「アプリケーションエコノミー」時代のセキュリティの役割、APJ顧客調査から
CA幹部「顧客は“ビジネスイネーブラ”としてのセキュリティに期待」
2015年03月06日 14時00分更新
――なるほど。受け身のセキュリティではない、「ビジネス価値を高めるためのセキュリティ」ですね。
そうだ。ビジネス価値が目的だから、当然そのセキュリティ投資にどれだけの「リターン」が見込めるのかも重要視される。
顧客調査「セキュリティ対策にどのような価値を期待するか」という質問をしたところ、セキュリティ侵害の防御だけでなく「製品/サービスに対する顧客満足度や信頼感の改善」という価値への期待も高かった。ここからも、企業の考え方が変わってきていることが確認できるだろう。
――そうした変化に伴って、企業のIT部門やセキュリティ責任者(CSO/CISO)の役割は変わってくるのでしょうか。
アプリケーションエコノミーの時代には、IT業界以外でも、あらゆる業種の企業が「ソフトウェア企業」になり、アプリ開発に取り組んで行く。セキュリティの側面から言えば、IT部門はビジネス部門とパートナーシップを組んで、アプリに強固なセキュリティを組み込み、同時により良いユーザー体験が得られる仕組みを考えていくことになる。
単純なコストセンターだったIT部門が、自社のブランド、顧客へのロイヤルティ、ビジネス成長などに直接ベネフィットを与える役割も担うようになるわけだ。
「セキュリティを『NO』から『KNOW』へ」
――さて、こうしたアプリケーションエコノミーの中でのセキュリティの取り組みを、CAではどう支援していくつもりでしょうか。
先ほどもデバイスIDやソーシャルIDなど幾つかの例を挙げたが、アプリケーションエコノミーの世界におけるセキュリティの中心テーマは「ID」だ。APIなどを通じてエンタープライズを広く開放していくうえでは、従来にはなかったさまざまなデバイス、さまざまなチャネル、さまざまな方法のアクセスに対応することになる。ここではID管理が鍵となる。
CAのSecureCenterでは、開発者向けの“イネーブラ”であるAPIポータル/ゲートウェイ、ユーザーの利便性を高めるSSOや高度な認証(振る舞い認証)、そして高いスケーラビリティを持つID管理や特権ID管理といった製品群を提供している。
われわれがキャッチフレーズとして使っているのが、「セキュリティを『NO』から『KNOW』に移行するお手伝いをします」というもの。従来の「~してはダメ(NO)」というセキュリティではなく、アクセスしてきた相手をよく「知る(KNOW)」、行動を把握することでセキュリティを担保する。ここがCAとしての差別化ポイントだと考えている。
特に「Advanced Authentication」で特徴的な技術だが、アクセスしてきた相手が自称するIDだけでなく、使用デバイスやブラウザ、アクセスの時間帯、アクセス先のAPIやリソースなどのパターンをトータルに把握して、不正利用や攻撃を検知する。このように、ビジネスユーザーにとっては利便性があると同時に、きちんとセキュリティを確保する、安心して使ってもらえるソリューションを提供していく。