「コンプライアンスや業務上のリスクといった経営視点でセキュリティポリシーを管理するGRC(ガバナンス・リスク・コンプライアンス)ソフトを、日本市場でも2011年初めから販売する」--米EMCのセキュリティ部門である米RSAのプレジデントであるアート・コビエロ氏は2010年9月9日、来日記者会見を行い、このような計画を明らかにした。
GRCソフトは、EMCが2010年1月に買収した米アーチャーテクノロジーズの製品。アーチャーの製品はEMCによる買収後、RSAのブランドで販売されている。コビエロ氏は、「企業のセキュリティは、一つのシステムとして包括的に管理すべきであり、GRCソフトがその鍵になる」と語る。
コビエロ氏の定義するセキュリティシステムは、三つのレイヤーに分かれる。(1)サーバーやネットワーク機器などにコントロール機能を組み込む「コントロールレイヤー」、(2)コントロール対象から集まるログを監視する「コントロール管理レイヤー」、(3)コンプライアンスや業務リスクの視点でセキュリティポリシーを管理する「ガバナンス/可視化レイヤー」である。
コントロールレイヤーとコントロール管理レイヤーには、様々な製品が存在し、異なるメーカーの製品をそれぞれ利用するユーザー企業も少なくない。「これでは、航空会社ごとに航空管制システムを運用しているようなもの。現実の航空管制システムのように、単一のシステムでセキュリティを管理する必要がある」(コビエロ氏)。
GRCソフトは、各種のセキュリティ管理ソフトを、セキュリティポリシーに基づいて横断的に管理可能で、航空管制システムに相当すると主張する。アーチャーのGRCソフトは、日本では未発売。2010年の初めには、日本市場でも販売を始めるとしている。
会見でコビエロ氏は、同じEMCグループである仮想化ソフトベンダーのヴイエムウェアとの連携にも言及。RSAは現在、ヴイエムウェアの仮想マシンセキュリティ機能である「VMware vShield」に、セキュリティ機能を組み込んでいる。それだけではなく今後は、RSAのセキュリティ管理コンソールと、ヴイエムウェアの管理コンソール「VMware vCenter」とを連携可能にするほか、アーチャーのGRCソフトで作成したポリシーやルールを仮想化環境にマッピングできるようにする。
