日本法人の新社長就任を発表したカスペルスキー。クラウドネイティブなセキュリティには興味なし?
株式会社カスペルスキーが、都内で記者発表会を開催し、新社長の就任と2021年までに売上を2.5倍に伸ばす事業戦略を発表した。新社長となった藤岡健氏はチェックポイント、ソニックウォールなどのセキュリティベンダーの日本法人で代表を務めていたベテランで、エンタープライズ向けのビジネスを拡大したいカスペルスキーにとっては適した人選と言えるだろう。
ビジネスゴールとして2021年までに現在の2.5倍の成長を目指すというのが、新社長に与えられたターゲットであるという。カスペルスキーのビジネスはコンシューマ向け事業と中小企業を含む法人向け事業に分かれるが、コンシューマ事業では3年後に売上を2倍に、法人事業では3倍にするという野心的な目標を持ってスタートすることになる。
ただし、カスペルスキーの2018年の実績は2015年との比較で1.6倍であり、その内訳はコンシューマ事業で1.37倍、法人事業で1.79倍となっている。この過去の成長率から見ると、新社長に課された目標は非常に厳しいものと言えるだろう。
アメリカやイギリスで、カスペルスキーの製品を防衛上のリスクから政府機関において使わないことを通達された事案が報道されていることなどからも、コンシューマや特に法人において「カスペルスキー」という企業に対するブランドイメージは、大きく傷付いているのが現実だ。
それを受けてか、コンシューマ向けには「ブランドマーケティングの強化」を事業戦略の一つとして挙げ、教育現場や家庭向けの情報発信を引き続き推進するという内容が解説された。また法人向けには、スイスに開設した「Global Transparency Initiative」を紹介。これはロシア国内に保管されていたカスペルスキーの保有する個人データなどをスイスのTransparency Centerに移し、管理することで、カスペルスキー自体の透明性を確保するための組織である。
また2019年の第2四半期には、会計事務所による監査を通じてSOC2(Service Organization Control)による「ソフトウェアの開発プロセスの安全性評価」を受けるという。保管される情報は顧客データだけではなく、ソフトウェアアッセンブリも含まれるのがポイントだろう。つまりデータだけではなく、カスペルスキーが利用するシステムについてもこのセンターで監査を受けることで、バックドアや不正が行われていないことを証明するための活動と言える。
しかしSOC2は米国公認会計士協会が定めた評価基準に基づいたクラウドプロバイダー向けの監査で、「セキュリティ」「可用性」「処理のインテグリティ」「機密保持」「プライバシー」などについてチェックを行うものであり、販売されるソフトウェアのソースコード自体の開示は要求されていない。またSOC2はSOC3に比べて報告書の公開範囲が限定されており、透明性の確保という意味ではまだ不十分のようにも思える。
また競争優位性というポイントについては、セキュリティインテリジェンスとして機械学習を用いた脅威分析を挙げ、世界でトップレベルの脅威分析と対応を行えることを紹介した。特に法人向けのアプリケーションの97.5%をカバーするホワイトリストを持っていることをスライドでは表記し、法人向けのソリューションが完備していることを強調する内容となった。
このスライドを見る限り、カスペルスキーにとっての法人向けアプリケーションというのは、インハウスで開発されるアプリケーションではなく、サードパーティなどが開発販売するアプリケーションを意味しているように見える。
また最後の質疑応答で「エンタープライズの開発者向けにCI/CDと連動したセキュリティ、つまりシフトレフトを行うことで企業内のデベロッパーが開発時点でセキュリティを組み込むということを実装したセキュリティ製品、もしくはサービスはないのか?」という質問に対して、専務執行役員である宮橋一郎氏は「企業向けにアプリケーションの検査を行うサービスはあるが、開発者向けにセキュリティを組み込むサービスはない」と回答した。このことを考えると、カスペルスキーは企業内のソフトウェア開発がモノリシックであまり変動しないと想定しているように思える。つまりアジャイルな開発体制を念頭に置いていないように感じられた。
TwistlockやSysdigなどが企業内のクラウドネイティブなアプリケーションのセキュリティを確保するために試行錯誤している状況を見聞きした後では、カスペルスキーがレガシーな領域に留まっているように見えてしまう発表内容となった。
私見だが、カスペルスキー、トレンドマイクロ、シマンテックといったアンチウィルスからビジネスを始めたセキュリティベンダーと、Sysdig、Twistlock、Aqua Security、nuVector、StackRoxという分散処理が前提の新しいクラウドネイティブなセキュリティを提供するベンダーが、同じ企業向けセキュリティという分野でお互いを無視しあっているように見えるのは非常に興味深く感じる。企業内のセキュリティ担当者にとっては、選択がさらに難しくなる状況だろう。
連載バックナンバー
Think ITメルマガ会員登録受付中
全文検索エンジンによるおすすめ記事
- fossBytes、2016年危険なパスワードトップ25を発表
- fossBytes、2016年危険なパスワードトップ25を発表
- SplashData、2015年危険なパスワードランキングを発表
- パスワード管理サービス「1Password」のLinux版が正式リリース
- GitHub、2021年8月にパスワードでのGit操作を禁止する計画を発表
- LFが「LF Research調査レポート」日本語版を公開、オープンソースのクラウドネイティブ技術を推進するCNCFの日本における正式コミュニティを設立
- ヤマハ、中小企業向けUTMアプライアンス「UTX100」「UTX200」リリース
- 「強い」と判定されたパスワードが実は脆弱な場合も
- Sinew Software Systems、パスワード管理サービス「Enpass 6.5」を発表
- Sinew Software Systems、パスワード管理サービス「Enpass 6.5」を発表