世界のセキュリティベンダーが公開するブログの中で、注目したい記事を紹介する。

 米マカフィーは、米グーグルが発表した「Chromebook」をはじめとする「ポストPCデバイス」の時代に向けたセキュリティ業界の展望についてブログで語った。

 米フォーブス誌の記者は「ポストPCデバイスはポストアンチウイルスでもあり、ウイルス対策ソフトのベンダーにとっては実に厄介な問題だ」との意見を書いている。ポストPCデバイスにウイルス対策ソフトは不要になるかもしれない。しかしこれは、セキュリティ強化が不要ということではない。こうした新タイプのデバイスにはホワイトリスティングがより有効な手段になるとマカフィーは見ている。

 ユーザーがChromebookでWebサーフィンをする際、接続するインフラは安全性が確保され、悪質なWebサイトへの接続は遮断される必要がある。さらに、ユーザーのオンラインデータを格納するデータセンターにもセキュリティ保護は不可欠だ。また、従業員がChromebookでWi-Fiネットワークを利用したり、企業リソースにアクセスしたりするのを把握することも重要である。

 マカフィーのように、ウイルス対策ソフトからサイバーセキュリティ全般にビジネスを拡大したセキュリティベンダーにとっては、ポストPCデバイスは「大きな問題」ではなく「大きなチャンス」になると、マカフィーは述べる。

 マカフィーは長い時間をかけて、1台のパソコン向けのウイルス対策ソフトから、無数のエンドポイント、ネットワーク、そしてクラウドのセキュリティへと移行してきた。そして事業を拡大する中で、エンドポイント向けウイルス対策事業は年々縮小しているという。

 指数関数的に急増するサイバー犯罪は、新たなデバイスの登場で勢いが弱まるどころか、加速の一途をたどっている。マカフィーは、今後10年でネットワークに接続するデバイスは50倍に増加すると予測しており、これがセキュリティと管理に困難な課題をもたらすと指摘している。

オバマ大統領のサイバーセキュリティプラン(パート1)法執行規定の改正

 最近のセキュリティ関連の話題では、米オバマ大統領が発表したサイバー犯罪対策法案が挙げられる。ブログでも、英ソフォスが取り上げている。

 ソフォスはサイバー犯罪対策法案の概要を紹介し、ソフォスの見解を示した。

 サイバー犯罪対策法案はかなり長く、細目にわたる内容になっている。その中から、まず法執行に影響する主な変更点を抜粋した。

・組織暴力団対策法(RICO)の対象に組織的コンピュータ犯罪を加える
・コンピュータ犯罪取締法(CFAA)において、重要なインフラへの攻撃に対しては3年以上の懲役とする
・防衛、エネルギー、外務関連の連邦システムに対する攻撃については、最長懲役を10年から20年に延長する
・金融サービス、政府機関、国際通話および市外通話のシステムへの不正アクセスに対する懲役を最長1年から3年に延長する。また営利目的の場合は最長5年から10年にする
・プログラム、情報、コード、コマンドの伝送を意図的に引き起こし、コンピュータに不正アクセスし、5000ドル以上の損害を与えたり、医療システムを改ざんしたりした場合は最長20年の懲役とする

 ソフォスは、RICOの対象範囲にコンピュータ犯罪を追加することを歓迎し、また懲役年数を引き上げることは、犯罪者に明確なメッセージを送ることになると支持した。ただ、重要インフラへの攻撃が懲役3年以上という項目については、下限を設けることに異議を唱えた。

 最後に挙げた項目は、マルウエア脅威に向けたものと思われる。多くの人が単なるいたずら程度にみなしていることに対して20年を設定することで、誤った考えを正している。マルウエアの生成と散布は重大な犯罪であり、今回の対策法案のもとでは重大な処罰を受けることになる。

オバマ大統領のサイバーセキュリティプラン(パート2)侵害通知法案

 ソフォスは続いて、サイバー犯罪対策法案で提議されている連邦セキュリティ侵害通知法案についても見解をまとめている。

 現在米国では、データ侵害が発生した際の通知について、47州が個別に州法を制定している。州によって要件や規定が異なるため、全米規模や国際規模で事業を展開する企業にとってはどのような場合にどのように報告すべきか判断が難しい。連邦セキュリティ侵害通知法案では、一定の条件を満たした個人情報を「Personally Identifiable Information」(PII)と定義し、1万人以上のPIIを保持している企業が準拠すべき統一基準を目指している。

 同法案のもとでは、企業はPIIの紛失または盗難に気付いてから60日以内に対象ユーザーに通知する。酌量すべき情状がある場合は、それを証明する書類を米連邦取引委員会(FTC)に提出することで、通知猶予期間を30日延期できる。

 ただしデータに適切な保護措置(暗号化)が施されていた場合、PIIの紛失または盗難を45日以内にFTCに報告するとともに、適切な保護措置であったことを証明する書類を提出すれば、通知義務は免除される。

 また、5000人以上のPIIが盗まれた場合、50万人以上のPIIを含むデータベースにセキュリティ侵害があった場合、連邦政府のデータベースにセキュリティ侵害があった場合などには、米国土安全保障省(DHS)への報告を義務づけている。

 ソフォスは、この連邦セキュリティ侵害通知法案を「適度なバランスを保っており、オバマ政権とサイバーセキュリティ対策調整官が各州法に配慮していることがうかがえる」と評価している。