世界最大規模のセキュリティイベント「RSA Conference 2008」が4月8日(米国時間)、米サンフランシスコのMoscone Centerで開幕した。開催初日の午前に行われた基調講演には、EMCのExecutive Vice Presidentで同社セキュリティ部門RSAのPresidentを務めるArthur Coviello氏が登壇した。
EMCは2006年にRSA Securityを買収し、ストレージ関連製品にセキュリティ技術・製品を加え、新たな道を歩み始めている。この買収案件やIBMによるInternet Security Systemsの買収などから、セキュリティベンダーらの間では、独立系のセキュリティ専業ベンダーが年々減少しつつあることを危惧する声も聞かれた。
Coviello氏はセキュリティベンダーの買収をざっと数え上げてみせる。
- EMCのTablus買収
- GoogleのPostini買収
- OracleのLogica買収
- HPのSPI Dynamics買収
- IBMのWatchfire買収
- SAPのMaxware買収
- MicrosoftのKomuku買収
何故、セキュリティ専業ベンダーが買収されるのであろうか。Coviello氏は大胆にも、ITセキュリティはセキュリティ専業ベンダーに任せておけないと語る。
それと言うのも、かつてのセキュリティ対策は、全てのライン、全ての層を、100%保護するようなアプローチが取られてきた。「保護の壁」をそこかしこに構築しようとする試みといえる。しかし現在は、ビジネスプロセスのコアの部分においても、従業員・顧客・パートナーが、国境・組織を超えてコラボレーションすることが求められている。このような時代において、保護の壁を新たに打ち立てるやり方は、賢いアプローチと言えないだろう。
Coviello氏は新たなアプローチを下記の5点にまとめてみせる。
- Risk Profile
- Collect and Analyze Data
- Solve the Knowledge Gap
- IT Infrastructure
すなわち、まず初めに企業にどのようなリスクがあるのかを洗い出す(1)。次にそのリスクを収集・分析し(2)、従業員や顧客の間に存在するITリテラシーのギャップを埋めるための対策を取る(3)。そして最後に、その対策をITインフラに落とし込むというアプローチだ。
Coviello氏の講演で何度も耳にした「Thinking Security」という言葉は、このアプローチを示すもの。また、このアプローチで重要なのは、対策を利用する「人」、対策を通じて運用される「プロセス」、対策を支える「技術」にあるとも指摘している。
先の大胆な台詞は、4の「IT Infrastructure」を念頭に置いた発言といえる。Coviello氏は、「セキュリティはITインフラから考えられるべき」だと強調しているのだ。
「保護の壁」建設をやめ、新たなアプローチを取ること──Coviello氏はセキュリティと情報・ユーザーを直接繋ぐような仕組みを構築することが重要とし、「Information-Centric Security」という新たなコンセプトを紹介。2番目の基調講演のスピーカー、Symantec会長兼CEOのJohn Thompson氏と交代した。
ZDNet Japanでは、RSA Conference 2008のレポートを順次掲載します。