運用管理ツール大手の米CA(旧Computer Associates)は現在,統合セキュリティ管理ベンダーとしての地位を固めつつある。売上高の11%をセキュリティ分野が占めており,2005年の同分野の売上高は前年度比30%増となった。2006年2月24日,セキュリティ・マネジメント分野を担当するシニア・バイス・プレジデントのToby Weiss氏が来日,セキュリティ管理への取り組みを語った。主旨は以下の通り。
CAはEITM(Enterprise IT Management,企業IT管理)と呼ぶ,ITを広範に捉えたビジョンを掲げている。セキュリティ管理もEITMのビジョンで取り組んでいる。背景には,昨今,企業のセキュリティの範囲が広がっているという状況がある。昔は攻撃から守ることが企業のセキュリティであり,それだけで済んでいた。現在では,SOX法(企業改革法)対策として内部統制に取り組んでいる証拠を監査法人に提出するなど,企業が抱えるセキュリティ要件は複雑になっている。
企業の活動には,従業員,パートナ企業,各種システム資源,業務アプリケーションなど,多くのリソースがかかわっている。EITMが目指すのは,こうした企業環境の全体を一元的に管理するというもの。我々は,EITMの理念に基づき,セキュリティ管理を統合するスイート製品を用意している。これが,IAM(Identity and Access Management,アイデンティティ管理),SIM(Security Information Management,セキュリティ情報管理),Threat Management(外的脅威管理)の3つだ。
業務アプリケーションの世界においては,すでに統合化は一般的だ。今から15年前の業務システムは,人事や財務,CRMなど,個別のシステムが独立して存在していたが,現在は違う。業務のすべてを米Oracleや独SAPなどが提供する統合アプリケーションでまかなうことが可能だ。これと同じことを,我々はセキュリティ管理の世界でやろうとしている。
なぜスイートによる統合化が必要なのか。これは,セキュリティ管理と言っても,多くの企業は,何をすればよいのか分からないからだ。市場に売られている製品は多いが,個々の製品がどのような機能を提供する製品なのかを知ることも難しい。何をどう組み合わせてどう連携させれば何かできるのかが分からない。こうした難しくてよく分からないセキュリティ管理の世界では,スイートによるセキュリティ業務の統合化の需要は大きい。
企業がセキュリティ管理をしっかりとできているかどうかは,3つの質問に答えられるかどうかで分かる。(1)「誰が何に対してアクセスしたのか」,(2)「システムに何が起こっているのか」,(3)「これらを知った上で何をすればよいのか」---だ。複数の情報を関連付け,知りたい情報が分かるようにするということだ。ユーザー企業が3つの質問に答えられるよう,我々は3つのスイート製品を提供しているのだ。
セキュリティ管理は義務であり,利益を及ぼさない,と考えている企業もあるが,これは間違いだ。情報システムへのアクセスを制限するためにセキュリティは存在しているのではなく,セキュリティの確保によって,情報システムに新しいアクセスを作り上げることができるのだ。安全な形でアクセス手段を公開するということだ。これにより,従来であれば連携していなかったシステム同士が連携し合い,新しい利益が生まれることになる。
