坐以待「併」？回顧2007資安廠商整併動態

小型的獨立安全廠商就只能坐以待「併」？
很難判斷Art Coviello是被太陽曬過頭了，還是被錢沖昏頭了。在舊金山死寂的二月，RSA Security的一位主管在該公司的同名研討會中告訴與會者，十年後獨立的安全市場將會煙消雲散。「單一解決方案的安全價值正在消弱中，」他在開場演講中說。
然而，你幾乎同時便可聽到演講廳的各個角落都在竊笑：「Art，你說的容易，那是因為你才剛被併購呀。」
確實，RSA是Coviello這項預測的範本：大型基礎建設廠商EMC在去年耗資$21億美元，填補了儲存以及資料管理產品之間的空窗，一頭躍進資料安全，這也是自法規遵循以來最熱門的安全領域。這並不是在說Coviello對於安全市場的論點是無法避免的，在這產業有800多家公司埋頭苦幹，有些專門聚焦在最小的利基市場中，為的就是賺取任何可能的利潤。但這些小型的獨立安全廠商就只能坐以待併嗎？他們是否能被電腦業的巨人含括在內？一些時下最佳的解決方案是否能成為EMC、IBM，或HP等廠商所提供的服務中的一部份？
一些安全主管也無法確定。
「許多的公司都是創投基金投注，而小公司才真的會有創新，」教育出版商，Houghton Mifflin的資訊安全長，Patrick A. Cote說。「我認為隨著併購的增加，你將會看到更多的新公司，因為他們有錢；他們背後有創投基金在撐腰，創投會比大型企業更要了解市場。」


『大公司也是新的小公司』
安全主管常處於危險之境，有時是因為新興的威脅，但更多的時候是因為他們的預算問題。CISO會習慣說，資訊安全不是有形的；它就像買保險一樣。要評斷新的投資是很困難的，而在大多數的情況下，安全主管都會被要求以更少的資源做更多的事情。
「我堅定地認為如果我花錢買了某項產品，而這產品的公司又被人吃下的話，那麼母公司應該會繼續維護這項產品，讓這個解決方案存活下去，」一家私人銀行的資訊安全副總，Sander Silvera說。「例如，如果IBM買下了我的供應商，我會希望IBM不會有即存的同質產品，而對我的供應商的產品產生競爭威脅。如果要是真的發生的話，我也無話可說了。」
無論技術創新與重要性為何，要談到小型安全公司是否能長期存活，對許多公司來講，結果常常不是大好就是大壞。安全技術不便宜，如果你藉由企業併購的方式將你的安全資產與大型基礎建設供應商取得聯結，或許會另人欣然接受。
Cote認為大型廠商「他們擺脫了巨大的陰影」。「不是所有的產品都是最佳的解決方案。有些的考量在於容易安裝，而當你已有既存的基礎架構時，則更容易影響到你的決策。我敢斷言有許多人會因為部署等問題，不會採用最完美的技術。」
因此，併購對於一些想要涉足安全產業的廠商來說是有益的。EMC與RSA的合併弄得沸沸揚揚，而IBM在9月時以$13億美元併購了Internet Security Systems，也是不遑多讓。IBM緊接著在12月還併購了Consul Risk Management。Cisco也沒閒著，他在過去2年中併購了閘道廠商IronPort，監控與威脅管理廠商Protego，以及Cybertrust的智慧服務資產。同時間，Symantec也以相反的腳步，由安全供應商藉由合併成為完整的基礎建設廠商，其中包括了Veritas（2005年7月）以及系統管理公司Relicore（2006年2月）與Altiris（1月）。
正如Security Incite總裁與首席分析師Mike Rothman所說的，「大公司也是新的小公司」
「早在90年代，一些公司急著採用最創新的科技。但當他們嚐到苦頭後，他們開始思考要拿什麼來做生意，」Rothman說。「趨勢會朝向集中以及更寬廣的解決方案。但我並不認為新的解決方案會沒有機會，特別是對一些特殊的企業需求而言。」


套裝組合的反擊
安全是頂尖科技的天堂。公司越大，便越可能投資在任何最好的安全解決方案上，例如從桌面保護，到網路與應用程式安全等等。只有少數幾家廠商能夠提供公司廣泛的安全保護，但這種作法的深又無法與專注在單一領域的廠商相抗衡，獨立安全廠商會這麼說。
「網路安全是很複雜的；它需要大量的專精知識，就像我們專注在威脅與監控一樣，」趨勢科技CEO陳怡樺說。「市場有限，而新的威脅又層出不窮，因此必須不斷地在這個領域上投資才能建立專業知識，如果你專注的是儲存或是其他領域的話，那就更不用提了。」
獨立廠商下注在他們的特殊產品、客戶支援與關注上，以期能與一次購足的供應商建立出差別。
「我們的顧客，我們的夥伴是在找專注在安全上的公司，而不是只是兼賣安全產品的公司，」Check Point創始人兼CEO Gil Shwed說。「這才是我們的顧客所擔心的事。他們會想找獨立廠商。」
現實對安全主管來說有時是困難的，因為他們無法如此界線分明。
「這得視情況而定，」Houghton Mifflin的Cote說。「我做事是不天馬行空的。」
Cote說他公司的電腦是以McAfee的整合方案來進行保護，其中包括了防火牆、防毒軟體，以及反間諜軟體等等。「這類的科技價值很高，」Cote說。「套裝組合運行的很好。在電腦上用一個代理程式來負責所有的之安全事務也不錯。如果你得安裝不同的代理程式，效能以及部署問題想到就另人頭痛。」
網路保護也是一樣。採用標準技術的科技對於Cisco而言，更能獲得像Cote這類CISO的歡心，Cisco需要部署大型的Cisco基礎建設。不是所有專精領域的廠商都像Check Point一樣，擁有15年的核心經驗。有些小型廠商的解決方案則存在著一些問題。
「這個產業正在收斂，但仍會一樣擁擠，」十年老牌的驗證廠商，Arcot Systems的CTO，Jim Reno說。「如果產業擁擠，就代表它仍未收斂。市場仍出現許多新的想法。放眼所有的科技[市場]；只要有新的想法，就會有人採納並開設新的公司。」
擁擠的安全市場讓買家有更多的選擇。但是不能將過度的擁擠與大量的創新混為一談，Rothman警告。
「什麼是熱門與創新？這可不是量大而已，」他說。「每個問題都有一些不同的解法。在一些領域中，例如應用程式安全性，就只要持續更新就好了。將其與網路安全做比較；應用程式安全性大概落後了三到四年。從我們上次看到實際的創新到現在也過了好一段時間了。看看NAC以及記憶體漏洞防護；那些也只是在我們之前的作法上做一些變更而已。這些公司以及解決方案實際上只是大型解決方案組裡頭的一項功能罷了。」
有些人將這些舊方案的改良視為是健康市場以及小型企廠商能夠長期存續的指標。
「找尋利基並進行開拓；總是會有新的科技出現，有些的確獨特到不會讓主要的大廠抓狂，」Burton Group分析師Peter Lindstrom說。「如果你只有單一產品，能夠賺錢，讓更多人使用且能節省成本，那麼你就更能夠存活。市場收斂的問題得視大廠如何掠奪而定。」



存續目標
Secure Computing，一家創立於1984年的閘道安全供應商，於1995年時公開上市，在過去兩年販賣產品給最大的金融機構以及政府單位，營收幾乎達到$3億美元。
坐以待斃嗎？
「我們這種規模的公司會面臨個問題，」資深行銷副總Atri Chatterjee說。同樣的問題顧客也會拿來問專注在某個領域的安全公司。組織會想要保護他們在安全科技上的投資，並詢問其退場策略，他們在所有權條款中有何選項 （請參考第xx頁，退場策略），以及合約中會安插哪些保護措施。但這些問題，並不表示安全主管能夠得到關於價值的答案。
「我可以問這些問題，但是他們不可能提供任何資訊，」銀行副總Silvera說。
而即使廠商給了你的組織任何答案，也別輕易地相信他。
「他們會欺騙你，就這麼簡單。『你們會被併購嗎？今天不會，』」Rothman說。「事實是，如果有人提出誘人的方案，基於財務責任他們還是得去注意。使用者能做的事並不多。這突顯了所有的公司都需要一份備案。公司總有可能會消失，但組織卻會留著受苦。如果你要與新創業的公司打交道，你得先做好準備。」
Secure Computing，就像Check Point、Qualys、ArcSight等安全廠商一樣，已到達該市場區隔的頂尖位置，並吸引了準備發展安全事業的大型廠商的注意。他們也可以採取另一條路線，就像Check Ponit去年做的一樣，試著去併購成功機會較大的廠商如Sourcefire，以取得Snort以及RNA等技術。
另外，像Arcot則是與大型廠商合作，以嘗試讓該公司的產品出廣泛地出現在其他公司的產品中。Arcot最好的範例就是將其驗證產品整合進Windows CardSpace，也就是之前的InfoCard中。
「如果[大型廠商]開始集縮其併購，購買了不同廠商的競爭產品，他們得花大量的時間與精神來處理你併購回來的東西，」Arcot的CTO，Reno說。「如果你併購了二到三家公司，你就得管理二到三個產品的顧客資料庫。要搞清楚怎麼運作以及維護就得耗掉大量的精力。」
這是個停不下來的世界。
「如果有800家安全公司，百分之80的營收會低於$1千萬美元。營收$1千5百萬到$2千萬美元的公司要如何延續？企業產品過時了怎麼辦？」Chatterjee問道。「最好的狀況就是，應該要找出一塊無人的市場，並提供正確的解決方案。在安全領域中，組織仍會想嘗試；他們不會把安全拿來瞎弄。只要解決方案特殊，且能夠解決沒人能解決的問題，即使是小型企業他們還是會購買。」
Chatterjee的論點與其他獨立的安全廠商並無不同。「我們的策略，有時我會稱其為星巴客策略。我們賣咖啡。我們賣頂極的咖啡。但我們不賣炸雞或披薩，」趨勢科技的陳怡樺說。「對於像趨勢這類專攻在某個領域的公司，我們必須走在我們領域的前頭。」



被規模所蒙蔽
Houghton Mifflin的Cote說安全組織必須有自己的投資策略，而不須當IBM每次瘋狂收購安全績優廠商時才在畏畏縮縮。
「如果你發明了更好的補鼠器，人們會付錢買它；這是自由市場的機制，」Cote說，他以反間諜軟體市場為例，該市場由PestPatrol、Webroot等小型公司，甚至是Spybot之類的開放原碼計畫所主導。「大型公司完全放棄了這塊市場。小型公司得以在此存活。他們有更好的產品與支援。這是一個很好的例子，而你也會持續看到這類企業在此市場中顯耀。大型的公司就不會有類似的版本。」
大型公司的確擁有併購的實力，但是即使如此，當您的專攻廠商被人併購時，你也會取得若干的籌碼。以EMC-RSA的併購案為例，原有EMC設備的顧客可轉成基礎建設供應商的產品，並在環境中加入RSA的安全產品，而這些產品也能夠與現有的EMC協同與文管軟體相互整合。
「有些功能是獨立廠商無法提供的，」Rothman說。「對於那些想要縮減供應商數量，且簡化採購與管理的公司而言，他們比較適合找較大型的廠商。」
當然，小型公司也有其利基。
「舉例來說，與Symantec、CA，或是IBM相較，像Check Point之類的獨立公司很難有完整且足以使其延續的產品，」Silvera說。「他們的成功使其能夠吸引汪洋中的大魚。我想成為頂尖。小型公司總是對新的銷售機會感興趣，他們會想要與你合作。他們是很小，但我們卻可透過他們靠得更近。」
Houghton Mifflin是Qualys的顧客之一，並在Web使用其SaaS「軟體即服務」（software delivered as a service）作為網路漏洞管理之用。該公司董事長兼CEO Philippe Courtout說Qualys很早就體認到網路邊界的分散性，以此下注在SaaS模式上。他們不進行科技創新，但其服務機制使得Qualys得以以專注廠商的方式存活下來。
「SaaS的模式是分離的。由於無法讓顧客採用基礎架構，因此廠商無法鎖住客人，且因為應用程式是在瀏覽器中執行，因此要轉換廠商也很容易，」Courtout推測。「權力的平衡正在轉移。科技已不是廠商說的算。現在已是顧客當家做主（『這也是我想要的』），而他們也能夠強迫廠商接受其（基礎建設）的選擇。」
同時，Cote並不認為市場會有多大的縮減；如果小型廠商被併購了，會有其他的廠商跳出來起而代之。但是這不表示他已不再關注像Qualys之類的專注廠商了。
「Qualys是我會考慮的廠商之一。他們有良好的信譽，」他說。「坦白說我很驚訝他們竟然還沒被併購。」