ITmedia エンタープライズ

　ロン・モリッツ氏は、Computer Associates International（CA）が新たに再編した「eTrust」セキュリティ製品部門の責任者を引き受けたとき、大変な仕事を任されたと感じたという。システム管理製品「Unicenter」で有名だったCAだが、セキュリティ分野における同社の知名度は、それと比べるとかなり低かった。

　しかし何年にもわたってどん欲に買収を進めた結果、CAは、デスクトップ用ウイルス防止ソフトウェアからメインフレーム用セキュリティ製品に至るまでの、豊富なセキュリティ製品を自社のポートフォリオに加えた。

　問題は、CAにはこれまで一貫したメッセージもなければ、さまざまな製品を結び付ける計画もなかったことだ。

　CAのほかの事業分野についても言えることだが、同社は顧客サービス部門の実体が分かりにくいという不評を買ってきた。また、柔軟性に欠ける長期のライセンス契約に同社が固執することに対しても顧客は不満を抱いていた。

　2002年9月にCAの上級副社長兼チーフセキュリティストラテジストに就任して以来、モリッツ氏は同社のセキュリティ事業を簡素化する方向を目指し、種々雑多なセキュリティ製品を3つのコア分野に集約した。3つのコア分野とは、アイデンティティ管理およびアクセス管理、リスク管理である。さらに同氏は、開発作業を顧客の要求に合わせることにも力を入れた。

　モリッツ氏のリーダーシップの下、CAは「eTrust Security Command Center」の開発にも着手した。これは、企業のネットワーク上に存在する異種製品を一元的に管理するためのコンソールで、2002年9月に発表された。同社は7月15日、ラスベガスで開催中されている「CA World 2003」で同製品を披露した。

　セキュリティ業界のベテランであるモリッツ氏は、イスラエルのセキュリティソフトウェアベンダーのFinjan Softwareに勤務したほか、CAの競合企業であるSymantecの副社長兼CTO（最高技術責任者）を務めた経験もある。CAに入社する前には、Moritz Technologyというセキュリティコンサルティング会社を自ら経営していた。

　モリッツ氏は、この1年間にCAのセキュリティ事業を構築する上で直面したチャレンジ、そしてCAはセキュリティ分野で大手企業の仲間入りができる立場にあると同氏が考える理由について話した。

モリッツ　最も明白なチャレンジは、わたしがこれまでかかわったどの企業よりもCAが技術志向の企業であるということでした。

　その一方で、技術者たちが困難に立ち向かい、問題を解決する姿勢を見て素晴らしいと感じました。わたしの体の中にも技術者の血が流れているのです。

　しかし製品を販売するには市場との関係が重要であり、顧客のニーズがどこにあるのかを理解する必要があります。

　CAに入って最初に気付いたのは、セキュリティの分野で、極秘プロジェクトも含めて当社が開発している技術と顧客のニーズがうまく結び付いていないことでした。

　これはよくあるパターンです。つまり、たくさんの優秀なエンジニアがセキュリティの問題について考え、ソリューションを打ち出しながらも、顧客と話したり市場に目を向けたりすることがなく、市場がわれわれに何を求めているかを十分に理解していなかったのです。

　ですから最大のチャレンジは、それができる人間を見つけることでした。クールでかっこいいけれども、市場が求めていない問題を解決するのではなく、顧客と話をして彼らが何を求めているかを理解し、彼らの要求を開発部門に持ち帰り、その問題の解決にフォーカスできる人間が必要だったのです。

モリッツ　はい、SteelCloudとの提携です。これからもほかの企業と提携を進めていくつもりです。これは重要な戦略です。セキュリティアプライアンスは業界で大きな話題となっており、われわれもこのアイデアを支持しています。

　しかしそれと同時に、CAの強みはソフトウェアにあり、われわれはハードウェアメーカーではないことも理解しています。CAの社員バッジを付けたハードウェア技術者やASIC（Application Specific Integrated Circuit）開発者が社内を歩き回るようなことはないでしょう。ハードウェアを理解し、ハードウェアプラットフォームにソフトウェアを移植する方法を知っている企業と協力関係を築きたいと考えています。

　また、世界各国のSteelCloudのような企業や、そのハードウェアを企業に販売したいというベンダーとも提携するつもりです。

モリッツ　1990年代半ばに、セキュリティ業界に1つの転機があったと思います。インターネットの普及が加速し、ファイアウォールなど基準となるセキュリティソリューションが導入されたのがその時期です。この新興市場には、多数の個別ソリューション、さまざまな「ベスト・オブ・ブリード」技術、そして多数のベンチャー企業が登場しました。これが1995年から2002年までのセキュリティ業界の状況です。

　そして2002年初めに、もう1つの転機が訪れました。3社の大手IT企業がセキュリティ問題に取り組み始めたのです。まず、Microsoftのビル・ゲイツ氏が「Trustworthy Computing」構想を打ち出しました。続いてCisco Systemsのジョン・チェンバース氏が、セキュリティは同社にとって次の数十億ドル規模の事業になると発表しました。最後に、当社のサンジェイ・クマー会長兼CEOがCA World 2002で、セキュリティはCAにとって主要な原動力になると述べたのです。

　CAの場合、戦略の柱となるのはアイデンティティ管理およびアクセス管理、リスク管理です。アイデンティティ管理やアクセス管理、セキュアなコンテンツ管理、情報管理といったソリューションの市場では、われわれに大きなビジネスチャンスがあります。現在われわれは3つの製品ファミリーを持っています。これは、昨年9月に新しいeTrust構想を打ち出したときに作成したモデルが進化したものです。

モリッツ　脆弱性管理の分野では、Dell Computerとアプライアンスに関する提携交渉を進める予定です。Dellが、CAの脆弱性管理ソフトウェアが動作するブレード型アプライアンスを製造します。

　われわれがやろうとしているのは、現存する脆弱性を共通の言葉に関連付けることです。これらの脆弱性を英語に翻訳することにより、システム担当者がMicrosoftのIIS（Webサーバ）やWindows XPあるいはWindows 2000 OSで脆弱性が明らかになったとき、状況を理解し、問題となるマシンがどこにあるかを正確に把握し、それをチケッティングシステムに結び付けることができます。

　ネットワークを監視する人が、必ずしも構成やポリシーを扱ったり変更したりできる人である必要はありません。地理的に分散している企業の場合、セキュリティ担当者がアイダホにいて、オフィスがパリや東京にあるかもしれません。こういった企業が新たな脆弱性に関する情報を受け取ったとき、「われわれのネットワークのどの部分が危険にさらされているのか」を知る必要があります。そうした情報は視覚化されるべきです。

　われわれにはUnicenterがあります。これをセキュリティ管理に応用すれば、社内にどういった資産があり、これらの資産上でどんなアプリケーションが動作しているのか把握できます。CAの強みはそこにあります。われわれは資産の把握および視覚化という点で優れた技術を持っており、予防的アクションおよび必要な対策の優先順位を決定することができます。

　管理の問題は伝統的に、セキュリティと切り離して考えられてきました。管理分野で経験を積んだ人は従来、職人として扱われてきました。セキュリティマネジャーは恐らく、管理担当者の仕事の内容をよく理解していなかったのでしょう。システムとはもっと総合的なものです。マネジャーはシステムがどのような構成になっており、企業の社内規定やビジネスルールに従ってシステムを管理する担当者は誰なのかを把握できなければなりません。

　これは、われわれが顧客から聞かされていることです。このチャレンジは業界が自らに課したものです。CAは前に進み出て「これが解決策だ」と言いたいのです。

モリッツ　最近、CSO（セキュリティ責任者）やCIOと話をして分かったのは、すべての顧客がわれわれに1つの強烈なメッセージを伝えたがっているということです。つまり、彼らはセキュリティソフトウェアよりもセキュアなソフトウェアを欲しがっているのです。彼らはもう、部分的なソリューションを信頼していません。このことは、ほとんどのメーカーにおいてソフトウェアがどのように開発・提供されているかを見ればよく分かります。ユーザーは、ソフトウェアが本来の要件を満たすように作られていると信じてはいません。CAでは、1人のソフトウェア開発者に対して1.5人のQA（品質保証）技術者がおります。これに対し、規模の小さい企業の場合はソフトウェア開発者5人に対してQA技術者が1人という状況です。

　1995年から2002年までの市場は、ベスト・オブ・ブリード企業を中心に展開しましたが、それ以降はCiscoやCA、Microsoftといった企業に期待が集まっており、ユーザーは今後これらの企業から出てくる製品の品質を気にするようになるでしょう。この中でISO 9001および9002の認証を取得しているのはCAだけです。品質はわれわれのソフトウェア設計・開発手法の一部となっています。品質重視の考え方は、われわれの企業文化の一部なのです。

モリッツ　セキュリティはCAのビジネスの11％を占めています。これはCAにとって、成長が期待される分野であり、また成長させなければならない分野でもありますが、当社のビジネスの何パーセントを占めるようになるかを予想することはできません。ちなみにUnicenterは、当社のビジネスの40％を占めています。金額にして約10億ドルです。

　eTrustがCAのビジネスの40％を占める可能性があるかと聞かれても、わたしには分かりません。われわれはUnicenterの成長も期待しているからです。しかし今日のIT投資の状況を見れば、ほかの技術分野よりもセキュリティ分野の方が成長する可能性が高いと思います。

モリッツ　まず、セキュリティには封じ込め政策が通用しなくなってきたという考え方が背景にあります。今から10年前であれば、企業のセキュリティ責任者に「情報プロセスにユーザーを参加させるべきでしょうか？」といった質問をすれば、「とんでもない」という答えが返ってきたでしょう。セキュリティはコンピュータ室に封じ込めておくべき問題だったのです。しかし今では、従業員が情報にアクセスするようになり、セキュリティは日常的な問題となってきました。また、2001年9月11日の同時テロをきっかけに、サイバーセキュリティと物理的なセキュリティシステムが融合しつつあります。

　わたしの予想では、CSOの立場は10年前の人事管理責任者と同じ道をたどるのではないかと思います。当時、ほとんどの企業では、人事管理部門のトップが会議でCEOと同席することはありませんでしたが、今は違います。10年後には、ビジネスセキュリティや物理的セキュリティ、ビジネスコンティニュイティ、サイバーセキュリティを担当する幹部の多くがCEOと同席するようになるでしょう。これは、社内の規定や新たな責任体制を通じて促進されるでしょう。CEOもセキュリティにかかわるようになってきました。セキュリティというのは、単に侵入を防止するというだけでなく、責任体制や業務遂行可能性にもかかわる問題なのです。