大事なことは製品でもなく知識でもなく……Security&Trust ウォッチ(21)

» 2003年12月18日 10時00分 公開
[須藤陸@IT]

 気が付いてみるとあっという間に年の瀬。何とも月並みないい方だけれども、時のたつのは本当に早いと思わされる。

 この1年を情報セキュリティの視点から振り返ってみたとき、人によって思い浮かぶ出来事はさまざまだろう。やはり最も多く言及されるのは、Slammer、Blaster、WelchiaにSobigと、大規模感染を引き起こしたウイルスが数多く登場したことだろうか。これらはいずれも、Windowsプラットフォームに存在するセキュリティホールを悪用して蔓延した。多くのユーザーが被害を受けただけでなく、全国紙やテレビでも報道がなされ、ベンダ側の対応にも大きな変化があったという意味で、非常に印象深い出来事だった。

【参考記事】


 一方で、多くのオープンソースソフトウェアを提供しているGNU Projectに対しても、FTPサーバへの攻撃などが発生*1。さらに年末に差し掛かってからは、Debian Linuxをはじめ複数のLinuxカーネルがターゲットとなり、これらのコードをホスティングするサーバが攻撃されるという事件が起きている。

 セキュリティ侵害事件はほかにもある。一時期ほど大きく取り上げられることはなくなったが、いまだにWebページの改ざん事件は後を絶たないようだ。また、安易なサイト設計、安易なWebアプリケーションの開発が原因となって、不特定多数のユーザーに個人情報がさらされてしまうケースも引き続き発生している。それ以上に、社員の、あるいは委託先の社員の犯行や不注意によって、本来流出してはならないはずの個人情報が漏えいする事件が続発することになった。

 こうした事柄を踏まえてか、情報セキュリティを取り巻く行政・司法側の枠組みも広がった。5月には個人情報保護法が成立。この結果、個人の特定が可能な情報を5000件以上保持する事業者には、それを適切に取り扱うようさまざまな義務が課されることになる。同法全体が施行される2005年4月までに、多くの企業ではセキュリティポリシーだけでなくプライバシーポリシーの策定と、それらをお題目に終わらせないような運用体制の整備が求められることになるだろう。

 ちなみに経済産業省では今年10月、「情報セキュリティ総合戦略」を策定した。特にBlasterの蔓延とその反省を踏まえてか、この戦略は、おそらくわたしが知る限り、日本の官公庁としては初めて「情報セキュリティに絶対はなく、事故は起こりうるものである」という前提に立ったものだ。事故(インシデント)が起きたときの対策だけで終わるのではなく、その予防と、事故発生時の被害の最小化・局限化(拡大防止)、回復力の確保などに触れられている点で大きな前進だと思う。この考え方が多くの企業や組織にも取り入れられていってほしいものだと思う。

 ほかにもいろいろな事件や動きがあったけれども、いずれにしても2003年は、情報セキュリティというものがいっそう強く意識されるようになったのではないかと感じる。官公庁のWebサイト改ざん事件が続発し、Code RedやNimdaが登場した2001年以上に、ある深刻さをもって情報セキュリティが捉えられるようになったのではないか(無論、社会全体的にはまだまだと感じている方もいらっしゃるだろうが……)。

業界は盛況?

 おかげさまでというべきか、横ばい(良くて微増)傾向にあるIT産業の中でも、情報セキュリティに対する支出だけは明らかに増加しているようだ。例えば、米PricewaterhouseCoopers米CIO Magazineが共同で行った、企業のセキュリティ支出に関する調査によると、2003年にセキュリティ支出を増やした企業は、前年の50%をさらに上回る62%に達したという。

 ファイアウォールやウイルス対策ソフトの導入はほぼ行き渡っていることもあってか、今年はいくつか、それ以外の分野を狙った製品が登場した。

 まず春ごろにはIDS(不正侵入検知システム)ならぬ防御まで行うシステムIDP(IPSともいう)製品が相次いで登場したし、夏に差し掛かる時期には、IPSecVPNに代わるリモートアクセス手段としてSSL-VPN製品が相次いでリリースされた。また、Blasterが蔓延した原因は、パッチ(修正プログラム)がきちんと適用されていなかったことにあるという反省からか、最近ではインベントリ(資産)管理にパッチ配布・適用管理機能を組み合わせた製品が一種のブームになっている。監視カメラの役割を担うフォレンジック*2関連製品(このあたりの言葉には若干揺らぎがあるのだが)も徐々に登場してきた。

【参考記事】

「特集:リモートアクセスの新潮流SSL-VPNの導入メリット」

前編 リモートアクセスVPNにSSL-VPNを採用する最適なケースは?

後編 “SSL-VPN or IPSecVPN”どちらが最適ですか?


*2

ここでいうフォレンジック(Forensics)とは、コンピュータの内部を詳しく調査し、コンピュータの状態や、過去に発生した事象を追跡する作業のことをいう。


 このあたり、幾分微笑を禁じ得ないこともない。というのも、昨年に大いにもてはやされた無線LANのセキュリティなどは、最近ではめっきり言及される機会が減ったように、セキュリティ業界といえども流行の波を免れ得ないのだなと感じるからだ。ただ、流行をうまく利用し、そのうえで定着を図る試みは忘れてはならないだろう。

コミュニケーション能力の向上を

 いずれにしてもこの1年で、セキュリティに対する注目度は格段に上がった。製品は豊富に提供されているし、その気になればいくらでもさまざまなセミナーや書籍を通じて必要なノウハウを取得できる環境が整っている。

 けれども残念ながら、セキュリティ事件、事故が減ったという話は聞かない。絶対的なユーザー数が拡大している以上、ある程度数が増えるのは仕方ないにせよ、その比率が減ったようには私には思えない。現に、あれだけ大々的に騒がれたにもかかわらず、BlasterやWelchiaが吐き出すと思しきパケットの流量は減っていないというし、コンビニエンスストア「ファミリーマート」のメールマガジン購読者情報やNTTデータが運営する不動産情報サイト「HOME4U」で査定依頼した個人情報などのようなデータ漏えい事件も後を経たない。

 なぜだろう。いろいろ考えていくと、最大の、そして最後の問題として「人」に突き当たる。人の意識が変わり、セキュリティについて自ずと配慮するようにならないことには、いくら製品を導入しようと、関連書籍や記事を読もうと意味をなさず、リスクは存在し続けるのではないだろうか。

 しかも、情報セキュリティに関するリテラシーの浸透度を上回る速度で、ユーザーの裾野は広がっている。結果として、セキュリティを意識している人と意識しない人とのギャップはどんどん大きくなっており、互いが互いを理解できず、あまり幸せではない状況ができてしまっているように感じる。

 例えば、これまでわたしは、機会あるごとに記事を通じて「経営陣はセキュリティについて配慮しなければならない」「組織としてセキュリティに配慮しなければならない」といい続けてきた。けれども冷静に考えてみると、どうやらその声は十分に届いていない。いや、届いていないというよりも理解されていないというほうが正しいかもしれない。

 普段IT業界、セキュリティ業界にどっぷり使っていると意識しにくいのだけれども、セキュリティについて意識しない人にもたぶん、それ相応の理由なり背景があるのだろう。そもそも大多数の人は、わざわざセキュリティについてなど考えたがらない――それが自然なのかもしれないと、遅ればせながら考えるようになった。

 にもかかわらず、セキュリティ業界はいまだに、「ITの言葉」「情報セキュリティの言葉」でユーザーに呼び掛けている。ここに反省することはないだろうか? 例えば、経営層や(セキュリティ担当者から見れば個人情報について鈍感に見える)マーケティング担当者、あるいはセキュリティはIT部門の担当だと考えている法務部門の担当者や顧問弁護士にも、彼らのなりの語彙(ごい)があり、スキームがある。その部分に配慮しながらセキュリティの重要性を伝えていくことが、これからのセキュリティ担当者の仕事なのかもしれない。その意味で今後は、IT屋の言葉ではなく相手の語彙でセキュリティについて伝えることが可能なコミュニケーション能力を高めることが必要なのかもしれないと感じている(無論、逆にマーケティングサイドや法律サイドから、情報セキュリティに歩み寄り、いろいろと論じてほしいとも思う)。

 ということで、この年末年始休暇はそうしたコミュニケーション論について考えながら過ごしてみたいと考えている。では皆さんも、どうぞよいお年を。


Profile

須藤 陸(すどう りく)フリーライター

1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。 現在、雑誌、書籍などの執筆を行っている。


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。