セキュリティ分野の注目すべき10大トレンド

 9月にマレーシアのクアラルンプールで開かれた「Hack in the Box Security Conference」でWebキャストされた基調講演において、米国のマネージド・セキュリティ・サービス・プロバイダー、カウンターペイン・インターネット・セキュリティのCTO(最高技術責任者)を務めるブルース・シュナイアー氏は、今日の情報セキュリティに影響を及ぼしている10大トレンドについて説明した。

1. 情報の価値がかつてないほど高まっている

 例えば、アマゾン・ドットコムは情報を基に、同社の「1-Click」購入システムにより書籍購入手続きを簡略化している。同様に、インターネット小売業者のペッツ・ドットコムが倒産したとき、同社の顧客データベースは「同社が持っていた唯一の価値ある資産だった」とシュナイアー氏。

 また情報は、シングル・サインオンやユーザー認証などのアクセス管理や、法執行における犯罪者の追跡や証拠収集でも有益な役割を果たしている。

2. ネットワークが社会の基幹インフラに

 インターネットは基幹インフラの機能を果たすようには設計されていなかった。「インターネットは偶然基幹インフラとなったようなものだ。にもかかわらず、多くの基幹システムがインターネットに移行することになった」とシュナイアー氏は指摘した。

 インターネットは企業運営の効率化に役立ち、人々のコミュニケーションを容易にするが、現実的な経済的リスクを内包している。「ネットがダウンしたり、その一部がダウンすると、確実に経済に影響を及ぼす」と同氏。

3. ユーザーは自身に関する情報を管理できるとは限らない

 例えば、ISPはユーザーが訪問したWebサイトの記録や電子メール・メッセージの送受信の記録を管理している。また、一部の携帯電話事業者はユーザーの電話帳のコピーをサーバに保存している。

 「個人に関する情報は大変貴重だ」とシュナイアー氏。「しかし、それが非常に私的なものであっても、ユーザーはその情報のセキュリティを完全には管理できない」

4. ハッキングはますます犯罪目的で行われるようになっている

 ハッキングはもはや単なるいたずら行為ではない。セキュリティ攻撃は、利益を目的とする犯罪者によって組織的に実行されることが増えている。「攻撃の性格が変化しているのは、実行者が変わってきているからだ」とシュナイアー氏。

 DoS攻撃を利用した恐喝や、フィッシング攻撃は犯罪者による攻撃の例だ。さらに、企業ITシステムへの不正侵入を可能にする攻撃コードの闇市場も存在している。

5. 複雑さがガンになっている

 「システムが複雑化するとともに、安全性は低下する」とシュナイアー氏は述べ、インターネットは「歴史上前例のない複雑な仕組み」だと断じた。

 セキュリティ技術の進歩は、端的にいってインターネットの成長に追いついていない。「セキュリティは改善しているが、複雑化のほうがより速く進行している」とシュナイアー氏。

6. 攻撃の速さにパッチが追いつかない

 新たな脆弱性や攻撃コードが、ベンダーのパッチ作業を上回る速さで発見されている。また、シスコ製ルータなど一部の組み込みシステムの脆弱性はパッチで修正することができず、企業が無防備な状態に置かれるケースもある。

7. ワームがかつてないほど巧妙化

 ワームはすでに脆弱性評価ツールを内蔵しており、企業の防御を調査して弱点を探し出し、Googleを使って情報収集している。「この傾向は、犯罪を目的としたワームが増えている結果だ」(シュナイアー氏)

8. リモート・コンピュータがアキレス腱に

 「認証スキームがいくら優れていようと、リモート・コンピュータに信頼性がなければ無意味だ」とシュナイアー氏。多くの場合、企業のセキュリティ対策が十分及ばないリモート・コンピュータが安全確保のアキレス腱になる。これらのコンピュータはしばしばワームやスパイウェアに感染し、攻撃者に機会を与える。

9. エンドユーザーの不正への対策が活発化

 企業がエンドユーザーによる不正の対策を目的としたソフトウェアを積極的に開発するようになってきており、DRM(デジタル著作権管理)ソフトウェアはその一例だ、とシュナイアー氏。「ユーザーの保護ではなく、ユーザーからの保護を目指したセキュリティ技術が増えている」

 先ごろ、ソニーのDRMソフトウェアがエンドユーザーの許可なくコンピュータにインストールされ、コンピュータに損害を与えるという問題が物議を醸した。「こうしたケースに関するルールや規制が大きな論議を呼ぶだろう」とシュナイアー氏は述べ、ユーザーを保護するPCソフトウェアとユーザーからの保護を目的としたソフトウェアの間の機能的な衝突が、今後問題になるだろうとの見通しを示した。

10. 規制がセキュリティ監査を促進する

 企業によるデータの取り扱い方を詳細に定める法規制が多数施行されている。米国企業改革法(SOX法)などによる規制が企業のセキュリティ監査を促進するだろう。

(サムナー・レモン/IDG News Serviceシンガポール支局)

提供:Computerworld.jp