「The End of the Stand-Alone Security Industry(専業セキュリティ・ベンダーは無くなる)」---。2月6日(米国時間)に開幕した「RSA Conference 2007」の基調講演で,現在は米EMCの一部門であるRSA Security社長のArt Coviello氏はこう語り,これからのセキュリティが,情報保護に主眼を置いた「インフォメーション・セントリック・セキュリティ」になると宣言した。
EMCがRSA Securityを21億ドルで買収すると発表したのは,2006年6月のこと。今回基調講演を行ったArt Coviello氏(写真1)は,買収前のRSA Securityでも社長兼CEOであり,買収後はEMCのシニア・バイス・プレジデントとRSA部門の社長を兼任している。2006年1月の「RSA Conference 2006」では,専業セキュリティ・ベンダーのトップとして基調講演を行ったCoviello氏が,その1年後には「専業セキュリティ・ベンダーが無くなる」と宣言したのである。
実際に,既に大手セキュリティ・ベンダーの多くが,専業ではなくなっている。IDS(侵入防御システム)大手のInternet Security Systems(ISS)も,2006年8月に米IBMに買収された。米Symantecは逆に,2004年12月にストレージ・ソフト・ベンダーのVERITASを買収した。米CAは元々,ウイルス対策ソフトなどのセキュリティ製品以外に,システム管理ソフトやバックアップ/ストレージ管理ソフトも手がけている。そして,「米Microsoftや米Oracle,米Cisco Systemsも,統合セキュリティを手がけ始めている」(Coviello氏)。例外は,ネットワーク管理製品を売却した米MacAfee(旧Network Associates)ぐらいだ。
それでは,Coviello氏が「専業セキュリティ・ベンダーが無くなる」と語る理由は何だろうか。Coviello氏はこう語る。「現在,ありとあらゆるデータがデジタル化されており,インフォメーションのデリバリ(企業内での配布)が,業務の鍵になっている。正しい情報を即座に正しい相手に届ける必要があるのだ。ここで問題になるのが,セキュリティだ。社員が外で仕事をする際に,データも一緒に外に持ち出されるべきだ。しかし現状は,セキュリティが足かせになっている」。
「その一方で『データが増えすぎて管理できない』,という悲鳴が現場から上がっている。しかし,管理できないものをセキュアにできるはずがない。インフォメーション・マネジメントとインフォメーション・セキュリティが不可分になっているのだ。こういった状況の変化にセキュリティ企業が対応するためには,セキュリティ企業が変身しなければならない」(Coviello氏)。だからこそRSAは,インフォメーション・マネジメントを手かげるEMCと一緒になったのだという。
完璧なセキュリティは時間と金の無駄
またCoviello氏は,統合型のセキュリティが求められている理由を3つ挙げた。第1点は,脅威が変化していること。「ウイルスなどの開発が,技術力を誇示するだけ(ジャスト・ショウオフ)のものから,完全に利益目的になり,セキュリティのすべてが変化した。フィッシングなどのソーシャル・エンジニアリングが高度化し,ブラック・マーケットは10億ドル規模になった」(Coviello氏)。第2点は,企業活動がオンラインに依存するようになったこと。第3点は,法制度が変化し,法令順守が難しくなりつつあることだ。
「RSAは,完璧なセキュリティを目指す会社だったが,世界が変わってしまった」とCoviello氏は語る。「今は,ビジネス・リスクという観点で,セキュリティを把握する必要がある。セキュリティはもはや,ファイアウオールや暗号化の話題ではない。現金が絡む問題であり,企業戦略の問題であり,顧客対応の問題であり,ブランド・イメージの問題である」(Coviello氏)。
その上でCoviello氏は,「専業セキュリティ・ベンダー消滅論」に続く,強烈な発言を行った。「完璧なセキュリティは,時間とコストの無駄」というのだ。Coviello氏は,中国の万里の長城の写真(写真2,日本でも世界でも無駄なものの象徴として認識されている)を掲出しながら,「完璧なセキュリティは不可能」と力説した。
「今までの検出(デテクション)システムでは,現実世界の70%の脅威しか防御できない。静的(スタティック)な防御では,もはや情報は保護できない。動的(ダイナミック)でかつビルトインの,インフォメーション・セントリック(中心)なセキュリティ・アプローチが必要だ。動的なセキュリティ・アプローチとは,情報の持つ動的な特徴を考慮した保護策を採るということ。情報をどう活用するか,ということにかかわる問題であり,完璧な情報保護を目指して行うものではない」(Coviello氏)。
セキュリティはもはやノイズではない
「暗号化キーの長さは重要だが,完璧なセキュリティを実現しようとすると,コストがかかりすぎる。インフォメーション・セントリック・アプローチでは完璧を目指さない。また,ウイルスや攻撃がなくなることはない。脅威が存在する,という環境に対応する必要がある。リスクを下げつつも,見通しの良い使い勝手が欠かせない」(Coviello氏)
「またインフォメーション・セントリック・アプローチを実現するためには,深い部分からの防御が必要になる。情報システムのインフラ設計なども,セキュリティを考慮するべきであり,その際に情報共有を妨げるようなことがあってはならない。つまりセキュリティは,それ単体で考えられる問題ではなくなったのだ」(Coviello氏)
Coviello氏は,「RSAはEMCの一部門になったので,EMCの製品がRSAのセキュリティ製品と連携できるようになった」と強調する。さらに「これまでは,セキュリティは情報システムにとってノイズに過ぎなかったが,今は,全世界がセキュリティの話を聞こうとしている。インフォメーション・マネジメントの中で最も重要な要素が,セキュリティになったのだ」(Coviello氏)と語った。
Coviello氏の基調講演の終わりには,EMCの会長兼社長兼CEOであるJoe Tucci氏(写真3)も現れた。Tucci氏は「EMCはストレージ・ハードウエアを販売しているだけではない。ストレージ管理ソフトウエア,バックアップ・ソフトウエア,仮想化ソフトウエア,セキュリティ・ソフトウエアを手がけるのがEMCだ」と強調した。
