11月15日に「日経コミュニケーション」の別冊を発行しました。昨年まで「通信サービスの料金相場」としていたものを,内部統制などの盛り上がりに合わせて趣向を変え,「ネットワーク・セキュリティ大全」として新たに編集しました。その中では,情報漏えい対策から不正アクセス対策,スパム・メール対策まで,広範囲にわたるセキュリティ関連サービス/製品の一覧を掲載しました。いわゆるディレクトリです。
セキュリティ対策は,企業にとって欠かせないものです。それは間違いないでしょう。ただ,このごろ,「実はハイテクによるセキュリティ対策はあまり強固にし過ぎないほうがいいのではないか」と考えることがあります。というのは,次々に登場してくるセキュリティの脅威が,対策をすり抜けるように工夫され,検知・防御が一層困難になるからです。だったら高度な対策を講じなければ脅威の進化も止まるのではないか,という考えです。
セキュリティの専門家と話をすると,必ずと言っていいほど,ほとんど「止めようがない攻撃」の話になります。世に知られていないぜい弱性を突く「ゼロデイ攻撃」や組織内の個人をピンポイントに狙って機密情報を盗み出す「スピア攻撃」などです。ウイルス対策ソフトやセキュリティ・パッチでは対処できない場合がほとんどです。Ajax(Asynchronous JavaScript+XML)の広がりとともに,ブラウザをターゲットにした攻撃も出始めています。スクリプトやコマンドを埋め込まれ,知らないうちにキー入力したカード番号などの機密情報を送ってしまうような攻撃が成り立ちます。対策はかなり難しく,もはや「いたちごっこ」にさえならなくなりそうな気配です。
このように犯罪者は,対策の隙を突こうと狙っています。だから,逆に守りを緩やかにしておけば,ここまで悪質化することはなかったのではないか。そんな思いにとらわれます。代わりに,もっと社会システムの中で守りを固めるだけにするのです。例えばクレジットカードを悪用された場合にカードを無効化するとか,そういう方法に頼るわけです。
現実には,そんなわけにはいかないでしょう。今目の前にある脅威に対処しないわけにはいきませんし,「守らなければ高度化しない」という考えそのものが正しいとは限りません。ただ,あまりにも急ピッチで高度化していく脅威に対し,対策側の取り組み方を見直す必要が出てくるのではないかと思っています。
|
