【インタビュー】
「ITリスク管理の高度な専門性」が好調の要因――シマンテック幹部

グローバルサービス部門のヒューズ氏に聞く同社の取り組みと今日のセキュリティ問題

（2007年11月12日）

シマンテックのグローバルサービス部門は、ITリスク管理にかかわる教育やアウトソーシングなど各種サービスを提供するこの分野のプロ集団である。編集部では、11月に東京で開催された同社のプライベート・イベント「Symantec Vision 2007」のために来日した同部門担当のグループプレジデント、グレッグ・ヒューズ氏にインタビューを行う機会を得て、ITリスク管理のトレンドやグローバルサービス部門の取り組みなどについて話を聞いた。

大川泰
Computerworld編集部

――グローバルサービス部門の近況について教えてほしい。

ヒューズ氏：グローバルサービス部門では、大きく分けて3つのサービスを手がけている。コンサルティングや教育サービスを提供する「プロフェッショナルサービス」、セキュリティ監視やデータ保護などを請け負う「マネージド＆ホステッドサービス」、サポートなどを提供する「エンタープライズサポート＆レスポンス」だ。

米国シマンテックグローバルサービス担当グループプレジデントグレッグ・ヒューズ氏

　シマンテック社内では財務面から、このうち前者2つを1つのセグメントと見なしている。このセグメントだけでも、2007年度の第3四半期には売上高30％増と大きく成長した。この数値はシマンテックのビジネス全体の中でも最大のものであり、グローバルサービス部門は非常に好調だ。

――そうした好調を生み出した要因は、どのような点にあると考えているのか。

ヒューズ氏：現在の企業においては、セキュリティ、アベーラビリティ、コンプライアンス、パフォーマンスという4点にかかわるITリスクの管理が重要な課題となっている。顧客がシマンテックを選ぶ理由の1つは、これら4つのITリスクに対する専門性を認めているからだろう。

　また、セキュリティ専門のスタッフを配置しても、ずっとその職にとどまってもらうのは難しい。そこで現在の顧客は、選択的なアウトソーシングに関心を抱いている。ITプロセス全体を丸投げするのではなく、一部を委託するという形態だ。そうした顧客ニーズをシマンテックがとらえていることも要因だろう。

　セキュリティ以外では、データセンター・トランスフォーメーション分野への取り組みが評価されているということがある。企業のデータセンターは今、予算が減らされる一方で、より多くのストレージ容量を確保することが求められている。アベーラビリティの面では、24時間365日の稼働が求められ、ダウンタイムは一切許容しないというプレッシャーも高まっている。

　こうした流れを受けて、2006年に英国のカンパニーiという企業を買収した。同社は、データセンター・トランスフォーメーションに関して高い専門性を有しており、特に金融機関向け市場を得意としている。この企業にわれわれのメンバーになってもらい、データセンター・トランスフォーメーション分野にも力を注いでいる。この分野もグローバルサービス部門の好調を牽引する一因だ。

――シマンテックのグローバルサービス部門は、大規模ユーザー向けの市場に強みを持つという印象がある。SMBのユーザー企業に対しては、どのようなアプローチを取っているのか。

ヒューズ氏：これまでSMBを見てきてわかったのは、ITリスク管理に関しては大規模企業と同様な課題を抱えているということだ。だが、予算は大規模企業ほどの金額を確保できるわけではない。そうした背景の下に、SaaSの可能性を見い出し、「Symantec Protection Network（SPN）」というSMB向けのサービスを立ち上げるに至った。

　その第1弾がオンライン・バックアップ・サービスだ。これは、SMBの顧客に対して、大規模企業と同等のバックアップの仕組みを提供しようというものだ。このサービスを使う顧客は、まず、30KBほどのエージェントを自社サーバにインストールする。そして、データ保管のポリシーおよびバックアップのスケジュールを決めたうえで暗号キーを作成する。データはバックグラウンドでバックアップされ、インターネットを経由してシマンテックのデータセンターに保管されるという仕組みだ。

　また、当社のWindowsサーバ向けバックアップ・ソフト「Backup Exec」を併用するという形態も検討している。こちらは、Backup Execサーバ経由でオンライン・バックアップを可能とするのと同時にローカル・バックアップも行うというハイブリッド型だ。これらのサービスでは、リストアもオンラインでスムーズに実行できるため、SMBでもディザスタ・リカバリ（DR）環境を用意に構築できることになる。

――DRに関して言えば、シマンテックの調査で、現在の企業では十分に行われていないという結果が出ている（関連記事）。この点について詳しく教えてほしい。

ヒューズ氏：それでは、ここから大規模企業のDRに目を向けてみたい。DRに関しては、大規模企業がクリアすべき課題は明確だ。それは、「何が起ころうと、ビジネスのオペレーションを継続する」ということだ。この要求を満たすためには、有事の対応プランを十分に練っておく必要があるし、そのプランの有効性を検証するテストも厳密に実施しなければならない。

　私の印象では、どの企業も適切なプランを策定できているが、テストがうまくいっていないことが多いようだ。DRのプランは詳細に作成できても、そのプランが有効かどうかをテストするとなると、あらゆる業務部門の関与が必要だ。だが、業務部門から見ればテストは通常とは異なる例外的なオペレーションとなるわけだから、協力を得るのが難しい。

　そのため、例外的なオペレーションとするのではなく、順守が必要な社内ルールとしてテストを実施すべきだ。具体的には、CRO（Chief Risk Officer：最高リスク管理責任者）が、各業務部門に対して、世界中のどこで災害が発生しても、業務を継続できることを証明するように各業務部門に求めるという体制が必要だ。

――現時点で、CROという役職を配置している企業はどれくらいあるのだろうか。

ヒューズ氏：CROは少し前に生まれた役職であり、すでに多くの企業にいる。最近の重要なトレンドは、ITリスク担当マネジャーを配置する企業が出てきているということだ。1月ほど前に話をしたニューヨークの大手金融機関の顧客がそうだった。このディレクターの仕事は、自社の業務にとってキーとなるITリスクを見極めることだ。

　シマンテックでが11月2日に発表した「Foundation IT Risk Assessment（FIRA）」は、そうした業務を支援することを目的にしたサービスである。われわれはFIRAの顧客に対して、ITリスクのプライオリティづけを行うなどして、適切なアドバイスを提供するつもりだ。