セキュリティソフト市場がセキュリティをダメにする

通常は、強い需要がある市場は数社に統合される傾向がある。だがセキュリティ市場は複雑で分断されたままだ。このような状況では、管理者は無知を当てにすることになる。

[Charles Garry，eWEEK]

　わたしだけだろうか？　それとも、毎日新しいセキュリティ脆弱性が出てきているのだろうか？　Oracleはデータベース分野の事件の影響をもろに受けているようだ。その一方でMicrosoftは依然として、IT系メディアというぬかるみの中でWindowsの脆弱性を引きずっている。

　確かにわたしはちょっとメロドラマチックになっているようだ――それについて言うと、IT系メディアには実際には大したぬかるみはない――が、こうした脆弱性の問題全体がかなりの報道を生み出していることは確かだ。

　わたしが覚えている限り、セキュリティはほとんどのCIO（情報統括責任者）調査で問題のトップ3に挙げられている。だが大金を賭けてもいいが、平均的なCIO、ついでに言うとユーザーはワームとウイルスの区別がついていないと思う。

　もしも、CEOが会社の財務報告に対して説明責任を負わなくてはならないのと同じように、CIOに会社のITシステムのセキュリティに承認を与えるよう頼んだら、CIOという役目を果たすのは本当に難しくなると思う。

　正直なところ、データベース市場に対する関心とそこでの経験により、セキュリティソフト、ハード、プロセスの世界に対するわたしの視野は限定されている。確かに、もしもわたしがネットワーク管理者やアプリケーション開発者の仕事を経験していたら、かなり違った見方になるかもしれない。

　現実には、セキュリティ分野は非常に複雑で分裂した市場になっている。データベース分野だけでも数十の企業がある。それらはたいてい小さな企業で、それぞれニッチを開拓しようとしている。暗号化でも、ポリシー管理でも、侵入検知でも、監査でも、非常に圧倒的な存在に成り得る。

　では、セキュリティが常にトップ3の問題として挙げられていながらも、エンタープライズインフラセキュリティソフト市場は依然としてこのように分裂しているという事実と、どうやって折り合いを付ければいいだろうか？　これはどうも非論理的に見える。この市場では経済の法則がある程度保留されているように思えるのだ。

　通常は、これほど強い需要がある市場は、数社に統合される傾向がある。残った数社はやや異なるアプローチを取るかもしれないが、少なくとも包括的なソリューションとなる一連の製品を有している。

　確かにSymantecやMcAfeeのような有名な大企業はあるが、彼らの提供するものが非常に包括的なら、どうしてProtegrity、IPLocks、Ingrianなど数十の企業が存続しているのだろうか？

　おそらく、こうした複雑さは、新しい脆弱性のニュースや、実際には何も修正しないパッチプロセスに対する、「ITアパシー」とでも呼べそうな現象も助長している。

　ほとんどのOracleデータベース管理者は、過去6〜8カ月に報告されたOracle関連のバグのほとんどを軽視し、自社のデータベースには既に十分な保護を施していると考える傾向にある。

　多くの管理者は無知を当てにしているかのように見える。「わたしが自社のシステムに侵入する手だてのすべてを理解できないのであれば、社外の人間も理解できない」と思っているようだ。

　時折、わたしは大手ベンダー数社がすべての小規模セキュリティ企業を全部買い占めてその製品をまとめ、わたしがある程度理解できるようにしてくれないものかと願っている。

　つまり、わたしが言いたいのは、Symantecはストレージソフトベンダーを買収して何をしようとしたのか、それがいつ、企業がシステムを守る際の選択肢を減らしてセキュリティ問題全体に対処しやすくし、社会の役に立っただろうかということだ。

　もちろん、わたしは契約の一環として、彼らにわたしのITインフラのセキュリティに承認を与えてもらいたい。H&R Block（税金コンサルタント会社）のようなものだ。しかしその日が来るまでは、無知は至上の喜びであるという現実を信用しなければならない。インフラの脆弱性に関する知識が乏しいほど、より（インフラに）自信が持てる。結局、知識は力かもしれないが、知っているばかりに不安で眠れなくなるということもあるのだ。