Game Over!

健康中心的科技主管潘斯說：「這真是一場我們的惡夢」。
潘斯不是唯一一個遇到這樣狀況的人。廠商合併並不一定都是好事，過去4年有超過35家的資安廠商進行合併，並且因為合併的動作導致讓客戶對於廠商的服務、支援、以及產品的淘汰感到頭痛。更糟的是，未來這樣的狀況還會持續的發生下去。摩根史坦利投資公司的報告中指出，由於市場規模趨於飽和而無法容納所的廠商存在於產業中，所以資訊安全科技公司的合併、併購在數量上今年會不可避免的快速增加。
在潘斯的例子中，潘斯漫長的痛苦過程是從發送電子郵件、撥打服務電話給一位工程師開始的，這位工程師含糊其詞，並且沒有回答出任何可以解決問題的答案，還在一週後停止回應任何電話以及電子郵件。甚至在高層管理者承諾會處理這個問題之後，還是沒有得到任何的回應和幫助。在廠商更試著要販賣給潘斯一份新維護合約的同時，有越來越多的承諾都沒有被達成。在忍無可忍之下，潘斯進而轉換使用別家廠商的安全產品。可是因為經歷過這樣不好的經驗，讓他在購入任何新的安全設備時，總是會充滿猜疑，懷疑廠商在被其他大哥級的大廠給購得後是否就會拋棄了對於客戶服務的支援。
當資訊安全市場中發生了合併、購得的事件，產品的買家有足夠的理由去懷疑他們的廠商明天是否還會存活在市場上。
即便是像NetScreen Technologies以及Sybari Software這樣知名的安全大廠都會被更大型的公司給購得。不久前，在2005年11月的3個星期內就有4家公司被併吞了：Cirtix Systems購得Teros、Radware購得V-Secure Technologies、Hewlett-Packard購得Trustgenix、以及RSA Security購得Cyota。為了加速強化自身的能力，市場中許多的某些領域都已經被完全的整併。網站存取管理提供者Netegrity、Oblix以及Securant都已經被大型廠商給購入(各被Computer Associates、Oracle以及Securant公司購得)。管理安全這個領域也是另一個被整併剩下少數提供單一服務的廠商。
然而是不是所有合併方案中的廠商都會這樣想盡辦法棄顧客於不顧呢？從潘斯的案例中來看，使用者是應該好好的擔心一下。雖然廠商透過正確的整併可以讓安全管理人員以較簡單、便宜的方式，透過整合性的技術來進行相關工作。
資訊科技解決方案廠商CDW的技術人員布萊恩史華特(Brian Schwartz)說：「為了讓顧客殺紅眼的瘋狂採購，廠商會發展整合性的組合產品來賺取客戶更多關於安全上的預算。有的時候這些產品可以良好的運作幫助客戶，然而有的時候卻不行。」
廠商的整合以及少量化是有益處的
對美國信諾（CIGNA）保險集團來說，安全市場的整併帶來了不少的好處。信諾保險集團資訊保護部門的技術與標準助理副總裁麥克麥肯納(Michael McKenna)說：「成功的整併可以提供技術的整合，而減少安全產品的數量。而這些產品是健康保險業者必須去管理以及簡單維護的。因此降低了我們對於安全產品的總持有成本。」
只需要和少數幾家廠商進行交流會讓工作變的比較簡單，尤其當這些廠商是類似賽門鐵克、微軟或者思科系統這類大型科技公司時。賽門鐵克、微軟以及思科系統這3家公司都是進行併購的好手，尤其是賽門鐵克在6年內已經併購了一打的公司了。麥肯納說：「我們利用這些公司取得許多好處。我們不是只從廠商的身上買到價值3萬美金的產品而已。我們買到的遠超過這個價值。當我們遭遇問題時，可以馬上打電話給廠商，讓他們快速的採取行動。」其他的安全執行人員也指出產品整合後，只需要和少量廠商進行交流，是廠商進行合併之後最大的好處。美國伊利諾州北部城市洛克福(Rockford)的健保提供者洛克福健康系統(Rockford Health System)的網路與資料安全管理者約瑟葛雷門(Joseph Granneman)說：「我傾向只要和少量的廠商進行工作互動。企業不可能有足夠的員工來處理每一件專業的工作。因此必須把某些事項進行標準化。」
葛雷門補註說明：「在不犧牲防禦深度的條件下，組織對安全產品進行標準化與減量化，可以將因為組態設定錯誤導致破壞的機率降到最低。」
北加州康特拉科斯塔郡(Contra Costa County)的資訊安全長凱文迪克(Kevin Dickey)說：「因為廠商整併使得產品間相互通透整合，節省了終端使用者的時間，以及降低了如何讓安全產品共同合作的研究工作所帶來的痛苦。最後，整個產業只會剩下擁有最好品牌的公司。」
迪克更補充說：「與小量的廠商互動可以降低產品價格，以及撥打少量幾通電話後就可以將問題解決。」
美國北卡羅萊納大學教堂山分校安全資源管理者道格拉斯布朗(Douglas Brown)也認同廠商進行整併之後可以對產品訂定一個較低的價格。
道格拉斯布朗說：「以50名員工獨力創立的公司來說，必須將產品的價格訂高一點才會有能力支付帳單以及保持公司的存活。不過透過不同公司間的合併，這個產品會和其他的產品被整合在一起。出乎意料地，透過這樣的整合反而讓推銷員在銷售價格上擁有議價的空間。」

客戶支援、問題排除的效能可能會受到影響
當然，整合性的技術以及較低的成本花費聽起來是很好，但是廠商的合併還是會對安全產品購買者帶來一些問題。
首先，廠商的合併時程可能會持續一段時間，有時候會持續數年之久，讓客戶處於如同地獄般的痛苦。而且就算廠商真的完成了合併，並不表示合併後的廠商就會帶來較佳的科技技術。
布朗表示：「廠商的合併表示安全產品購買者可以從單一的購買點買到越來越多的安全功能。可是這也有可能只表示，廠商合併之後對客戶只是帶來購入成本有效的降低而已。」
某些像是入侵偵測系統之類的安全功能必須使用最優良的技術。布朗表示：「如果使用的產品不是最佳的解決方案，反而可能為你的網路會帶來危害。而這項產品帶來的壞處可能會比好處多。」
第二，就像潘斯的例子一樣，廠商的合併反而對於客戶支援帶來危害。小公司所擁有的人情味反而會因合併而消失。
布朗表示：「如果和小公司一起互動工作，只有少量的員工可以讓你聯繫並快速的把問題解決，而不用擔心一堆的紅色警戒或是應付一系列的官僚體制。和大公司進行互動，雖然也有可能建立起人際關係，但是建立的過程相對的也困難許多。」
迪克說：「就算客戶支援的問題最終得以解決，但是客戶在廠商整合之後一定得經歷一段適應期以及中斷期來學習如何和新公司打交道，以及找出誰才是支援部門，可以幫你解決問題的人。」
就算是策略伙伴間也還是會因為合併的運作發生複雜的關係。麥肯納說：「幾年前，信諾保險集團本來是使用BMC的供應品解決方案產品，但是BMC的策略伙伴IBM卻購入了辨識管理廠商Access360。現在信諾保險集團將BMC的產品轉換成使用IBM的產品。」
麥肯納說：「對照另一組合併案。因為Sygate Technologies早就已經和Sygate Technologies發展出緊密的工作互動。所以賽門鐵克購得了Sygate Technologies對於信諾保險集團來說就是一次影響深遠的聯姻。」
因為購買廠商決定放棄對被購入公司產品的支援，信諾保險集團以上所舉例的兩次購得經驗廠商都留給客戶一些遭受遺棄的技術。舉例來說，在購得了Sygate之後，賽門鐵克最後決定終止Sygate Personal Firewall以及Personal Firewall Pro這兩項產品。然後再給予客戶將個人防火牆產品轉換成賽門鐵克產品時價格上的折扣。

如何複製
那麼安全產品的購買者該怎麼面對如此多變的市場？如何知道哪一項正在創始階段的新產品將會變成未來的明日之星？
波士頓大學電腦政策與安全主管大衛艾克廉(David Escalante)說：「這就像賭博一樣，你永遠也無法事先知道結果。在購入任何一項創始產品的時候，是無法預知這項產品會不會被市場淘汰，或者公司是否會被大型企業給購得並將產品給遺棄。」
艾克廉的解決方法是，絕不購買投資報酬率低於兩年的產品。艾克廉建議：「我們的傾向是直接跟廠商表明我們不認為他們的產品會長久存活，因此廠商必須提供我們較為折扣的價格。」
信諾保險集團也是會採用一些小型創始產品來進行短期應用。如果有任何一家策略伙伴沒有針對特定問題提供解決方案，信諾就會佈署一些特定的產品來侷限這些問題。
麥肯納說：「當我們檢視一項戰略產品，我們會認定他只有一至兩年的生命期限。」
FishNet Security顧問服務的主管保羅卡拉漢(Paul Klahn)說：「其他的安全管理者分享他們的觀點，這些日子以來，客戶開始傾向要求廠商給予立即的折扣，不論這些廠商是否被購買了。公司再也不會期待這些產品的生命週期可以保持長久。」
卡拉漢表示，由於廠商的整併一定會帶來些許客戶支援上的不便或者其他改變，所以開始有些客戶轉向類似FishNet這類的加值經銷商(value-added resellers)來購買產品確保對服務的品質強度。就算有某家廠商被購買了，客戶知道可以聯絡誰將問題解決。
安全購買者應該在購買產品之前，儘可能找出供應商未來各種的可能性。
北卡大學的布朗說：「我們真的盡力去找出可用的最佳解決方案。如果是剛創立的廠商，我們會儘可能的檢視最多的審查評鑑(due diligence)，試著保護我們自己，可是我們在使用最佳安全解決方案的時候，不會在乎他是新創或者大型公司。」
經過了合併的壞經驗，潘斯說他現在會檢查廠商以及其他來源的的參考支援資訊。也會一併研究廠商的支援服務品質。甚至不管廠商是否在附近、潛在購買者是否願意聆聽，潘斯都會建議其他人也應該和他一樣多檢查廠商的狀態。
Gartner市場研究分析師阿姆瑞威廉斯表示：「如果廠商被併購，使用者必須詢問買主關於支援服務以及淘汰技術計畫問題。」
信諾保險集團的麥肯納說：「但是安全購買者在面臨著多變市場時的最佳解，是選擇擁有可以跨品牌運作的產品。」「如果我們在產業中使用可跨品牌的產品，將可造成廠商的自主性。已經可以看到某些聯盟公司的出現。不管你買了什麼產品，這些產品都必須要相互配合工作。我們需要更多這類的跨品牌的產品出現在安全市場中，這樣客戶才會有保障。」

廠商試著減輕過渡期的痛苦
市場研究公司Enterprise Strategy Group的高級分析師Jon Oltsik說：「合併會對客戶帶來痛苦，但也會為廠商帶來不少好處。一般來說，購入一間小公司會比購入一家擁有大量員工、公司分散各地的公司來得容易。」他並舉證說明賽門鐵克以及思科公司就是成功購入小型公司的最好典範。
思科安全技術小組的經理暨副總裁Richard Palmer闡述公司的策略就是，購買已經在市場中擁有產品的小型公司，將他們的產品快速的整合進思科的產品中。而最近的例子就是思科購入製作電視視訊轉換台的公司Scientific Atlanta。
Palmer說：「我們會選擇哪些不需要進行劇烈策略變化以及技術藍圖更改的公司。」
思科已經開發了一套系統，讓合併後的員工以及合作伙伴可以準備好做產品的支援服務。Palmer說：「因為我們做過許多的合併案，我們已經建立好一系列程序來進行合併時應該做到的事。」
根據賽門鐵克組織發展的高級副總裁James Socas的表示，賽門鐵克有一個小組專門處理併購公司時的整合，以及存在一個架構來分析被合併的公司，包含其市場配送路徑、客戶支援需求以及重疊客戶的客戶基礎資訊。
Socas說：「我們的目標是，客戶支援的持續進行、建立與被併入客戶的伙伴關係、以及讓被併入的銷售團隊來平順的完成合併時的過渡期。」
Socas表示，賽門鐵克確保合併的時候可以順利整合的法寶是保留被合併公司的人力，超過60%的員工都是經由合併的過程加入賽門鐵克這家公司的。這樣的方式可以讓公司繼續的保有領先品牌的技術能力。
另一方面，小型廠商也會有各種的策略來處理潛在客戶對於廠商未來發展的疑慮。
網路安全滲透測試軟體廠商Core Security Technologies的執行長Paul Paget說：「如果你擁有別人所沒有的，那麼對於你的未來發展有所疑慮的問題就會開始消失，雖然不會完全，但是只要產品可以真正解決客戶的問題，而且產品也屬於主流產品項目，那麼長久以來的爭論就會自然停止。」
Breach Security的執行長Marc Shinbrood表示，他們公司網站應用程式安全技術的獨特價值，就是可以被整合進各式各樣的網路設備。
Shinbrood說：「因為是獨家的技術，因此對於併購公司來說也會是一個不願意任意拋棄的財產。因此，我們的產品對於客戶來說還是有吸引力，而且客戶在安裝產品上也不會感受到任何困難。」


展望未來
可以肯定的，安全產業未來還是會持續發生合併案，讓客戶面對著多變的市場。然而，安全工作人員與產業專家會取決於產業壓縮的程度而被撕裂分離。
「我看不出來安全產業和其他的產業有何不同。只剩下一家、兩家、或三家領導廠商存活於產業的日子終究會來臨的。因為這就是資本主義的本質。」Liberty Mutual資訊安全長Scott Blake表示。
但是還是有許多的人表示這個產業還是有許多的機會，提供給任何新的公司提供新的安全問題解決方案。CDW的Schwartz說：「安全問題區分為非常多的領域，總是會有新的公司跳進產業。」
Enterprise Strategy的Oltsik說：「有太多的問題需要被解決。未來安全領域會有越來越多的創新科技。」
不論未來市場會如何改變，類似潘斯的安全購買者會進行審查評鑑，並希望他們今日所選擇的廠商不會在明日就拋棄他們。
Marcia Savage是information Security的專欄作家，如您有任何意見請寄至 iseditor@asmag.com