特集：セキュリティリポート裏話

サイバーセキュリティの世界では、とかく派手な手法が耳目を引き、いろいろな言説が流布しがちだ。しかし情報通信研究機構（NICT）サイバーセキュリティ研究所では、あくまで「データ」に基づかなければ適切な対策はできないと考え、地道に観測プロジェクトを続けてきた。

世の中で知られるようになってから10年以上が経つが、いまだに被害が減るどころか、スマートフォンの普及によって新たな手口が登場しているフィッシング。月次・年次で報告をまとめているフィッシング対策協議会に最近の動向と対策を尋ねた。

セキュリティ対策をまとめ、強化する際に役立つ資料がある。政府やコミュニティーがまとめた公開ドキュメントだ。経済産業省の「サイバーセキュリティ経営ガイドライン Ver 2.0」とOWASPの「OWASP Top 10 - 2017（日本語版）」を中心に内容を紹介する。

2018年は前年に引き続き、ランサムウェアやIoTを用いた攻撃の脅威がそのまま残るというのが各社に共通する予測です。2018年はサプライチェーン攻撃や仮想通貨に関連した攻撃、ビジネスメール詐欺（BEC）が拡大する可能性があります。AIを利用した新種の攻撃を示唆するセキュリティ企業もありました。

世界中に広がった「WannaCry」から、自社で利用中の製品に残るさまざまな脆弱（ぜいじゃく）性まで、さまざまなサイバーセキュリティ上の課題に立ち向かうには、まずは正確な情報が必要です。今回はセキュリティベンダー各社が発表するレポートや予測から離れて、自ら情報を探る方法について紹介します。

セキュリティベンダー各社が「2016年のサイバーセキュリティ動向に関する予測」をリリースしています。各社の予測に共通するトレンドを見ることで、ささやかに未来を占ってみたいと思います。

トレンドマイクロが2015年11月19日に公開したリポート「2015年第3四半期セキュリティラウンドアップ」の中で指摘した、不正広告（マルバタイジング）の問題。業界団体では対策の必要性を認識しながらも、「未然の防止は困難」であるのも事実だとしています。

2015年を振り返って、サイバーセキュリティの観点で最も大きなインパクトを残した事件は何かと尋ねられたならば、やはり「標的型攻撃」になるのではないでしょうか。公開された報告書やブログを元に、あらためて何が問題だったか、対策は何かを振り返ります。

情報処理推進機構（IPA）が約10年にわたってまとめ、公表してきた「10大脅威」を参考に、セキュリティ脅威を取り巻く状況において何が変わり、何が変わらないのかを確認してみた。

自社に今、そしてこれから必要なセキュリティ対策を検討する前に確認したいのが、「敵」の手口です。セキュリティ関連組織やベンダーでは、そうした時に役立つさまざまな観測結果やリポート、調査結果を公開しています。ぜひ一次ソースに当たってみてください。