クラウドにセキュリティ企業はどう挑む？
【マカフィー編】

取締役常務執行役員パートナー営業・マーケティング統括の畠中有道氏

　米ISACA（情報システムコントロール協会）の調査では、管理者の半数が「クラウドはメリットよりリスクが大」と回答したことからも、クラウド時代にはセキュリティにも変化が求められると想像できる。セキュリティベンダーはどう応えるのか、クラウドへの取り組みを追う。一回目は、マカフィー株式会社、取締役常務執行役員パートナー営業・マーケティング統括の畠中有道氏に話を聞いた。

■ePOを軸に「総合セキュリティベンダー」を目指す

　マカフィーの国内戦略について畠中氏はまず「アンチウイルスベンダーのイメージ払しょく」を挙げる。「当社は“総合セキュリティベンダー”を目指してずっと活動してきたが、今でもアンチウイルスベンダーのイメージは根強い。2010年以降は、このイメージの払拭が大きな課題となる」。

　実際、この5年ほどを振り返ると、同社が買収した企業は10社を超える。その自社ポートフォリオ化も進んでおり、アンチウイルスベンダーのイメージの反面、実際は「あらゆる階層でセキュリティソリューションを提供する準備が整っている」（同氏）という。

　ここで特に強調するのが「総合セキュリティ」という言葉だ。それは「昨今、アンチウイルスのみならず、Webフィルタリング、スパム対策、情報漏えい対策、データ暗号化など包括的な保護が欠かせない。当社はこうしたトータルセキュリティを専業に取り組む」（同氏）という思いのほか、それらを一元管理するという意味合いも強い。

　同社には、「ePO（ePolicy Orchestrator ）」という一元管理ツールがある。最近の新製品、新版の発表には「ePO対応」が決まり文句となっていた。「製品や企業の買収も、ePOに組み込めるかが1つの指針となっている」（同氏）というように、ここ数年、ePOが製品の軸、同社の活動の軸となっている。

　「当社はすでにアンチウイルスベンダーではない。その実態を知らしめる施策が重要になってくる」（同氏）。

　では、そんなマカフィーの次なる一手は何であろうか。

■ホワイトリスティング技術の波及へ

　畠中氏が最初にあげたのは、2009年5月に買収を発表した米Solidcore Systemsのホワイトリスティング技術だ。動的なホワイトリストを基に、コンピュータにインストールされたアプリケーションを管理・保護するもので、「安全である」とされたアプリケーションのみを動作させられる。

　「企業ユーザーはすでにいずれかのアンチウイルスを使っていて、単に機能的に他社との優位点を訴えても、もう発展は見込めない。また、新たなセキュリティ脅威に対応するためにも、パターンファイルだけでなくほかの技術との組み合わせが必要となってくる。マカフィーの場合、それがホワイトリストとなる」（畠中氏）。

　もともとはATMやPOSなどの組み込み型で広く採用されていた技術で、NCRなども採用している。「店舗管理などではコンピュータリソースに限りがあるので、膨らみ続けるブラックリストは適さない。ePOと連携し、店舗全体をホワイトリストで固めることも可能となる」（同氏）。今後目指すは、同技術の一般企業応用など、より広い範囲への展開だ。

■セキュリティのインフラ化に伴い、進めるSaaS化

拡充予定のSaaSラインアップ

ePO画面例

　もう1つの局面としては、「インフラとセキュリティの融合」という新たな捉え方ができるという。「顧客の投資としては、運用も非常に重要視する傾向にある。ビジネスとしてみたとき、セキュリティはすでにインフラの一部となっている」（同氏）。その中で「すべて自社内に抱え込むのではなく、セキュリティも外だしするのが有効なのではないか」というのが同社の考え方。

　つまりはSaaS化への流れである。SaaSといっても同社の場合、「Security as a Service（セキュリティ製品のサービス化）」だ。同社は現在、主に中小・中堅企業を対象に、エンドポイントセキュリティのSaaS版「Total Protection Service」を提供している。

　このラインアップを順次拡充していく方針で、最終的に「Endpoint」「Web」「Email」「Email Continuity」「Email Archiving」「Website Certification」「PCI Compliance」「Vulnerability Assessment」の計8つのサービスをそろえていく予定。

　「これらを外だしすることで、ユーザーは定義ファイルの更新などのわずらわしい作業から開放される。次のマカフィーは、クラウド・SaaSに対してどうセキュリティを提供していくかがまさにテーマとなる。米国ではすでに実サービスを提供しているが、これだけの広範なSecurity as a Serviceを提供できているのはマカフィーだけとなり、競合に対しても競争力を手にできる」（同氏）。

　McAfee Labsで収集された「Global Threat Intelligence」が頭脳となるSaaSにおいても、「当初は『SaaS Management Console』という専用管理ツールを提供する手はずだが、将来的にはePOに統合を検討している」（同氏）というように、やはりePOが軸になっていくようだ。

■クラウド環境のセキュリティはどうなる？

　「セキュリティのSaaS化」に加えて、「クラウド環境をいかに保護するか」が、クラウド時代に求められるセキュリティの重要なテーマである。この点については「セキュリティはインフラ化し、あって当たり前のものになる。ユーザーが意識しないでいいセキュリティを実現しなければならない。例えば、Verizonはセキュリティサービスの会社、セキュアなデータセンター事業者という見せ方にシフトしている。セキュリティベンダーとしては、事業者に提供する製品・サービスが重要になるだろう」（畠中氏）と説明。それを指す言葉として、「セキュアードデータセンター by McAfee」を示した。

　この話に関連しそうなのが、6月にMcAfeeが発表した仮想環境のセキュリティフレームワーク「MOVE（McAfee Management for Optimized Virtual Environment）」である。各仮想環境でセキュリティのルールを統一し、仮想マシンにおけるセキュリティを最適化するもので、ポリシーチェックなどの作業を外へオフロードする仕組みなども開発している。

　また、Android端末とWindows Mobile端末に対応したアンチウイルス技術「McAfee VirusScan Mobile テクノロジー」も発表している。スマートフォンやそのほかの新デバイスのセキュリティも、クラウド環境には欠かせない要素だ。

　「当社は単に製品・サービスを売り込むのではなく、『トラステッド・セキュリティ・アドバイザー』として、上流工程から顧客と付き合うベンダーを目指している。今後、セキュリティで重要なのは、クラウドのインフラ自体にどれだけ組み込んでいけるか。その際に気をつけるべきことは、アプリケーションとセキュリティの親和性を損なわないことだ。当社ではこの点も、ePOでコントロールできないかと考えて、アプリケーションベンダーにSDKを提供している。一方で今後、クラウド環境の保護で課題が挙がるとしたら、パブリッククラウドのユーザーが見えにくく、セキュリティのターゲットがはっきりしない点が考えられる」（同氏）。

■拡販施策－ハイタッチ営業の強化

　では、これらの戦略を具体的にどう推進するのか。7月2日、マカフィーは「クラウド時代の到来に伴うセキュリティ市場の拡大に向けて」（同社）組織体制を変更した。畠中氏が統括するパートナー営業・マーケティングの部隊と、取締役常務執行役員の茂木正之氏が統括するエンタープライズ営業の部隊を新設したのだ。

　マカフィーの販売体制は「間接販売」が基本となる。そのためにパートナーとのチャネル構築が重要となるのだが、「この数年で当社は製品ポートフォリオを一気に拡充してきた。これらすべてをパートナーがアピールするのは、パートナーに負担がかかりすぎて現実的ではない」（畠中氏）。

　そこで2009年7月から、顧客に直接アプローチする「ハイタッチ営業部隊」を設置した。あくまで製品を提供するのはパートナーだが、営業にマカフィー社員も同行し、製品の説明だけを行う。今回の組織変更は、このハイタッチ営業を強化する狙いで、「マカフィー製品の良さを一番伝えられるのはマカフィー社員」（同氏）といった、そんな思いがあるという。

　製品・技術的には、「ePO」「ホワイトリスト」「SaaS化」などをキーワードに、製品の良さを市場に一層浸透させるための組織変更も実施したマカフィー。今後、「総合セキュリティベンダー」を目指して活動をさらに活発化していく方針だ。