PCIDSSに強いマネージドサービスベンダーが語る、「NAC」有効活用論

Trustwave、Vice President of Business DevelopmentのGrant Heartline氏

　2009年2月に米Mirage Networks（以下、Mirage）を買収し、ネットワークアクセスコントロール（NAC）製品「Mirage Endpoint Control」を手に入れた米Trustwaveは、豊富なマネージドサービスにNACを加え、総合的なセキュリティ事業戦略を描いている。今回は、Trustwave、Vice President of Business DevelopmentのGrant Heartline氏に買収経緯や今後のロードマップなどを聞いた。


―Trustwaveの事業内容とNACの位置づけは？

Heartline氏
　Trustwaveの主要事業は「コンプライアンス」と「セキュリティ」の2つ。前者では、PCIDSS準拠を主眼に、「試験」「コンサルティング」「状況把握」「認定」を行い、かつ有事の際の「フォレンジック」などを提供。後者では、PCIDSSの各要件を満たすための継続的な「ログモニタリング」「FW/IPS運用管理」「端末内データの監視」などをマネージドサービスとして提供している。

　NACの買収は、マネージドサービスのメニュー拡充が目的だ。より包括的なサービスを提供することで、セキュリティ事業の強化を図る狙い。特にPCIDSSにおける「ネットワークの状況把握」をカバーするための新サービスとなる。


―Mirageを選んだ理由は？

Heartline氏
　第一に、Trustwaveのセキュリティ商材拡充に最適だったから。当社の研究機関「SpiderLabs」の調査で、米国の情報漏えい事件のうち多くが、Mirage製品さえあれば流出を免れたという結果が判明している。そのMirageのNACを加えることで、当社のマネージドサービスはより包括的で強力なものになる。

　第二に、Mirageも従来よりマネージドサービスを提供していた点が挙げられる。セキュリティ商材の拡充のほかに、両社の組織体制が非常にマッチしていた。この2点から、合理的な買収だと判断したわけだ。


―買収後の戦略をどう描くのか。NACは当初の予想よりも普及が進んでいないが、NACを買収して勝算があるのか。

Heartline氏
　NAC単体で勝負しようとしたら厳しいだろう。現在、NACを提供する企業はいくつかあるが、単体で提供していた企業はどこも厳しい。NACは単体で存在するものではなく、総合セキュリティの一環として提供しなければ効果が発揮できない。NACが思ったより普及していないのは、その統合が進んでいないからだ。

　当社もNAC製品を提供するわけではなく、あくまで、NACの追加でより包括的となったマネージドサービスを提供していくのが目的。戦略としては、「ログ監視」「ID管理」「IPS/アンチウイルス/ファイアウォールなどの運用管理」「脆弱性スキャン」など、既存のマネージドサービスとの機能連携を図っていく。具体的にはレポーティングの一元化などだ。

　さらにその後は、それぞれの情報を共有し「相関分析」の実現を目指す。NACに価値が見出されるのは、そうやって統合セキュリティの中に身を置いた時だろう。そのためのWebサービス連携用のAPIも開発を行っていくことになる。


―マネージドサービスとして展開する上で、予定するNAC製品の強化ポイントは？

Heartline氏
　一番重視しているのは「可用性の向上」。電源の二重化など物理的な可用性は実現しているが、今後はフェイルオーバーなどシステムとしての可用性を高めていく必要がある。エンタープライズ向けにはさらに使いやすさを磨いていくことも欠かせないだろう。

　とはいえ、MirageのNACは製品機能としてはすでに成熟している。他製品・サービスからの情報の取り込みもそうだが、今後はいかに活用していけるか、という点にフォーカスしていくつもりだ。


―競合はどこになる？

Heartline氏
　やはり総合セキュリティベンダーなどだろう。先ほども述べたが、総合的にサービスを提供するところでないとNACは難しい。当社もコンプライアンスベンダーというイメージが強いのだが、今後、包括的なセキュリティベンダー寄りへ歩みを進めるつもりである。今回のNAC統合もそうだが、可能な限り多機能へ――それが全社的なロードマップになるだろう。


―Mirage NACの強み、Trustwaveの強みは何か？

Heartline氏
　製品の強みは、使いやすさ、導入のしやすさ、管理のしやすさなどだ。具体的には、既存の環境に影響を与えることなく導入することができる。これはほかの製品にはない、ユニークな特徴といえる。

　Trustwaveとしての強みは、既存のマネージドサービスに乗せて、さまざまな価値を提供できる点。NACに関しても既存ユーザーは投資を無駄にすることなく、既存のサービスと統合させて利用開始できる。

　また、Mirageもそうだったが、製品というものは往々にして他社製品とのインテグレーションで機能を向上していくものだ。しかし、企業間の連携は技術的にも政治的にも難しい場合がある。当社では豊富なラインアップをすべて自己所有しているので、情報の融合などもすべて自社内でできるのも強みだ。


―Mirage Endpoint Controlは、今後、Trusutwave NACに名称を変える。日本ではMirage時代から製品を取り扱ってきたジェイズが、継続して販売していくことになるが、販売パートナー戦略はどう考えているか。

Heartline氏
　ワールドワイドと日本を含むアジアでは若干方針が異なる。Trustwaveは、ワールドワイドではこれまで直販がメインだった。Mirageの既存販売パートナーが150社ほどいるので、そことの連携を模索していくことになるが、サービス面に関しては今後も直販がメインとなるだろう。

　一方、アジアなどの各地域では、その市場を熟知した販売パートナーが重要となる。そうした地域ではこれまでもパートナーに強く依存し、その声をフィードバックとして機能やサービスの向上に役立ててきた。

　日本ではサービスに関しても、Trustwaveのブランドを残しつつ、パートナー経由での施策を模索していくことになるだろう。


―ジェイズに期待することは？

Heartline氏
　ジェイズはすでに日本市場で成功している。顧客層も市場もすでに整っているのはありがたいことだ。営業、技術ともにNACに関して造詣があり非常に前向き。今後もこれまでと同様の活躍を期待している。

　また、現時点ではNACのみのパートナーシップだが、今後はコンプライアンスサービスなども含めて、より密な連携が取れればと願っている。Trustwaveも今後は日本への本業（コンプライアンス）進出を狙っているので、その際の手引きとなってほしい。