトラスト導入の泥臭いリアルを描いた
👉【物語連載】Project Zero Trust(全6話)
を読んでください。主人公ディランの交渉術は、そのままあなたの武器になります。 - 現状を把握するなら:
Kindle書籍の特典として配布している
👉 DAAS資産棚卸しシートの作り方
を使ってください。「何を守るか」が決まっていなければ、どんな高価な製品もゴミ箱行きです。
