2016 年 9 月 26 日 Prakash Panjwani 著

WatchGuard CEO Prakash Panjwani

情報セキュリティ市場はこの 10 年間で急速に成長し、その勢いが衰える兆しはありません。Cybersecurity Ventures 社は、2004 年には 35 億ドルだった全世界のサイバーセキュリティーの市場規模が 2015 年には 75 億ドルに成長し、2020 年には 1,700 億ドルに達すると予測しています。考えてみれば、これはとても大きな数字ですが、このような大きな数字によって、業界アナリスト、セキュリティベンダー、さらにはインベストメントバンカーのジレンマがさらに拡大することになります。

• アナリストの場合は、業界全体をいくつかの分野に分け、細分化された特定の分野だけを自らの専門分野としなければなっています。そのように細分化しなければ、調査内容をまとめて有用な情報として売り込むのが難しくなるでしょう。
• セキュリティベンダー、新しいベンダーの場合は特に、最も大きな成長が見込まれる分野に参入しようと必然的に考えることになるでしょう。ある年は一斉にすべての会社が自らを脅威インテリジェンス (2015 年の最大の注目分野) の専門企業だと謳っていたはずが、翌年には次世代エンドポイントソリューションが注目分野だと宣伝するようになります。
• インベストメントバンカーの場合は、情報セキュリティは利益につながる分野であるということを理解しているため、各ベンダーの動向をそのような観点で見極めて整理しようとします。

しかしながら、これらすべての専門家が、セキュリティ製品の実際の利用者であるエンドユーザーこそが業界のエコシステムの本当に重要な一員であることを忘れてしまっています。どのような規模の企業においても、セキュリティ専門家の役割が複雑化しています。多くのデータ流出が発生していて、最強のデータ保護を導入しなければならないというプレッシャーにさらされる中、ベンダーやアナリストはさまざまなセキュリティテクノロジーや略語を次々と提案します。そのため、多くの候補の中から自社のニーズを満足する導入可能なソリューションを見つけることが、セキュリティ専門家の仕事になっています。

今日の市場で一般的である、テクノロジー別にセキュリティ分野を細分化するやり方では、市場が益々細分化して、さらなる混乱を招くことになるでしょう。たとえば、IAM (ID とアクセス管理) と呼ばれるセキュリティ分野について考えてみましょう。「IAM とは企業の重要なリソースへのアクセスを制御するためにユーザーやマシンを識別できるようにする一連のテクノロジーである」ということには、ほとんどの人が同意するでしょう。ところが、IAM をさらに認証、シングルサインオン、認証、権限付与、特権ユーザー ID の管理などに細分化しようとすると、意見が分かれます。なぜでしょうか。ベンダーは、複数の機能を 1 つのプラットフォームで実行しようとし、細分化された 1 つの分野に特化することで価格を下げようとは思いません。企業も同様に、これらのテクノロジーが 1 つに統合されていることを希望し、業界が次々と作り出す大量の略語に踊らされたくないと考えています。

ネットワークセキュリティはその良い例です。ステートフルファイアウォール、VPN、侵入防御などに細分化されていなかった時代は、今よりずっと単純でした。かつては、侵入防止と侵入検知のソリューションの違いが大いに議論されたものです（私が長年、この業界で働いていることがおわかりでしょう）。最近、UTM と NGFW の違いに関する論文を読む機会がありましたが、これも、IPS、アンチウイルス、Web フィルタリング、VPN などのネットワークセキュリティテクノロジーをグループ化するのと大差ありません。その論文は、多くの有益な事実に言及していましたが、残念ながら（前述の専門家と同様に）エンドユーザーは最良の保護を望んでいるだけなのだという認識が欠落していました。最良のソリューションでは、ゲートウェイアンチウイルス、高度なマルウェア検知、レピュテーションサービスの活用などのさまざまなセキュリティテクノロジーがインテリジェントに利用されます。NGFW あるいは UTM のどちらのベンダーとして起業したのかは、大きな問題ではありません。わかりやすい例として、現在は多くの NGFW ベンダーが高度なマルウェア検知のためにクラウドサウンドボックスを追加していますが、ウォッチガードもそうであるように、UTM にもこのテクノロジーが採用されています。それは、我々がお客様に最高のセキュリティテクノロジーを提供したいと考えているからです。

テクノロジーではなく、用途やお客様のタイプによって市場を細分化し、大企業、中小規模企業、消費者、というような単純な定義に立ち返り、それらの分野に基づいて用途を定義するべきだと思います。このアプローチにはいくつかの利点があります。

• 企業の規模によってお客様の要件を把握する方が簡単です。たとえば、大企業であれば、大規模データセンターが存在する可能性が高いため、高いスループットが必要です。従業員が 50 人程度の会社であれば、それほどのスループットは必要ないでしょう。
• そして、そのような企業には何らかの制約が存在するはずです。小規模の企業であればリソースに限りがあり、大企業とは購入の意思決定の方法がおそらく異なります。大企業は IT 部門やセキュリティ関連の担当者も多く、テクノロジーの評価だけでなく、購買プロセスへの影響力もあるでしょう。
• テクノロジーは常に変化しており、たとえば、前述の UTM と NGFW の違いに関する論文は、クラウドサウンドボックスを置く場所に言及していませんでした。新しいテクノロジーの恣意的な分類ではなく、ニーズや用途に基づいてこれらのテクノロジーを企業が評価できるようにすることで、その問題を回避できます。たとえば、クラウドサンドボックスの構築においては、NGFW の下にこれを分類してしまうと、この 2 年でランサムウェアが急増し、大企業の場合と同様に有効な手段であることが証明されているにもかかわらず、多くの中小規模企業は、自社に必要なテクノロジーとして検討しなくなってしまうでしょう。そして、このように分類したとしても、エンタープライズユーザーが不満に思うことはありません。
• 中小規模企業はセキュリティに無関心だと言うアナリストが多いのですが、これは完全な誤りだと思います。セキュリティ脅威を重大視する中小規模企業は増えており、たった 1 度のデータ流出で廃業に追い込まれる可能性があることから、寧ろ関心が高いとも言えます。中小規模企業にとっては、リソースの制約がある中で最良のセキュリティソリューションを見つけることこそが問題なのです。

フロスト＆サリバンが調査・研究にこのような視点を取り入れるようになったことは、とても喜ばしいことだと思います。同社の最新のホワイトペーパーは、中小規模企業のニーズに注目したもので、ネットワークセキュリティを NGFW と UTM に細分化するのを敢えて避け、ベンダーがネットワークセキュリティのたくさんの機能を自社のプラットフォームに次々と組み込んでしまっていることも認めています。

ベンダーやアナリストも、お客様の視点に立ってセキュリティテクノロジーを提供するべき時が来ました。次から次へと略語を登場させて、お客様を混乱させ、正しい選択を妨げるべきではないのです。