ITpro読者のみなさん、今回から新連載を開始する濱本です。情報セキュリティに携わって10年以上、広島という地方でエネルギア・コミュニケーションズという情報通信の会社に勤めながら、さまざまな現場で情報セキュリティ・システムの構築や運用、情報セキュリティ・ポリシーの構築、情報セキュリティ監査・教育、Winny/Shareへの情報漏えい発生時のフォレンジック対応まで、我ながらいろいろな経験をしてきました。本コラムでは、そんなセキュリティの最前線で経験したことをお伝えしていきたいと思います。

 初回となる今回は、私が経験した最近の情報セキュリティの現場を、まずは駆け足で振り返ってみようと思います。

 筆者は2006年から2007年度末までの2年間、日経SYSTEMSの誌面上で「濱本常義のここが危ない」というタイトルで連載をしていました。この前後の時期は非常にセキュリティの現場がいろいろな意味でアツかったので、まずはその経験をご紹介しましょう。

個人情報保護法など情報漏えい問題で苦労した数年前

 まず、個人情報保護法が2005年4月1日に施行されました。東京では2004年に情報セキュリティ対策が進んだようですが、筆者が住む広島では、その1年遅れの2005年あたりから情報セキュリティ対策が予算化され、2006~2007年あたりに情報セキュリティのシステム導入が進みました。

 この時期に、ウィルス対策やファイアウォールはもちろんのこと、ネットワーク・フォレンジック機器や、当時、総合的なクライアントセキュリティ対策として資産管理系ツールをよく売れていました。

 現場の情報セキュリティ対策はだんだん進んでいきましたが、それとは裏腹にWinny/ShareといったP2Pネットワークへの情報漏えいが多発したのもこの時期です。情報漏えいが実際に発生したときは大変でした。昼過ぎあたりに突然お客さんから連絡があって「情報漏えいが発生してので、これから他県まで行って」といわれ、情報漏えいの原因となった人の自宅まで行って、情報漏えいの詳細や、感染したウィルスや流出した業務情報の範囲を夜を徹して調査・対応したものです。

 それ以外にも、スパマーが大量のメールを企業あてに送りつけて業務に影響を与えたり、ニコニコ動画で発生した「吉野家テラ豚丼事件(吉野家の店員がメニューにない「テラ豚丼」を作った動画をニコニコ動画に投稿したことから始まった騒動。テラ豚丼を作る過程で丼に伝わったタレが鍋に滴るなど、不衛生なものが含まれていたため大問題となった:まとめサイト)」など、Web2.0系のサービスで個人が安易な情報発信から会社が多大な影響を受けた事件など、日経SYSTEMSへの連載中にはネタに事欠きませんでした。この辺の経緯は、日経BP記事検索サービス(有料)でバックナンバーが読めますから、興味がある方はそちらを読んでいただけたらと思います。

 2007年末に日経SYSTEMSの連載が終了してから、情報セキュリティの営業の現場が大きく変わりました。筆者が所属する会社はもちろんのこと、協業していた複数の会社にも情報セキュリティの専門部隊がありました。それらの多くは独立独歩の部隊でセキュリティを専門としていましたが、2008年4月以降はそのほとんどが元々の会社におけるSI部隊やDC部門などとして吸収されました。

 筆者が推測するに、情報セキュリティ対策が通常のSIにおいて当たり前になったことと、個人情報保護法特需を乗り越えた情報セキュリティのSI部隊に、物理層からネットワーク、OS、アプリケーション層まで垂直に構築し、人によってはポリシーと言った政治層まで対応できる人材がいつのまにか育っていたことがうまくマッチしたためではないかと思います。

 こういった経緯から、筆者もご多分にもれず本業でも情報セキュリティ構築だけではなく、仮想化や情報セキュリティ対策を考慮に入れた普通のSI案件も手がけていたのですが、ここ2年ほどは、エンドユーザーの情報セキュリティ対策も落ち着いてきておりました。

GumblarやTwitterが予感させる新たな脅威

 ここで、「落ち着いてきました」と過去形で書いたのには理由があります。それは、ここ数カ月で急速に流行し、対策することが求められているマルウエア「Gumblar」の登場です。このGumblarは単純にウィルス対策などの技術的な対策だけでは防ぎきれない厄介な問題ですので、別の機会に詳細に述べさせていただこうと思います。

 最後に、まだ大きな事件は起きていませんが、キャズムを超えた感のあるTwitterや、Ustreamといった、企業のビジネスチャンスの場であると同時に、個人が本当の意味での数万人単位の情報発信のインフラとして使えることから、いわば情報テロといった、企業にとっての新たなリスク発現の場となる予感があります。

 これらの最近の脅威に関する具体的な話については、次回以降でお話しさせていただこうと思います。今後とも、この連載をごひいきにしていただけたらと思います。よろしくお願いします。

濱本 常義(はまもと つねよし)
地方の一企業で、ネットワークセキュリティに関する業務(セキュリティ監査、セキュリティ・インフラ構築/運用、フォレンジック対応など)に携わる。常時接続とネットワーク・セキュリティのメーリング・リストconnect24hの管理人。地域密着型情報セキュリティ勉強会「セキュリティもみじ」代表。著書に「情報セキュリティプロフェッショナル教科書」、「平成22年度【春期】【秋期】情報セキュリティスペシャリスト 試験によくでる午前・午後問題集」などがある。