「1年前に私が提唱した『専業セキュリティ企業の終焉(しゅうえん)』と『インフォメーション・セントリック・セキュリティ』という2つのアイデアは,今や現実のものとなった。セキュリティ・ベンダーの買収はさらに進んだし,『データ流出防止(DLP)ソリューション』が各社から登場した」--米EMCのセキュリティ部門米RSA SecurityのPresidentであるArt Coviello氏は米国時間4月8日,「RSA Conference 2008」の基調講演でこう強調した。
Coviello氏(写真1)は2007年2月の「RSA Conference 2007」の基調講演で,大手ソフトウエア企業によるセキュリティ企業の買収が進んでいることに触れて,「専業セキュリティ・ベンダーは無くなる(「The End of the Stand-Alone Security Industry)」という見通しを示した。Coviello氏はその後もセキュリティ企業の買収が進んだことに触れて(写真2),自身の予測が当たったことを強調した。
Coviello氏はまた,2007年のRSA Conferenceで「企業システムのすべてを防御しようとするアプローチは無駄。これからは,大切な情報だけを守る『インフォメーション・セントリック・セキュリティ』が,セキュリティ対策の主流となる」と語っている。CoViello氏によれば,実際に昨年は「インフォメーション・セントリック・セキュリティ」が,セキュリティ業界における流行語になり,企業内のデータが電子メールやUSBメモリーなどを通じて社外に流出することを防ぐ「データ流出防止(Data Loss Prevention)」ソリューションを提供するベンダーも急増した(写真3)と指摘する。
今年のRSA Conferenceの基調講演でCoviello氏は,この2つの流れは今後もさらに強まると強調した。Coviello氏は,「従来,セキュリティ対策はコンプライアンスの観点で実行されるものであり,企業内でもビジネスに関与しない立場の社員が立案していた。しかし今や,セキュリティとは,インフォメーション・リスク・マネジメントそのものである。セキュリティ対策は今後,ビジネスの成功に不可欠なものとして,ビジネス上の判断から実行されるべきだ」と強調した。
テクノロジはセキュリティ・システムの1要素に過ぎない
Coviello氏は「セキュリティ対策を考える上では,人(従業員),ポリシー,テクノロジという3つの観点が必要だ」とも強調する。なぜなら「セキュリティ・テクノロジはベンダーが提供するものだが,セキュリティ・システムはユーザー企業の関与があって初めて完成する。セキュリティ・システムは,テクノロジの要素だけでは成り立たない」(Coviello氏)からだ。Coviello氏は「ポリシーとテクノロジを調和させる視点が不可欠」と語る。
また,「セキュリティ・システムはテクノロジの要素だけでは成り立たない」という視点は,「専業のセキュリティ・ベンダーは無くなる」という話題にも繋がるという。「インフォメーション・セントリック・セキュリティにおいては,人やポリシーの問題が重要であり,テクノロジはあくまで要素の1つに過ぎない。よって,単一のテクノロジだけを提供するスタンド・アローン・セキュリティ・アプリケーションは,今後販売が難しくなるだろう」(Coviello氏)。
Coveillo氏率いるRSAは,基調講演の前日に米Cisco Systemsとの提携を発表している(関連記事:CiscoとEMCがデータ流出防止ソリューションで提携)。専業のベンダーや専用アプリケーションは姿を消し,より包括的なセキュリティ・ソリューションが提供される時代が来ると,Coveillo氏は予想した。
