専業ベンダーにセキュリティは任せておけない--EMC副社長が豪語

ZDNet Japan編集部 2008年04月09日 05時42分

  • このエントリーをはてなブックマークに追加

 世界最大規模のセキュリティイベント「RSA Conference 2008」が4月8日(米国時間)、米サンフランシスコのMoscone Centerで開幕した。開催初日の午前に行われた基調講演には、EMCのExecutive Vice Presidentで同社セキュリティ部門RSAのPresidentを務めるArthur Coviello氏が登壇した。

Arthur Coviello氏 Arthur Coviello氏

 EMCは2006年にRSA Securityを買収し、ストレージ関連製品にセキュリティ技術・製品を加え、新たな道を歩み始めている。この買収案件やIBMによるInternet Security Systemsの買収などから、セキュリティベンダーらの間では、独立系のセキュリティ専業ベンダーが年々減少しつつあることを危惧する声も聞かれた。

 Coviello氏はセキュリティベンダーの買収をざっと数え上げてみせる。

  • EMCのTablus買収
  • GoogleのPostini買収
  • OracleのLogica買収
  • HPのSPI Dynamics買収
  • IBMのWatchfire買収
  • SAPのMaxware買収
  • MicrosoftのKomuku買収

 何故、セキュリティ専業ベンダーが買収されるのであろうか。Coviello氏は大胆にも、ITセキュリティはセキュリティ専業ベンダーに任せておけないと語る。

 それと言うのも、かつてのセキュリティ対策は、全てのライン、全ての層を、100%保護するようなアプローチが取られてきた。「保護の壁」をそこかしこに構築しようとする試みといえる。しかし現在は、ビジネスプロセスのコアの部分においても、従業員・顧客・パートナーが、国境・組織を超えてコラボレーションすることが求められている。このような時代において、保護の壁を新たに打ち立てるやり方は、賢いアプローチと言えないだろう。

 Coviello氏は新たなアプローチを下記の5点にまとめてみせる。

  1. Risk Profile
  2. Collect and Analyze Data
  3. Solve the Knowledge Gap
  4. IT Infrastructure

 すなわち、まず初めに企業にどのようなリスクがあるのかを洗い出す(1)。次にそのリスクを収集・分析し(2)、従業員や顧客の間に存在するITリテラシーのギャップを埋めるための対策を取る(3)。そして最後に、その対策をITインフラに落とし込むというアプローチだ。

 Coviello氏の講演で何度も耳にした「Thinking Security」という言葉は、このアプローチを示すもの。また、このアプローチで重要なのは、対策を利用する「人」、対策を通じて運用される「プロセス」、対策を支える「技術」にあるとも指摘している。

Thinking Security Thinking Security

 先の大胆な台詞は、4の「IT Infrastructure」を念頭に置いた発言といえる。Coviello氏は、「セキュリティはITインフラから考えられるべき」だと強調しているのだ。

 「保護の壁」建設をやめ、新たなアプローチを取ること──Coviello氏はセキュリティと情報・ユーザーを直接繋ぐような仕組みを構築することが重要とし、「Information-Centric Security」という新たなコンセプトを紹介。2番目の基調講演のスピーカー、Symantec会長兼CEOのJohn Thompson氏と交代した。

 ZDNet Japanでは、RSA Conference 2008のレポートを順次掲載します。
  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR