PR

 現在セキュリティ業界では,大規模な業界再編が起きている。そんな中,米国サンフランシスコで2月に開催された「RSA Conference 2007」で,米EMCに買収されたRSA Security社長のArt Coviello氏が「専業セキュリティ・ベンダーは無くなる」と宣言し,大きな話題を呼んだ。日本法人であるRSAセキュリティの山野修社長にも,この話題について尋ねてみた(聞き手は中田 敦=ITpro)。



 インタビューに移る前に,セキュリティ業界の状況を確認しておこう。ここ数年,大手ベンダーによるセキュリティ専業ベンダーの買収が相次いでいる。2006年6月には,EMCがRSA Securityを買収。同8月には米IBMがIDS(侵入防御システム)大手のInternet Security Systems(ISS)を買収している。このほか2005年7月には,米VeriSignがセキュリティ調査会社のiDEFENSEを買収している。

 このほか,米Microsoftが複数のウイルス対策ソフト・ベンダーを買収して同分野に参入していたり,米Oracleや米Cisco Systemsも,統合セキュリティを手がけ始めたりしている。逆のケースもあり,2004年12月には米Symantecが,ストレージ・ソフト・ベンダーのVERITAS Softwareを買収している。RSA Security社長のArt Coviello氏が「無くなる」という前に,既に多くの専業セキュリティ・ベンダーが姿を消しているのが実情なのだ。

私(記者)も記事にしましたが(関連記事:【RSA Conference 2007】「専業セキュリティ・ベンダーは無くなる」,RSA社長が語る),Art Coviello氏による「宣言」にはインパクトがありました。

 
  RSAセキュリティ 山野修社長
 Art Covielloの発言は,米国でも大きな反響がありました。「RSA Conference 2007」に関する記事は米国だけで600本出たのですが,そのうち250本がArt Covielloの発言を取り上げていました。Art Covielloも,かなりのセンセーションを狙って,あの発言をしたのだと思います。

 彼の発言には,もちろんEMCによるRSA Securityの買収を正当化しようという考えがあったと思いますが,狙いはそれだけではありません。

 これまで一言でセキュリティ・ベンダーと言っても,ファイアウオール・ソフトベンダーやウイルス対策ソフト・ベンダー,IDSベンダー,当社のような暗号ソフト・ベンダーといった具合に,かなり細分化されていました。しかし,ユーザー企業がセキュリティ対策をしようと思っても,ファイアウオールを導入するだけでは完結しませんし,ウイルス対策ソフトだけでも完結しません。ベンダーができることが,非常に限られていました。

 お客様も,クライアント・パソコンにはウイルス対策ソフト,社内のイントラネットにはIDSを置いてモニタリングをして,イントラネットとインターネットの間にはファイアウオールを置いて--といった具合に,防御壁を何重にも立てていたのが,セキュリティのトレンドでした。

 しかし,壁を何重にも厚くしても,情報漏えいなどを防げなかったのが現実です。つまり,従来のような「周辺を守る」セキュリティは限界に達していました。守らなければならないのは,個々のポイントではなく,システムの中に流通している「情報」そのものです。情報を守るためには,誰が情報を持っているのか,どこに情報があるのかを把握する必要があります。つまり,情報中心のセキュリティ対策を提供するには,企業の情報システムの全ぼうを理解した,インフラを提供するベンダーが,セキュリティ・ソリューションを包括的に提供するのが好ましくなったのです。

 「インフラを提供するベンダーがセキュリティ・ソリューションも提供するようになる」という視点は,Art Covielloなどは2年ぐらい前から持っていたと思います。だからEMCとRSA Securityは一緒になりましたし,IBMはISSをはじめとする色んな会社を買収した。MicrosoftやOracleもそうです。

インフラを提供するベンダーにとって,セキュリティ分野が重要になっているという視点は理解できました。その一方で,セキュリティ専業ベンダーの側は,どう考えていたのでしょう?

 実は,セキュリティ業界は各セグメントにおける「トップ・ブランド」が生まれやすい業界でもあります。例えば,ウイルス対策ソフトでばSymantecが圧倒的ですし,ファイアウオールであれば米CheckPoint,IDSであればISS,暗号であればRSA Securityといった具合です。

 これには理由があります。お客さんはセキュリティ対策製品に「安全」だけでなく,「安心」も求めているからです。お客さんは何に「安心」するかというと,「みんなが使っている」ことに安心さを感じるわけです。だからセキュリティ対策製品では,突然寡占化が加速しました。一方で,どれだけ技術的に優れていても,お客さんの「安心」を得るのは,容易ではないのです。

 各セグメントのナンバー・ワン,ナンバー・ツーでなければ生き残っていけないのであれば,セキュリティ・ベンダーが成長していくためには,別のアプローチが必要になります。そのアプローチの1つが,統合セキュリティの提供なのです。

もうすぐ日本でも「RSA Conference 2007」(4月24日,25日)が始まりますが,今回の大きなテーマは何になりますか?

 今は,情報システムにかかわるすべての人が,セキュリティに何らかの形で携わっています。一方で,内部統制も問題になっています。難しいのは「セキュリティ=内部統制」ではない,ということです。情報セキュリティだけやっていた方には,内部統制対策は近寄りがたいものがあります。特に内部統制は,会計監査に関する分野で必要になっているので,情報セキュリティの分野とは趣を異にしています。

 情報セキュリティと内部統制。この2つがどの程度重なるものなのか,その部分が誰にも分かっていないのが現状です。今回のRSA Conference 2007では,その重なりの部分にフォーカスします。情報セキュリティと内部統制の双方に関連する人にとって,RSA Conference 2007は有益な情報を提供できると思います。