謹賀新年……といってももう旧正月も過ぎてしまい、はなはだ遅ればせながらの挨拶になるけれども、本年もよろしくお願いします。IPAをはじめさまざまな組織から警報が出された年末年始だったが、幸いにして何事もなく乗り切ることができたようだ。まずは一安心、といったところだろうか。
昨年末には、ベンダも含め、セキュリティ業界に携わるさまざまな人と話をする機会を得た。皆さんが1年を振り返ってみて共通するのは、SlammerやらBlasterやらの登場で「いやもう、昨年は大変だった」ということ。
【参考記事】
- 管理者のジレンマを突いて爆発的に繁殖したSQL Slammer(Windows Server Insiderフォーラム)
- ネットワーク管理者のためのBlasterワーム対策(Windows Server Insiderフォーラム)
これらワームはさまざまな影響をもたらした。けれど一方で、IT業界全般の、そしてごく一般的なユーザーの情報セキュリティに対する興味、関心を高めるという効用ももたらしたと思う。
では、それがセキュリティレベル全般の向上につながっているかというと、まだそうとはいい切れないようだ。何か対策しなくちゃいけないとは思いながらも、具体的に何に気をつけるべきで、どんな対策を取るべきか、よく分からない――というのが現状ではないだろうか。
常日ごろの「意識」を
昨年のたび重なるセキュリティインシデントを振り返って思うのは、これからは一般教養としてのセキュリティが必要にされるんじゃないかということだ。「教養」というよりも「心がまえ」というほうが正確かもしれないが、とにかく、ネットワークを利用している以上は危険が潜んでおり、もしかしたら自分もその被害者になるかもしれないという緊張感、危機意識を持つことから、セキュリティレベルの底上げが始まるのかなという気がしている。
これは、現実世界でも同じことだと思う。
年末年始の間は取りためたビデオとニュースで時間をつぶしていたのだが、それでつくづく感じたのは、日本はもう安全な国じゃないんだなということだった。道を歩いているだけでも何かの拍子に犯罪に巻き込まれるかもしれないし、電話やメールを利用した詐欺は巧妙化する一方だ。いろんなところに危険が口を開けて待っている。性善説を取ることができないのは、何も情報セキュリティの世界だけじゃないのだ。
こうした犯罪を防ぐには、摘発や罰則をより厳しくするというアプローチもあるだろう。けれど1人の住民としてみれば、「錠前を変える」「人通りの少ないところは避ける」といった基本的な防犯対策から始めるしかない。何かあったときにどういう対応を取るかを事前に考え、トレーニングしておくことも有効だろう(現に小学校などでは、教員がそういった訓練をはじめているとか)。これって、「パスワードを厳密にする(あるいはパーソナルファイアウォールを導入する)」「怪しいサイトには近づかない」といった情報セキュリティ対策にとても似通ってはいないだろうか?
そして個別の対策も大事だけれど、何よりのポイントは、危険があるかもしれないことを意識し、常に気を緩めないでいることだと思う。ずいぶん前のことになるけれど、海外旅行がブームになった時期には、「日本人はすりなどのカモになりやすい、絶好のターゲットだ」といわれたものだ。それと同じことが、いま、情報セキュリティの世界でも起きているのかもしれない。
ささやかながら今年の「予測」など……
じゃあ、具体的にどんな危険が待ち受けているのだろう? またそれを封じ込めるために、どんな製品群が登場するのだろうか? 性懲りもなく……といわれそうだが、今年予測されるトレンドをいくつか挙げてみたい。
- 「アプリケーションレイヤ」への注目
既存のファイアウォールやIDSでは防げない(といわれる)アプリケーションレベルのセキュリティを実現するための手法やツールが、今年は続々と出てくると思う。ここで問題とされているのは、HTTPが代表例だが、ポートフィルタリングでは素通しになっているトラフィックに細工を施してサーバに悪さをしたり、情報を引き出したりする攻撃のことだ。昨年後半より、パケットの中身を精査し(「ディープ・インスペクション」などというようだ)、正常でないトラフィックはブロックすることを狙った製品がいくつかリリースされ始めているが、具体的な評価はこれからだ。
ちなみに業界トレンド的な意味では、SSL-VPN(これに「認証」や「アクセス制御」もプラス)も要注目だと思っている。
- 「末端ノード」への注目
電車の中でも時折、ノートPCを開いて仕事をしている人を見かけるようになった。自宅にPCごと仕事を持ち帰って作業する人も珍しくはないだろう。事実、ブロードバンドやホットスポットサービスを推進する側の人々は、そうした「自由」なワークスタイルが生産性を向上させるものだ、というマーケティングを展開している。こういう形態は確かに非常に便利だ。けれどご存じのとおり、一方でこうした使い方が、セキュリティ侵害のきっかけになったり、ワームの侵入口になったり、個人情報漏えいの出口になることもある。それは昨年明らかになったとおりだ。
だからといってノートPCを持ち歩くなということはできない。そのPCにはどういったデータを入れていいのか、どういうシチュエーションならば利用できるのかなど、末端ノードを使ううえでの何らかのルールの取り決めが求められるだろうと思う。最終的には、個々のユーザーのリテラシーとモラル、意識も不可欠になるわけだが。 - セキュアなプログラミング手法の確立
これは、予想というよりも個人的な期待(お願い)に近いのだけれども、Webアプリケーションをはじめとするシステム構築プロジェクトにおいて、初めから「セキュリティ」を意識した手法が出てきてくれないものかと考えている。昔からいわれていることだが、後追いで修正するよりも、初めからきちんとセキュリティを織り込んで設計、構築するほうがコスト的にもメリットがあるし、完成度も高い。
それにしてもつくづく思うのは、セキュリティ専門家という役割も必要だけれども、同時に、一般的なプログラマや運用担当者、エンドユーザーにも一定水準以上のセキュリティ知識が欠かせなくんだるだろうということだ。そういう意味でもやはり、「一般教養」「常識」としてのセキュリティが行き渡ることを期待してやまない。
Profile
須藤 陸(すどう りく)フリーライター
1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。 現在、雑誌、書籍などの執筆を行っている。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.