10月に Security Days Fall 2025 の講演のために来日する、米 Broadcom 社のマノジュ・シャルマ氏を取材した。
シャルマ氏は、ネットワーク監視の Packeteer 在籍時に同社が Blue Coat に買収され、その後 Blue Coat が Symantec に買収、そして現在は Broadcom で Chief Security Strategist として活躍するという、サイバーセキュリティ発展の歴史を体現する人物にして、まさに筋金入りのセキュリティのベテランである。
Broadcom 社のチーフ セキュリティ ストラテジスト、マノジュ・シャルマ氏に、セキュリティ企業としての Broadcom の強みや、10 月 24 日に東京で行われる講演「進化する脅威、広がる標的:今、企業に求められる防御のかたち」の見どころなどについて話を聞いた。
--
── 最初に、現在 Broadcom が提供するセキュリティ製品やサービスの内訳と、他社にはない Broadcom の強みについてお聞かせください
まず前提として、2019 年に Symantec のエンタープライズセキュリティ部門が Broadcom に買収され、現在はエンタープライズセキュリティグループとしてCarbon Black ポートフォリオも含め事業を行っています。私たちの特徴は、単に製品を開発するのではなく、お客様の実際のビジネスやセキュリティの課題を解決するソリューションを継続的に提供している点です。
ソリューションは大きく 3 つのカテゴリーに分かれます。第一にネットワークセキュリティソリューションで、これはガートナーの SASE の定義に沿ったもので、オンプレミスでもクラウドでも提供可能です。「セキュア Web ゲートウェイ」「ブラウザ分離」「ZTNA」「クラウドファイアウォール」「データやセンシティブなデータをマルウェアから保護するトラフィックスキャン」などの機能を統合的に提供しています。社員やパートナーが場所を問わず、生産的かつ安全に業務を遂行できる環境を実現します。
第二のカテゴリーはインフォメーションセキュリティです。企業内のデータの所在と重要度を把握し、保存データと転送中データの両方を保護・制御し、情報漏えいを防ぎます。世界で最も成熟した DLP 製品であり、CASB 機能と CSPM(Cloud Security Posture Management)機能を含み、ハイブリッド、クラウドのみ、オンプレのみといったあらゆる環境に対応可能です。
第三はエンドポイントセキュリティです。私たちはエンドポイントを、単にユーザーの 機器 だけでなく、接続を生成または受信するあらゆるデバイスすべてと定義しています。サーバーやモバイルデバイス含め、包括的な保護を、Endpoint Protection、EDR Capabilities を包含するスイートという形態で提供しています。
過去 5 年間、私たち Broadcom エンタープライズセキュリティグループは、これらのソリューションの「統合」に巨額の投資を行ってきました。お客様が追加のエンジニアリング作業なしにそれぞれのソリューション間の連携を実現できるようになっています。
他社にはない強みですが、競合との差別化ポイントは 3 点あります。第一に、20 年以上の投資と進化を重ねた成熟した製品群であることです。世界で最も要求の厳しい企業で実績を積み、高い信頼性を確立しています。第二に、成熟した DLP と申し上げた通り、Broadcom の DLP スイートはお客様の重要データを深く理解し、そのインテリジェンスがエンドポイントとネットワークに完全統合されています。第三に、完全なハイブリッドソリューションを提供する唯一のベンダーであることです。オンプレミス、クラウド、SaaS いずれの形態でも展開可能で、お客様のアーキテクチャ変更を最小限に抑えることができます。
私は Broadcom が持つ、時間をかけて培ってきた技術や信頼を評して「経験を圧縮できるアルゴリズムはない」と言うことがあります。この言葉通り、実際のお客様環境から得た豊富な経験と学びを製品に反映させている、それが Broadcom だけにできることです。
──「完全なハイブリッド」ということですが、オンプレとクラウド双方への対応を謳っている製品やサービスは多いと思います。それらとの具体的な違いは何でしょうか?
Broadcom は、同一のソリューションを「アプライアンス」「ソフトウェア」「SaaS」という 3 つの形態すべてで提供し、それらすべてを単一コンソールから管理できる点が大きな違いです。これによってお客様は、自社のペースでクラウド移行を進めることができます。たとえばアプライアンスから導入して、ハイブリッドを経て、やがてクラウドへ完全移行することもとても容易に実現することができます。
── つまり、エンタープライズのオンプレミスとクラウドが混在する複雑な環境でも、単一のソリューションで管理できるということですね。ところでマノジュさんは、セキュリティの歴史とシンクロしているようなキャリアを築いて来られましたが、セキュリティの仕事のやりがいを感じるのはどのような時ですか?
誇りに思うことのひとつは、ITU(国際電気通信連合)や IETF(Internet Engineering Task Force)といった標準化団体への積極的な参加や貢献です。より強固なセキュリティとは、一人だけでも一社だけでも実現できるものではありません。皆の、業界全体の、官民の協力が不可欠だと信じています。もう一つの私の誇りは、人々の相談に乗ることを通じてサイバーセキュリティのキャリアへ誘導してきたことです。この分野への新たな人材の確保を支援したり、世界中の大企業の CISO やセキュリティ実務者と継続的に対話し、その知見を広く共有し、集合知としての強靭さを前に進めてきたことです。
── セキュリティ業界には、ベンダー側の専門家としてユーザー企業を支援する道と、ユーザー企業内で CISO や実務家として働く道があります。このふたつにはどんな違いがあると思いますか?
過去 20 年の経験から学んだことは、ベンダーは自社ソリューションの販売にインセンティブを持つ一方、CISO や実務家は事業継続やコンプライアンスを確固たるものとする必要があり、そこにインセンティブを持つという違いです。ベンダーと意志決定者との間で、開かれた透明性のある会話がもたれたとき、そして、焦点が売ることから、最適なソリューションを一緒になって特定しインプリすることに移行したときに、有意義な前進というものが起こります。
── 目的が必ずしも一致しないセキュリティ企業とユーザー企業の関係がうまくいく条件は何でしょうか?
もし両者の間に断絶が生じるとすれば、それはセキュリティ企業が、お客様のビジネスを十分に理解していないことが原因です。ある航空会社のお客様との会話が印象に残っています。生成 AI を使った攻撃予測とポリシー適用について説明した際に、「そういうクリティカルな判断を私たちに代わって下さないでください」ときっぱりと言われたんです。彼らにとって最重要なのは、乗客の搭乗、定時出発、定時到着の 3 つなのです。「セキュリティ対策がこれらを妨げる可能性があるならそれはメリットではありません。まず私たちのビジネスを理解してください」という言葉を覚えています。
── 先程の、ひとつのソリューションを「アプライアンス」「ソフトウェア」「SaaS」という 3 形態で提供して、すべて単一コンソールから管理できるというのは、あなたがいま言った顧客のビジネス理解のまさに具現化のひとつだと感じました。最後に、Security Days Fall 2025 の講演では、どのようなお話しをする予定ですか?
世界的大企業の複雑なセキュリティ課題を長年にわたって解決してきた知見を、あらゆる規模の企業の皆様と共有したいと考えています。特に中堅・中小企業では、セキュリティに必要なリソースや人材が不足しがちです。これまでの経験から得た教訓、正しいセキュリティの実践方法、守るべき基本原則をお伝えし、ビジネス保護の向上に貢献したいと思います。技術的な詳細には踏み込まずに、どなたでもご理解いただけるお話をするつもりです。
── ありがとうございました
--
取材の場に同席した総販売代理店 TD SYNNEX株式会社の担当者は、VMware のライセンス改定によって Broadcom ブランドの評価が近年変化しているが、VMware の部門と、Symantec や Carbon Black などの法人向けエンドポイントセキュリティを扱うシャルマ氏が所属している Enterprise Security Group は、それぞれ別の戦略のもと運営されるまったくの別部門であることを強調した。Security Days Fall 2025 の展示ブースでは、エンドポイントセキュリティの機能だけではなく、懸念なく製品を利用できること、リセラーも安心して取り扱いができることを伝える予定だという。
Security Days Fall 2025
東京講演 10.24(金) 10:30-11:10 | RoomA ※ 同時通訳
「進化する脅威、広がる標的:今、企業に求められる防御のかたち」
Broadcom Inc.
Chief Security Strategist, Enterprise Security Group
Manoj Sharma
