松の内も明けて随分と経ってしまった時期に、いまさらながらであるのは承知のうえだが、あらためて新年明けましておめでとうございます。本年もどうぞよろしく。
さて、この年末年始の恒例ネタといえば「2003年の行方を占う」といったたぐいのコラムだ。しかし、これほど困難なテーマもない。往々にして、この手の予測は外れるものだからだ。PC市場は急激なペースで成長するとか、ドットコム企業が古いタイプの企業を凌駕(りょうが)するといった、かつては声高に唱えられた極論を引き合いに出すまでもないだろう。
以下は、ない知恵を絞って真剣に考えた結果だが、中には見事に外れて しまう項目もあるかもしれない。もし来年のいまごろまでこのコラムが続いていたならば、そのときに潔く、読者の皆さんからの裁きを受けたいと思う。とはいうものの、やはりメデタイ年頭のコラムである。当たるもはっけ、当たらぬもはっけという軽い気持ちで読み進んでもらえると、少しは助かる。
悩みは尽きない2003年
さて、2003年のセキュリティ分野の動向だが、まずこれだけは確実にいえる。さまざまな形のセキュリティ侵害事件は増え続けるだろうし、管理者は引き続き、対策に頭を悩ませることになるだろう。セキュリティに特効薬はないのだから、当たり前といえば当たり前だ。これまでどおり、常に情報を収集し、ユーザーの教育や事後対策を組み入れた、場当たり的でないセキュリティ対策を取っていくしかない。
これだけだと何の予測にもなっていないって? おっしゃるとおりだ。もうちょっと具体的な項目を挙げてみよう。
●今年こそ本当に「VPN元年」
過去数年の間にさまざまなツールや仕組みが「今年こそブーム」「今年こそ元年」といわれてきた(そしていまだに、元年が訪れていない)。その1つがVPNだろう。安価なブロードバンド接続が普及し、IPSec対応のルータが豊富に提供されるようになった今年こそ、中小企業も含めた幅広い企業で、VPNが導入されるようになると期待している。安全に無線LANシステムを利用したい場合にも、VPNは順当な対策だ。
●スパムメールや迷惑メールへの対策
過去半年の傾向から見て、今後重要度を増しそうなのが、スパムや迷惑メールへの対策だ。あるデータによれば、メールサーバを通過するデータのうち4分の1が、これら不要なメールだという。携帯電話のメッセージも含めれば、その割合はさらに増加するだろう。セキュリティ的な観点からも、またメールサーバおよびネットワークリソースの健全な運用という観点からも、これを放置してはおけない。いまでも、キーワードやドメイン名などを基にしたフィルタリングによって一定の処理は可能だが、いっそう効果的な対策法が求められるだろう。各種サービスプロバイダがオプションサービスの形で、これらへの対策を提供するケースも増えるのではないだろうか。
●ユーザー認証をはじめとするいわゆる「AAA」
現在、多くの企業で取られているセキュリティ対策は、ファイアウォールやウイルス対策ツールのように、「外」からやってくる有害なものをブロックするものが中心になっている。こうした対策が重要なのはもちろんだが、同時に、ユーザー認証をはじめとする、いわゆるAAA(Authentication、Authentification、Accounting:認証、認可、アカウンティング)が求められるようになるだろう。これにより、内部からの不正アクセスをブロックできるだけでなく、適切なユーザーに、適切なリソースへのアクセスを許可することができる。電子証明書を活用する、マイクロソフトの「Passport」やLiberty仕様を採用する、あるいは素直にLDAPやRADIUSを使うなど、やり方はいろいろあるが、いずれにせよただ守るだけのセキュリティ対策に終わらず、リソースを戦略的に活用するための「攻め」のセキュリティに着目する企業が出てくるだろう。
●事後処理やログ保存への着目
これまではとにかく「守る」という第一段階のみに目がいきがちだった。しかし、いかに対策を施していようと、やられるときはやられるものだ。そうした最悪の事態を想定して、バックアップ手順や人的フローなどを含め、どういった手順を取ればスムーズに復旧を行えるかを考えていく必要があるだろう。また、国内ではまだ、いわゆる「ログ」を証拠として活用した訴訟は起きていないが、今年あたり、それがあるのではないかという予感がしている。こうなると、ログを含めたデータの完全性をチェックするツールや、攻撃手順を保存しておき、後から必要に応じて再生できる監視カメラ的ツールの重要性も高まるはずだ。
●リアクティブからプロアクティブへの変化
アプリケーションパフォーマンス管理ツールの世界では、「リアクティブな監視からプロアクティブな管理へ」というのが、1つの流行になりつつある。これはセキュリティの世界にも当てはまるだろう。そのいい例が、不正侵入検知システム(IDS)だ。乱暴な例えだが、IDSは、ひき逃げ事件が起きた後の鑑識班のようなものだ。事故が起きて初めて、現場周辺の証拠を基に、犯人と思わしきものの見当をつけるわけで、事故そのものを防ぐことはできない。こうした限界を知ってか、最近ではベンダの側もIDSというよりも不正侵入防止システム(IPS:Intrusion Prevention System)といった触れ込みで、ファイアウォールやルータと連携し、不審な動きがあればそれをシャットダウンしてシステムへの侵入を未然に防ぐシステムとして展開するようになってきている。今年はその傾向が本格化するだろう。
と、一部だけを書き連ねただけでも、考えられるセキュリティ対策は多々ある。
ほかにもいろいろと考慮すべき事柄は残っている。自宅でPCを使うユーザーに対するいっそうの配慮だとか、IMツール経由などさらに凶悪化したウイルスへの対策、高度化するPDAおよび携帯電話端末でのセキュリティ対策などを視野に入れておく必要があるだろう。おそらく今年はまだ問題にはならないだろうが、2004年以降、WebサービスおよびXMLベースのデータについて、真剣に検討する必要が出てくるはずだ。
さらにシステム全体の視点からは、パフォーマンスとの兼ね合いや、各種アプライアンスや個々の端末も含めた統合運用管理も考慮しなくてはならない。というよりも、2003年以降は、ITシステム戦略の中にデフォルトでセキュリティ対策を組み込んでいくべきだろう。そして結局のところ、この目的を実現するには、管理者だけでなく、ユーザー1人1人のセキュリティに対する姿勢、モチベーションをどう高めていくかが課題となる。これこそが、2003年最大の課題なのかもしれない。
Profile
須藤 陸(すどう りく)フリーライター
1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。現在、雑誌、書籍などの執筆を行っている。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.