COTSの罠から脱出する

長年にわたり、エンタープライズのサイバーセキュリティ環境は膨大な数の商用ツールを蓄積してきました。業界調査は、ツール増殖が複雑性、コスト、およびリスクを駆動する一貫した状況を示しています。グローバルなサイバーセキュリティ市場は2024年に約2,430億ドルの価値があり、2026年までに年間5,200億ドルを超えると予測されています。商用既製品（COTS）ソフトウェアは速度と成熟度を約束し、何年もの開発期間を回避しています。最初はすべてが完璧に機能し、その決定は正当化されたように感じます。

しかし、時間の経過とともに、組織は目標をシフトさせたり、他のシステムと統合したり、またはソフトウェアから完全に離れることを決定したりするかもしれません。これが本当の問題が現れ始めるときであり、チームは突然それがどれほど難しいかに気づきます。基本的な変更には長い時間がかかる可能性があり、システムの置き換えはリスクを伴い、組織は難しい状況に陥っています。これが私たちが「COTS罠」と呼ぶものです。

COTS依存のコストは、組織がプラットフォームを切り替えようとするときに最も明らかになります。移行失敗の統計は、COTSプラットフォームが生み出す建築上の絡み合いの深さを強調しています。これは、ソフトウェアを放棄しにくくするような方法で設計されたシステムの周りにあるためです。サイバーセキュリティにおけるCOTS依存は構造的であり、高コストであり、加速しています。建築上の対抗措置を実装しない組織は、複合的なコスト、戦略的柔軟性の低下、およびサイバー脅威とベンダー崩壊の両方への脆弱性の増加に直面しています。

COTSとは何か、そしてなぜ人々はそれが好きなのか？

COTS（商用既製ソフトウェアの略）は、通常オンラインまたは小売店で販売される既製ソフトウェアを指します。これらはボックスから出してすぐに事前構成された機能を備えており、ほとんど、またはまったく変更が必要ありません。

• IAM
• GRC
• IGA
• 脅威検知プラットフォーム

ほとんどの企業がそれらを好む理由：

• すでに「機能している」。
• 簡単かつ迅速にデプロイできる。
• ベンダーが約束する長期支出の削減。

一見すると、これらの利点は説得力があります。課題は、ソフトウェアがツール以上になり、アーキテクチャ自体を形作り始めるときに生じます。

新しい動向：AIと次のロックイン波

人工知能は、サイバーセキュリティ機能の次のフロンティアであり、ベンダー依存の次のベクトルです。マッキンゼーの2024/2025年の研究では、AIがサイバーセキュリティの総市場規模を2兆ドルに拡大することを特定しています。行動分析から自動化された脅威検知、AI対応SIEMまで、AI駆動型セキュリティプラットフォームは、COTS依存の新しい形態を作成します。AIモデルは独自のデータセット上で訓練され、ベンダー固有の脅威インテリジェンスフィード（エンタープライズデプロイの62％が毎日24億の侵害指標を消費する脅威インテリジェンスを統合）を使用し、特殊なコンピュートインフラストラクチャが必要です。AIベースの検知モデルへの投資は、スイッチングコストの新しいカテゴリを作成します：モデルの再トレーニング、行動ベースラインの再確立、および機関的脅威インテリジェンスの喪失です。AIネイティブセキュリティプラットフォームを採用する組織は、脅威検知の有効性が単一ベンダーのモデルトレーニングデータとアルゴリズムアプローチに関連するというリスクに直面しています。

エンタープライズセキュリティアーキテクチャにおけるベンダーロックインの形成方法

ベンダーロックインが一夜にして起こることはめったにありません。代わりに、技術的および業務上の決定が蓄積されるに従って、徐々に現れます。どのように？

組み込まれたビジネスロジック

ソフトウェアを使用した後、企業は快適になり、価格設定ロジックと検証などの重要なルールがソフトウェア内に埋め込まれてしまいます。時間の経過とともに、企業は徐々に自身のロジックへの直接的な制御を失います。

ベンダー形成ワークフロー

「それがシステムの動作方法である」は、ほとんどの企業がソフトウェアの制限に合わせてワークフローを変更するための言い訳になっています。これは、多くのプロセスが単純化されたり、歪められたり、またはそれらを変更するのが難しいと感じるためだけに「十分に良い」と見なされたりすることを意味します。

プラットフォームネイティブカスタマイズ

変更が必要な場合、チームは通常、カスタムスクリプト、構成、および拡張機能を追加して、ソフトウェアがさらに良く適合するようにしています。そしてこれは実用的で、その時に必要であってもかもしれませんが、それらは通常、その特定のベンダーのプラットフォームに調整されています。

データの絡み合い

簡単に言えば、あなたのデータはベンダーだけが理解する形式と構造にトラップされています。それを読むのは難しく、遅く、そして高価です。データが企業を人質に取っているため、これは移動を困難にします。

COTS罠を打ち破るアーキテクチャパターン

COTS罠から脱出することは、商用ソフトウェアを回避することを意味しません。ソフトウェアが制御のポイントにならないようにシステムを設計することを意味します。

ソリューション1：アンチコラプションレイヤー

これは単に、あなたのシステムとソフトウェア間のバッファを持つことを意味します。その中核の目的は、2つが直接通信しないことを確保することです。翻訳者として機能するため、あなたのシステムはあなたのビジネス言語を話し続けます。ベンダーシステムは、あなたのビジネスモデルの建築基盤ではなく、ツールのままです。

ソリューション2：プロセス抽象化パターン

ソフトウェアにあなたがエンタープライズをどのように実行するかを指示させないでください。代わりに、ベンダーのソフトウェアとは無関係にシステムを定義する必要があります。ソフトウェアは特定のタスクを実行するためにのみ使用する必要があります。

こうすることで、ソフトウェア全体を交換することなく、ビジネスモデルを変更するのがはるかに簡単になります。それだけでなく、ビジネスモデルに影響を与えることなくソフトウェアを交換することもできます。

ソリューション3：イベント駆動統合

ポイント間統合は通常、システムを緊密に結合します。イベント駆動統合は、直接リクエストを発行する代わりに、何が起こったかについての単純な事実を共有することによってこれを防止します。これにより、システムは独立して機能し、独自のペースで進化し、他者に影響を与えることなく交換される可能性があります。

ソリューション4：ストラングラーフィグパターン

システムの変更は常に遅く、一度にすべてを変更してはいけません。

• 小さな部分を段階的に置き換えます。
• 古いシステムと新しいシステムを一緒に実行できるようにします。
• ユーザーとデータを徐々に移動します。

何か問題が発生した場合、システムをクラッシュさせることなく、簡単に停止して足跡をたどることができます。

ソリューション5：データ主権戦略

あなたの最も重要なデータは、常にあなたのシステム内にあり、あなたの管理下に留まる必要があります。ベンダープラットフォームはコピーを受け取り、所有権ではなく。これにより、データへのアクセスを失うことなく、簡単にシステムを移動、統合、または交換することができます。

置き換え可能性のための設計：アーキテクチャの原則

これはほとんどの企業が完全に間違えるところです。COTSソフトウェアを最初から最終的なソリューションとして扱うこと。一度選択、購入、インストールされると、その周りのすべてがそれに適応する必要があります。ほとんどのプロセスは曲げられ、データモデルは引き伸ばされ、アーキテクチャはソフトウェアが必要とするものに合わせて再定義されます。結果は？それを置き換えることは考えられなくなります。

この種の考え方が本当の問題であり、ソフトウェア自体ではありません。COTSは生産性と効率を改善するために設計されています。あなたの長期的な構造を定義することを意図していません。今日の常に変わる風景では、同じままであることが保証されているものはありません。今日適合するソフトウェアは明日は常に適合するわけではありません。

したがって、システムは、ビジネスが目標を変更し、市場がシフトし、規制が進化し、戦略が書き直されるたびに、ベンダープラットフォームをいつでも置き換えることができるという仮定で設計する必要があります。

このようにアプローチすると、デフォルトで柔軟になります。あなたは自身のシステムを制御したままであり、ベンダーに制御を譲っていません。最も重要なことに、変更が強制されるときに発生する最後の瞬間の書き直しを排除します。

ここでの目標は絶えずプラットフォームを切り替えることではなく、必要な場合にそれを行うことができることを確認することです。それが、あなたが離れることができるエンタープライズシステムを設計することが何を意味するかです。

結論：建築設計における柔軟性は重要

サイバーセキュリティ業界のCOTS依存は調達の失敗ではありません。これは年間10～15％の成長率で成長する市場の構造的特性であり、3,000以上のベンダーがエンタープライズ予算を競っています。2025年のサイバーセキュリティに費やされた2,120億ドルは圧倒的にCOTSチャネルを流れており、確立するのに高コストで、維持するのに高コストで、終了するのに非常に難しい依存関係を作成しています。

最も強力な商用既製ソフトウェアを購入することは、常に成功を保証するとは限りません。成功した企業は、あらゆるプラットフォーム変更に適応するように構築されたシステムを持つ企業です。

それはまた、COTSソフトウェアが悪いということを意味せず、あなたはそれを使用してはいけません。むしろ、あなたはそれを使用する方法を知っているべきです。ほとんどの企業は、これらのベンダープラットフォームを建築全体の基礎として扱うことによって、実際には何らかのツール以上のものではなく、実際には何にもならないことによって見落とされています。

この混乱があるため、ほとんどの企業は、通常、システムがベンダープラットフォームが望むことを模倣することを強制されているため、単に勝つことができない状況に陥っています。

COTSソフトウェアから最高のものを得るために、明確な境界を設定し、強いドメイン所有権を確立する必要があります。結局のところ、良い建築は単にプラットフォームを選択するだけではありません。今日の選択があなたの後の選択肢を制限しないことを確認することの方がはるかに多いです。

建築設計における柔軟性はエンタープライズシステムにとって非常に重要です。組織が機能し、予期しない変更を生き残ることを保証します。このような自由により、企業はこれらのプラットフォームから最高のものを得ることができます。 初日から戦略的な独立性のために建築する組織は、COTS依存を罠からツールに変換し、商用プラットフォームを強力なために活用しながら、ベンダーのロードマップではなく、ビジネスニーズのペースで適応、移行、および進化する柔軟性を保持しています。

この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか？