エンタープライズ:インタビュー 2002/11/27 21:56:00 更新


Interview:「セキュリティとシステム管理は融合していく」とトリップワイヤCEO

データの完全性保証というユニークな概念に基づいた製品を提供しているトリップワイヤ。同社によれば、これまで別々に捉えられてきたセキュリティとシステム/ネットワーク管理という2つの分野は、融合していく方向にあるという

 数年前と比較すれば、企業のセキュリティに対する意識は高まり、ウイルス対策製品やファイアウォール製品をはじめ、数多くのセキュリティ製品が導入されるようになってきた。にも関わらず、セキュリティ侵害事件は一向に減る傾向を見せないし、現場の労苦が軽減されているようにも見えない。果たして問題はどこにあるのか――米トリップワイヤのCEO(最高経営責任者)兼社長を務めるワイアット・スターンズ氏に聞いた。

tripwireceo.jpg
日本語も解するスターンズ氏

ZDNet セキュリティはネットワーク運用にとって大きな脅威ですが……

スターンズ IDCの調査によれば、ネットワークやシステム停止の原因のうち、悪意ある攻撃によるものはたったの3パーセントに過ぎません。ハッキングに代表されるセキュリティ上の問題は非常に大きく取り上げられていますが、実は、企業にとっては、問題のほんの一部にしか過ぎないのです。

 この調査によれば、システム停止原因の19パーセントは、停電や通信回線の切断といった外部環境となっています。そして最大の原因が、アプリケーション障害や設定のミスといった内部要因で、これがネットワークの信頼性に大きな悪影響を与えているのです。

 多くの人は、セキュリティに問題があると考えています。ですがセキュリティの問題とは、実は、システム上の他の問題から引き起こされる症状だといえるでしょう。パッチを適切に適用していないという問題が、セキュリティ上の問題を生じさせやすくしていることがその例です。

ZDNet セキュリティ市場には既にさまざまな製品が存在しています。トリップワイヤ製品のユニークなところは何ですか?

スターンズ おっしゃるとおり、これまで業界はファイアウォールやアンチウイルスなど多くの製品を提供してきました。そして、多くの企業がこれらに投資しています。ですがこれで解決できるのは問題の3パーセントに過ぎません。1つの問題にしかフォーカスしておらず、システム稼働全体を見ていないのです。

 ほとんどのベンダーが提供しているのは垂直型のソリューションセットだといえます。これに対しトリップワイヤでは、水平型のソリューションを提供します。それが、データの完全性保証(データ・インテグリティ・アシュアランス)というテクノロジで、OSやアプリケーション、顧客データなどが、本来あるべき姿にあるかどうかをチェックします。

 まず、システムが正しい状態のときにスナップショットを取っておきます。これを一定のタイミングで稼動中のシステムとつき合わせ、比較することにより、問題がないかどうか、異常な変更がなされていないかどうかを確認します。そうした事態を検知した際には、速やかに復旧することも可能です。

 ここで注意して欲しいのが、われわれの製品はホスト型IDS(ホスト型不正侵入検知システム:HIDS)とは異なるということです。HIDSとしての動作もしますが、これは、トリップワイヤが提供するデータ・インテグリティ・ソリューションの機能の1つに過ぎません。われわれはHIDSではなく、最善の状態のデータを保持し、変更を検知するためのシステムを構築しようとしているのです。

「設定や管理は地味な分野」

ZDNet 顧客にはどんなメリットがあるのでしょう?

スターンズ セキュリティ上の問題に加え、変更管理や監査など、幅広い問題に対応できます。私はよく、顧客企業の方に「一体どんな問題を解決したいのですか?」と尋ねるのですが、まず返ってくる答えは“99.9999パーセントのアップタイムの保証”です。2つめは、それを“できるだけ低いコストで実現すること”です。

 データ完全性保証は、この2つの問題を解決できます。1つひとつのデバイスに加えられたあらゆる望ましからざる変更を、自動的に検出できるからです。これにより、いっそう高い信頼性と安全性を備え、頼りにできるシステムを、低いコストで実現できます。

ZDNet とはいえ、データ完全性保証という概念を理解し、その重要性を認識するのはなかなか難しそうです。

スターンズ 例えばハッカーによる事件は多くの耳目を集めます。しかしこれは、問題のほんの一部に過ぎません。でもやはり、ハッカーへの注目度に比べると、設定や管理といった分野は、ちょっと退屈なものに見えるかもしれませんね。

 ですが、ここ数年の景気の悪化を受け、生産性の向上により多くの力が注がれるようになっています。産業がITへの依存度を高めれば高めるほど、この問題は認識されることになるでしょうし、認識せざるを得なくなるでしょう。携帯電話キャリアがその好例でしょう。

 今、システム管理とセキュリティという2つの分野は、急速に融合する傾向にあります。トリップワイヤはこの両分野にまたがる製品を提供しているのです。ただ、顧客の多くが「セキュリティ」予算を用意しているという現状を踏まえると、真の問題を認識してもらえるよう取り組んでいく必要があるかもしれません。

ZDNet もう1つ、マーケティング上の課題について伺います。逆にデータ完全性保証の重要性を認識しているユーザーならば、既にオープンソース版を利用しているのではないでしょうか? 商用版はオープンソース版とどう差別化していくのですか?

スターンズ おっしゃるとおり、われわれにとって最大の競争相手はオープンソース版のTripwireです。

 われわれはこの状況に対し、明確な方向性を打ち出しています。オープンソース版をつぶすようなことはしません。そんなことをしたら、多くの顧客が不幸になってしまいます。商用バージョンにより高い価値を持たせ、それを常に高めていくよう努力することで、オープンソース版からの移行を促したいと考えています。こうした地道な方法によって、オープンソース版ユーザーと商用版ユーザーの両方が幸せになれると考えています。

オートノミック・コンピューティングは今後のトレンドに

ZDNet この差別化において鍵を握るのはパートナー戦略ではないでしょうか。今後のパートナー戦略について聞かせてください。

スターンズ トリップワイヤでは3種類のパートナーシップを展開しています。1つはいわゆる代理店としてのパートナーで、京セラコミュニケーションズシステムズや東芝情報システムといった従来のパートナーに加え、新たにイー・スリー・ネットワークスや新日鉄ソリューションズなどが加わりました。

 2つめは、共同でソリューションを提供するためのパートナーシップです。10月23日にマイクロソフト、インターネット セキュリティ システムズ、ラックとともに4社で発表した「情報漏洩・改ざん対策ソリューションパッケージ」がそれに当たります。これによりマイクロソフト製品の顧客が、セキュリティとデータ完全性保証という両方の問題を解決できるようにします。

 最後は、ハードウェアおよびソフトウェアバンドルのパートナーです。米国ではIBMと提携を結んでおり、われわれはこの可能性に大きく期待しています。他にサン・マイクロシステムズやヒューレット・パッカードとも提携を結んでいます。

 さらに、今後システム/ネットワーク管理とセキュリティという2つの分野が融合することを考えると、TivoliやHP OpenView、CA UniCenterやJP1といったエンタープライズ管理ソフトウェアが、重要な役割を果たすことになるでしょう。今後は、こうした分野での提携にも取り組んでいく予定です。

ZDNet Tripwireの製品自体では、どういった発展がありますか?

スターンズ 引き続きTirpwire for Serversの機能強化に取り組んでいきますし、Tripwire for Network Devicesでは、サポートするするネットワーク機器を増やしていく予定です。管理とセキュリティの統合に向けて、機能を広く拡張していこうと考えています。

ZDNet 今企業にとって、最大の課題は何だと考えますか?

スターンズ あらゆる革命にいえることですが、産業が勃興する初期には、多くのキャパシティが求められます。キャパシティ増大のために投資が行われるのです。しかし産業が成熟してくると、長期的な運用に見合うよう、コストを削減しながら同時にキャパシティ増大を図る必要が生じます。その結果、信頼性や安全性に関するギャップが生まれてくるのです。

 ITの世界では今まさに、このギャップが広まりつつあります。システムが十分信頼できるものではないために、かえって需要が低下するという可能性もあります。

 課題は、このギャップを乗り越えることです。この解を見つけるためには、航空産業や電話、携帯電話など、他の業界の歴史に学ぶ必要があります。つまり、人手に頼るのではなく、それを省き、自動化を図ることです。そうして信頼性を向上させながら、コストダウンを実現していくのです。

 今、IBMやサン、マイクロソフトなど多くの有力企業が、表現は違いますが、この課題に取り組もうとしています。IBMの「オートノミック・コンピューティング」もその1つで、これは、信頼性や安全性に関するギャップを埋めるという問題にフォーカスした、今後の大きなトレンドです。われわれは、この部分に関してパートナーシップを結ぶことができたことを誇りに思っています。

関連記事
▼ラックなど4社、Windows環境の情報漏洩・改ざん対策で協業
▼Interview:「100パーセント完全なセキュリティはありえない」とトリップワイヤ
▼E3ネットワークスとトリップワイヤが「データ・インテグリティ」実現に向け提携

関連リンク
▼トリップワイヤ・ジャパン

[聞き手:高橋睦美,ITmedia]