整併，是福還是禍？

「必須購買安全」這件事遲早會消失。IT 供應商已經開始有所認知，他們必須同時提供安全，將它視為所販售之任何產品的一部分。

Marcus Ranum 觀點：
你做了研究調查後，說服你的老闆，說你找到了符合公司需求的產品。在做決定前， 已經花了好幾個小時在評估與測試上，更別提你在實機測試，還有去了解它複雜難懂的部分，以及組態設定與調節等所花費的天數。接著，卻來了一封E-mail通知你，你所選擇的產品或供應商已經由同行大廠取得，而產品將會由和該廠 「完整的企業解決方案」來提供。要不是因為其它大部分一起綁售的產品數量龐大，加
上行業大廠過去有隨意終止好產品的記錄，或是將那些產品此後以僅提供維護的模式存在，導致很快地淪為淘汰商品，你應該會很開心才是。
聽起來很熟悉嗎？ 歡迎到「整併 (consolidation)的不利」這邊來！這是一個活
生生的實證，比較大不見得都比較好，而且其資本主義制度存在的目的是在供應商業利益，不是客戶群。幾乎我們每個在安全產業工作的人，都有這樣的經驗—基於很簡單的理由，在沒有一些致命威脅事件的狀況下，僅有大約25%的安全產品可維持超過5或6 年。我們當中大部分的人都經歷過，一個產品忽然停產了。跟著很快就 會接到廠商業務人員致電，要你不得不接這顆「命運的子彈」；儘管我們仰賴它的
事實擺在眼前，而且支付著20%的年度維護費用。
我並不是說整併就是不好；有時候你會看到獨立主機的技術，與可提供更佳販售、支援與維護的大廠之間，整合的很相稱與適當。
但是，我們產業有個悲觀的事實是僧多粥少；有太多產品在現有的利基點上競爭著。每次有某個新技術問世成為熱門話題，就會有一陣「達爾文進化論」炫風
襲來；1或2個確實很好的產品，會被推演至 食物鏈的最上層，然後食腐者進來，將又虛弱又遲鈍的產品大口吞噬。這裡有個問題，有10個創投新公司，要攻略同一個客戶族群，已經沒有空間供給安全產品利基點了。
既然創投資本家對安全比較沒興趣（我們正處於衰退狀態！），新利基點的數量與規模正在縮減中。
現實狀況是，IT安全產業存在目的是在服務它自己，而不是客戶群。當我們忘記這
一點，將會因隨之而來的經歷感到挫敗。當你那些重要的幕僚已了無新意，而且有太多新興公司緊鑼密鼓地創新時，整併是無可避免的結果。假如你從產業的願景，或是創投資本家的眼光來看，產業的景氣即將經歷大起爾後大落的循環，
這是相當合理的。
那對客戶的意義又是什麼呢？對我而言，那是自己動手做，或是將開放原始碼技術整併至你的產品選擇中的最好論證。請記住：被用來對開放原始碼開砲的爭議點是： 「誰將會去做維護工作？」而那爭議的結果則是非常不利於：「這個
產品明天還是否存在？」

Bruce Schneier的對奕：
我們不喜歡買整合產品系列的原因：那只是一個很棒的產品加上
一堆二流產品。我們也知道我們不喜歡買最佳組合(best-of-breed)：不同的供應商、多種介面，以及拼拼湊湊的產品，它們無法一起運作地很好。安全產業在這2者之間或進或退，有如新世代的IT安全專家再度發現，各個解決方案不利之處。
真正的問題在於，沒有一個解決方案能真正地發揮作用，而我們卻繼續欺騙自己去相信，當時我們沒擁有的比起我們持有的更好。你要買的真正解決方案是成果，不是產品。
老實說，沒有人想買IT安全產品。人們只想買他們想要的東西—像是網路連線、線上互動、電子郵件、網路應用等任何產品—而且他們希望那些都是安全的。因此，他們被迫得把錢花在IT安全上，這成為電腦產業青幼年時期的一個產物。因此，將
來「必須購買安全」這件事遲早會消失。
會消失的原因是，IT供應商已經開始有所認知，他們必須同時提供安全，將它視為所販售之任何產品的一部分。另外，組織也已開始購買服務， 而不是產品，並且要求安全必須是那些服務的一部分。再者，安全產業將以一個消費者的名目消失，
以IT產業取代市場。
這裡有個關鍵的驅動力是委外。委外是終極整併者，因為客戶不再重視細節。假設我從一個IT架構規模相當龐大的公司，購買我的網路服務，我並不會在乎它是否有透過安裝入侵防禦系統來保護我的東西，或是透過設定路由器和伺服器，以符
合網路應用安全的需求，或者它是否用了精靈給的神奇安全魔術粉，好讓
它發揮作用。我要的只是一張契約，詳細記載服務水準和品質，那是我的
供應商有能力處理的。
IT是基礎架構。基礎架構向來都是委外。而基礎架構如何運作的細節，則是由供應的企業處理。這是IT的未來，而當它發生時，我們將會看到一種以往未曾見過的整併型式。未來，並不是大型的安全公司會將小型安全公司併吞，而是非安全公司將吞噬掉大型與小型的安全公司。此狀況已經開始出現。2006年，IBM買下ISS， 同年BT買下敝人公司Counterpane，去年也買下INS。 這些都不是大型安全公司購買小型公司的案例；而是非安全公司購買大型與小型安全公司。
假如我是Symantec或McAfee，我會為買家做好自我準備。
這是很令人滿意的整併。無需在一個不夠好的單一產品系列，或是運作不佳的組合產品之間做選擇，我們可以完全地忽略掉這個問題。我們只要找到一個基礎架構供應商，會將這些問題處理得當，並且讓它發揮作用—誰在乎那是怎麼辦到的！

Marcus Ranum是Tenable Network Security的CSO，亦是知名的安全技術改革者與講師。
Bruce Schneier是BT Counterpane的CTO，也是Beyond Fear:
Thinking Sensibly About Security in an Uncertain World一書的作者。