専業ベンダーにセキュリティは任せておけない--EMC副社長が豪語

　世界最大規模のセキュリティイベント「RSA Conference 2008」が4月8日（米国時間）、米サンフランシスコのMoscone Centerで開幕した。開催初日の午前に行われた基調講演には、EMCのExecutive Vice Presidentで同社セキュリティ部門RSAのPresidentを務めるArthur Coviello氏が登壇した。

Arthur Coviello氏

　EMCは2006年にRSA Securityを買収し、ストレージ関連製品にセキュリティ技術・製品を加え、新たな道を歩み始めている。この買収案件やIBMによるInternet Security Systemsの買収などから、セキュリティベンダーらの間では、独立系のセキュリティ専業ベンダーが年々減少しつつあることを危惧する声も聞かれた。

　Coviello氏はセキュリティベンダーの買収をざっと数え上げてみせる。

• EMCのTablus買収
• GoogleのPostini買収
• OracleのLogica買収
• HPのSPI Dynamics買収
• IBMのWatchfire買収
• SAPのMaxware買収
• MicrosoftのKomuku買収

　何故、セキュリティ専業ベンダーが買収されるのであろうか。Coviello氏は大胆にも、ITセキュリティはセキュリティ専業ベンダーに任せておけないと語る。

　それと言うのも、かつてのセキュリティ対策は、全てのライン、全ての層を、100％保護するようなアプローチが取られてきた。「保護の壁」をそこかしこに構築しようとする試みといえる。しかし現在は、ビジネスプロセスのコアの部分においても、従業員・顧客・パートナーが、国境・組織を超えてコラボレーションすることが求められている。このような時代において、保護の壁を新たに打ち立てるやり方は、賢いアプローチと言えないだろう。

　Coviello氏は新たなアプローチを下記の5点にまとめてみせる。

1. Risk Profile
2. Collect and Analyze Data
3. Solve the Knowledge Gap
4. IT Infrastructure

　すなわち、まず初めに企業にどのようなリスクがあるのかを洗い出す（1）。次にそのリスクを収集・分析し（2）、従業員や顧客の間に存在するITリテラシーのギャップを埋めるための対策を取る（3）。そして最後に、その対策をITインフラに落とし込むというアプローチだ。

　Coviello氏の講演で何度も耳にした「Thinking Security」という言葉は、このアプローチを示すもの。また、このアプローチで重要なのは、対策を利用する「人」、対策を通じて運用される「プロセス」、対策を支える「技術」にあるとも指摘している。

Thinking Security

　先の大胆な台詞は、4の「IT Infrastructure」を念頭に置いた発言といえる。Coviello氏は、「セキュリティはITインフラから考えられるべき」だと強調しているのだ。

　「保護の壁」建設をやめ、新たなアプローチを取ること──Coviello氏はセキュリティと情報・ユーザーを直接繋ぐような仕組みを構築することが重要とし、「Information-Centric Security」という新たなコンセプトを紹介。2番目の基調講演のスピーカー、Symantec会長兼CEOのJohn Thompson氏と交代した。

　ZDNet Japanでは、RSA Conference 2008のレポートを順次掲載します。