とあるリクルーティングエージェンシー様のご懇意で、2024年9月6日(金)にサイバーセキュリティ業界におけるソリューションエンジニアリングのあり方をテーマに、パネリストとして登壇させて頂くことになりました。参加者の方にとって有意義な場になるよう鋭意準備中です。この記事では、ソリューションエンジニアリングとは何のことで、特にサイバーセキュリティのような変化の早いドメインで、何故必要なのかについて述べています。ベンダのソリューションエンジニアと共にWinWinな関係を築きながら、自社の課題解決を推進する際のヒントになれば幸いです。
何のことで何故
私は、ソリューションエンジニアリングとは、お客様の根本的な課題を発掘して、その課題の解決策を組み立てることと定義できると思っています。では何故、根本的な課題の発掘と解決策の組み立てが必要なのでしょうか?以下の3つの観点で掘り下げてみます。
永遠に終わらない抗争
サイバー犯罪組織は、何らかの目的を達成するために、あの手この手で新たな攻撃手法を設計/開発しては、世界中の様々な地域でありとあらゆる業種/業態のお客様に対して攻撃を企てていると考えられます。攻撃を仕掛ける側のサイバー犯罪組織は、1回でも成功すれば良しとされていることに対して、攻撃から自社の資産を守る側のお客様は、全てを防御できなければ良しとされません。この成功基準の違いから、犯罪組織とお客様の抗争は永遠に終わらない、お客様は延々と理想的な策を考え続けなければなりません。
異常な細分化
"サイバーセキュリティ"と1口に言っても、様々なドメインがあります。例えば、ソフトウェア開発のセキュリティを担保するApplicationセキュリティや、コードの実行環境を支えるPlatformセキュリティ、データセンターのバックボーンを担うInfrastructureセキュリティ、規制を支えるGovernance, Risk & Compliance等です。個々のドメインは細分化がなされているのが実態ですね。Applicationセキュリティのドメインを例に取ってみても、コード品質を支えるSAST、3rdパーティーのライブラリやコンポーネントの不正をチェックするSCA/SBOMのように、各テーマごとにソリューションが乱立しています。選ぶ側のお客様は、選択肢が多すぎてストレスを感じているのではないでしょうか?
真の課題は誰も知らない
ユーザ企業でサイバーセキュリティを担当している方は、サイバーセキュリティ、つまり、自社にとって最も起こって欲しくない事後が起こる確率を可能な限り小さくすることのプロであって、個々のサイバーセキュリティソリューションのプロではないですね。前述したとおり、現在のサイバーセキュリティのドメインは異常な細分化がなされていて、個々のソリューションの特徴や実現できるユースケースを、お客様が全て把握することは不可能です。課題解決のプロジェクトが進む中で、"そもそもうちの課題って何だったっけ?"と聞かれても、"〇〇が課題です。理由は〇〇だからです。"と、端的に答えることができる人はいないはずです。
上記のような背景から、ダイナミックに変化する環境の中で、お客様と共に本質的な課題とその解決策の組み立てをサポートしてくれる人や組織やサービスを、全てのお客様が求めていると考えています。
ベンダ側のソリューションエンジニアリング組織の目的
ベンダ側のソリューションエンジニアリング組織は、営業組織に所属していることが大半です。営業組織の目的は、自社製品やサービスを見込み顧客に販売して、売上と利益を得ることです。ソリューションエンジニアリングも抗議の意味では営業になるため、特定の期間内に一定の売上を利益を得ることが目的の1つになっています。これに加えて、ソリューションエンジニアリング組織は、技術的な勝利を獲得することを市場命題としています。
技術的な勝利とは?
この記事では、技術的な勝利とは、お客様の課題を解決するための技術的な要件を可能な限り詳細に定義して、自社のサイバーセキュリティソリューションでそれらを実現できることを証明することとします。長ったらしくて申し訳ありません。お客様から見たら、自社の根本的な課題を発掘と解決策の組み立てをサポートしてくれるベンダは複数存在するはずです。ベンダ側から見たら、お客様が持っている複数の選択肢の中から、最も優れていることを証明して選択してもらうことが大前提になります。以降、ソリューションエンジニアリングの代表的な3つのステージにおいて、ベンダ側のソリューションエンジニアリング組織が技術的な勝利を獲得するために、やってはいけないと考えていることを整理します。
課題の発掘
このステージは全ての出発点になっていて、ここでの成否が技術的な勝利を獲得できるか否かを左右しています。再度、技術的な勝利の定義を整理すると、お客様の課題を解決するための技術的な要件を可能な限り詳細に定義して、〇〇〇〇です。お客様の課題を、お客様とベンダの双方が理解していなければ解決できることを証明することもできませんね。やってはいけないことは、サイバーセキュリティソリューションの紹介です。このステージのゴールは、お客様の根本的な課題を発掘することです。サイバーセキュリティソリューションを、30分も1時間もかけて延々とお客様に紹介していても、根本的な課題を発掘することは不可能です。仮にベンダ側のソリューションエンジニアが、延々と紹介のプレゼンテーションやデモを仕掛けてきたら、そのベンダに技術的な勝利を獲得する資格は無いと判断して切り捨てましょう。時間は有限です。
デモ
デモとは英語のDemonstrationの略で、Demonstrationとは、実演や実証を意味しますね。このステージのゴールは、お客様の課題は自社のサイバーセキュリティソリューションで解決できることを証明することです。やってはいけないことは、サイバーセキュリティソリューションのトレーニングです。お客様の課題に焦点を当てずに、一方的にサイバーセキュリティソリューションの機能を隅から隅までデモで見せて、挙句の果てに同一ドメインの競合他社とは一線を画すといった趣旨の発言をする、これは最もやってはいけないことです。
PoC
このステージのゴールは、お客様の課題解決のアプローチが、机上の空論ではなく実際にお客様の環境で実装して価値を提供できることを証明することです。またまた長ったらしいですね。一般的に、PoCはお客様とベンダが共同で推進するプロジェクトで、ソリューションエンジニアリングの中で最もコストがかかるステージかと思います。コストがかかるということは、失敗は絶対に許されません。やってみたけどできなかったはご法度です。やってはいけないことは、成功基準を決めずにとりあえず始めることです。何をもってして成功とする基準を事前に決めなければ、PoCが成功なのか失敗なのかを判断する術はありませんね。
取り留めのない長文に最後までお付き合い頂きありがとうございます。真の課題は誰も知りません。お客様・ベンダが同じ目的に向かって真摯に取り組む姿勢と覚悟を持っているか否かが、サイバーセキュリティ対策を成功させる鍵になると信じています。