米HP、フォーティファイに聞く「買収の背景」セキュリティ分野での“HPブランド”に期待大

» 2010年12月02日 00時00分 公開
[内野宏信,@IT]

 現在、米HPで最も注目されているトピックの1つに、セキュリティ分野のリーディング企業、フォーティファイの買収がある。11月30日から12月1日にかけて、スペイン・バルセロナで開催されている「HP Software Universe 2010」でも、セキュリティ分野の製品ポートフォリオ拡充、特に動的解析と静的解析を融合させた新製品「Hybrid 2.0」(仮称)が大きな関心事となっている。

 米HPは今後、この製品をどのように打ち出していくのか。製品のポイントと今後の位置付けについて、米HPのバイスプレジデント サビュー・ライヤー氏とフォーティファイのチーフプロダクトオフィサー、バーマック・メフター氏に話を聞いた。

動的解析と静的解析を掛け合わせた新製品「Hybrid 2.0」

――米HPは2007年にセキュリティベンダのリーディング企業、SPIダイナミクスを買収したが、さらに2010年9月に静的解析ツールで定評があるフォーティファイも買収した。両者の技術を融合させたという「Hybrid 2.0」にはどんなポイントがあるのか教えてください。

フォーティファイのチーフプロダクトオフィサー、バーマック・メフター氏

メフター氏 Hybrid 2.0はフォーティファイの静的解析ツールの技術と、HPがSPIダイナミクスの買収によって獲得していた動的解析の技術を組み合わせた製品。動的解析は Webアプリケーションの外側、すなわち“ハッカーの視点”でテストし、アプリケーションを使ったときの脆弱性を検知するが、コードに含まれる脆弱性の根本原因までは把握することができない。そこでフォーティファイの静的解析の技術を組み合わせることで、ソースコードの弱点も検知可能とした。つまり動的解析、静的解析を組み合わせて、包括的にアプリケーションをテストすることで、問題の現象と原因を特定可能とした。これにより、発見された問題を分析して、ビジネス上の重要度、対応の緊急度などを導き出し、優先順位を付けて、効率的に対応できることがポイントだ。

――動的解析と静的解析を組み合わせて、両者を補完しあう“グレーボックステスト”という手法は以前から存在しますが、今回の意義は、やはり1つの製品としたことにあるのでしょうか?

ライヤー氏 確かにそうしたテスト手法はあるが、1つの製品として、両者を同時に実行する機能を提供するのは本製品が業界初のケースになると思う。バンキングやEコマースなど、ミッションクリティカルな業務を担うWebアプリケーションが数多く存在するいま、本製品は多くの企業にメリットを提供できると思う。

“フォーティファイブランド”は今後どうなる?

――ところでフォーティファイというと、日本でもセキュリティ分野ではユーザー企業の間で独自のブランド力を持っていたと思います。米HPはこのブランドを今後どう生かしていくつもりですか?

米HPのバイスプレジデント サビュー・ライヤー氏

ライヤー氏 フォーティファイを買収した最大の動機は、HPもフォーティファイも“プロアクティブにセキュリティを担保する”というビジネス目標が合致していたこと。だが、以前からパートナーとして密な関係を結んできた経緯もあり、互いのビジネスや技術力をよく知っていたということが大きい。実は Hybrid 2.0についても買収以前からアイデア自体は存在していた。買収についても特に違和感なくスムーズに進んだと思う。ただフォーティファイのブランド力を生かすためにも、現在、その名前を残して製品をBTOのラインナップに組み入れている。

メフター氏 実際、HPはフォーティファイのブランド性を理解して、製品担当の立場から言っても、うまく対応してくれていると思う。こちらがHPをパートナーとして付き合いを続けてきたのも、技術面で協力し合うことでHybrid 2.0のような有益な可能性が見出せたためだし、HPは各種製品を提案する際、CIOにもコンタクトしている一方、フォーティファイはCSO(Chief Security Officer)にコンタクトしてきた経緯がある。この点でも両者がともに開発、提案を行うことはユーザーに対しても意義深いし、効果的だと考えている。

――Hybrid 2.0の今後の展開について教えてください。

ライヤー氏 今後はALM 11のプラットフォームに載せて、セキュリティ管理を開発ライフサイクルの中に統合していく予定。すなわち、要件定義から要件管理、テストといった一連のテストプロセスの中に、フォーティファイが効果的に組み入れられる格好だ。またアプリケーションの品質とセキュリティは切っても切り離せない問題。従来、セキュリティテストはスペシャリストが行うものだったが、今後はわれわれの製品・サービスを通じて、セキュリティテストの知見を QA(Quality assurance)担当者にも広めていきたいと考えている。

 ライヤー氏は最後にこのように述べ、「フォーティファイをはじめ、買収した各社の技術力を統合し、有効に生かしていきたい」と解説。メフター氏もその言葉にうなずきつつ、「ユーザーにとってのアプリケーションの品質を、製品の信頼性、ブランド力も含めて、さまざまな角度から考え、ベストな製品・サービスを提供していきたい」とまとめ、HPのセキュリティ分野におけるブランド力を一層強化していく意向をうかがわせた。

Copyright © ITmedia, Inc. All Rights Reserved.