いまこそ一般教養としてセキュリティを！：Security&Trust ウォッチ（22）

» 2004年01月24日 10時00分公開

　謹賀新年……といってももう旧正月も過ぎてしまい、はなはだ遅ればせながらの挨拶になるけれども、本年もよろしくお願いします。IPAをはじめさまざまな組織から警報が出された年末年始だったが、幸いにして何事もなく乗り切ることができたようだ。まずは一安心、といったところだろうか。

　昨年末には、ベンダも含め、セキュリティ業界に携わるさまざまな人と話をする機会を得た。皆さんが1年を振り返ってみて共通するのは、SlammerやらBlasterやらの登場で「いやもう、昨年は大変だった」ということ。

【参考記事】

管理者のジレンマを突いて爆発的に繁殖したSQL Slammer（Windows Server Insiderフォーラム）
ネットワーク管理者のためのBlasterワーム対策（Windows Server Insiderフォーラム）

　これらワームはさまざまな影響をもたらした。けれど一方で、IT業界全般の、そしてごく一般的なユーザーの情報セキュリティに対する興味、関心を高めるという効用ももたらしたと思う。

　では、それがセキュリティレベル全般の向上につながっているかというと、まだそうとはいい切れないようだ。何か対策しなくちゃいけないとは思いながらも、具体的に何に気をつけるべきで、どんな対策を取るべきか、よく分からない――というのが現状ではないだろうか。

常日ごろの「意識」を

　昨年のたび重なるセキュリティインシデントを振り返って思うのは、これからは一般教養としてのセキュリティが必要にされるんじゃないかということだ。「教養」というよりも「心がまえ」というほうが正確かもしれないが、とにかく、ネットワークを利用している以上は危険が潜んでおり、もしかしたら自分もその被害者になるかもしれないという緊張感、危機意識を持つことから、セキュリティレベルの底上げが始まるのかなという気がしている。

　これは、現実世界でも同じことだと思う。

　年末年始の間は取りためたビデオとニュースで時間をつぶしていたのだが、それでつくづく感じたのは、日本はもう安全な国じゃないんだなということだった。道を歩いているだけでも何かの拍子に犯罪に巻き込まれるかもしれないし、電話やメールを利用した詐欺は巧妙化する一方だ。いろんなところに危険が口を開けて待っている。性善説を取ることができないのは、何も情報セキュリティの世界だけじゃないのだ。

　こうした犯罪を防ぐには、摘発や罰則をより厳しくするというアプローチもあるだろう。けれど1人の住民としてみれば、「錠前を変える」「人通りの少ないところは避ける」といった基本的な防犯対策から始めるしかない。何かあったときにどういう対応を取るかを事前に考え、トレーニングしておくことも有効だろう（現に小学校などでは、教員がそういった訓練をはじめているとか）。これって、「パスワードを厳密にする（あるいはパーソナルファイアウォールを導入する）」「怪しいサイトには近づかない」といった情報セキュリティ対策にとても似通ってはいないだろうか？

　そして個別の対策も大事だけれど、何よりのポイントは、危険があるかもしれないことを意識し、常に気を緩めないでいることだと思う。ずいぶん前のことになるけれど、海外旅行がブームになった時期には、「日本人はすりなどのカモになりやすい、絶好のターゲットだ」といわれたものだ。それと同じことが、いま、情報セキュリティの世界でも起きているのかもしれない。

ささやかながら今年の「予測」など……

　じゃあ、具体的にどんな危険が待ち受けているのだろう？またそれを封じ込めるために、どんな製品群が登場するのだろうか？性懲りもなく……といわれそうだが、今年予測されるトレンドをいくつか挙げてみたい。

「アプリケーションレイヤ」への注目

既存のファイアウォールやIDSでは防げない（といわれる）アプリケーションレベルのセキュリティを実現するための手法やツールが、今年は続々と出てくると思う。ここで問題とされているのは、HTTPが代表例だが、ポートフィルタリングでは素通しになっているトラフィックに細工を施してサーバに悪さをしたり、情報を引き出したりする攻撃のことだ。昨年後半より、パケットの中身を精査し（「ディープ・インスペクション」などというようだ）、正常でないトラフィックはブロックすることを狙った製品がいくつかリリースされ始めているが、具体的な評価はこれからだ。

ちなみに業界トレンド的な意味では、SSL-VPN（これに「認証」や「アクセス制御」もプラス）も要注目だと思っている。

【参考記事】特集：リモートアクセスの新潮流SSL-VPNの導入メリット

「末端ノード」への注目

電車の中でも時折、ノートPCを開いて仕事をしている人を見かけるようになった。自宅にPCごと仕事を持ち帰って作業する人も珍しくはないだろう。事実、ブロードバンドやホットスポットサービスを推進する側の人々は、そうした「自由」なワークスタイルが生産性を向上させるものだ、というマーケティングを展開している。こういう形態は確かに非常に便利だ。けれどご存じのとおり、一方でこうした使い方が、セキュリティ侵害のきっかけになったり、ワームの侵入口になったり、個人情報漏えいの出口になることもある。それは昨年明らかになったとおりだ。

だからといってノートPCを持ち歩くなということはできない。そのPCにはどういったデータを入れていいのか、どういうシチュエーションならば利用できるのかなど、末端ノードを使ううえでの何らかのルールの取り決めが求められるだろうと思う。最終的には、個々のユーザーのリテラシーとモラル、意識も不可欠になるわけだが。
セキュアなプログラミング手法の確立

これは、予想というよりも個人的な期待（お願い）に近いのだけれども、Webアプリケーションをはじめとするシステム構築プロジェクトにおいて、初めから「セキュリティ」を意識した手法が出てきてくれないものかと考えている。昔からいわれていることだが、後追いで修正するよりも、初めからきちんとセキュリティを織り込んで設計、構築するほうがコスト的にもメリットがあるし、完成度も高い。

　それにしてもつくづく思うのは、セキュリティ専門家という役割も必要だけれども、同時に、一般的なプログラマや運用担当者、エンドユーザーにも一定水準以上のセキュリティ知識が欠かせなくんだるだろうということだ。そういう意味でもやはり、「一般教養」「常識」としてのセキュリティが行き渡ることを期待してやまない。