早いもので,2004年も2カ月が経過した。遅まきながら,今回および次回の記事では,2003年のセキュリティ動向を振り返るとともに,2004年のセキュリティ動向を予想してみたい。2003年の予測記事同様,筆者の主観に基づいて書かせていただく。その点をご了解いただきたい。セキュリティ・ベンダーのSEとして,セキュリティ・システム構築の現場に身を置く筆者が感じた2003年および2004年のセキュリティ動向をお伝えできれば幸いである。
2003年後半の予想はどうだったか?
まずは,筆者が2003年7月に予測した2003年後半のセキュリティ動向が的中したかどうかを見ていこう。定量的な評価を提示できないものが複数あるが,ご容赦いただきたい。
2003年7月の記事では,2003年後半のセキュリティ動向を以下のように予想した。
(1)セキュリティ・ポリシーの作成および導入が進む
(2)ログ収集および分析の必要性が再認識される
(3)セキュリティをアウトソーシングする企業が増える
(4)侵入検知システム(IDS)の導入が進む
(5)Web経由のウイルスを検出するウイルス対策に注目が集まる
(6)SSL-VPNの導入が進む
まず(1)については,確実に導入が進んでいるといえる。情報セキュリティ管理認証である「ISMS認証 Ver.2.0」の取得企業が増えているからだ。取得企業数が2003年7月時点では174社だったものが,現在(2004年3月時点)では334社に増えている。取得を考えているという企業の話もよく聞くので,今後さらに増えるだろう。
次に(2)についてだが,セキュリティ・ポリシーにはログの記録および収集を明記していることがほとんどなので,(1)が増えていることから(2)についても認識されていると言ってよいだろう。とはいえ,収集の必要性の認識は高まっているものの,統合的に管理および分析する段階にはなっていないようだ。企業ユーザーとしては「何かあった場合にログをとりあえず保管しておこう」といった意識が強いようだ。
情報セキュリティ管理を実施するには,単に収集するだけでは不十分である。「何かあった場合」,すなわち,インシデントの発生をいち早く検知するには,日常的なログ分析が必要だ。ログ分析は,今後期待される分野である。
(3)のアウトソーシングについては,予想した程度に進んでいるとは言いがたい。電子商取引(EC)システムといった,ある一部分をアウトソーシングする例は増えているが,システムのほとんどを任せるケースは少ない。企業としては,セキュリティを維持することの困難さを実感しているものの,2003年前半同様,企業の情報システム部門で対応しているのが現状のようだ。
とはいえ,相次ぐ情報漏えい事件を受けて,「社内で運用しているから大丈夫」とは言えなくなっている。今までは「重要な情報の管理についてはアウトソーシングできない」としていたものが,今後は「重要な情報の管理だからこそ,信頼のおけるセキュリティ・ベンダーにアウトソーシングする」といったケースが増える可能性がある。
(4)のIDSについても,筆者が知る限りではあまり進んでいない。「IDS分野では目立った動きがない」というのが,筆者の正直な感想だ。ただし,現在ではIDS機能を併せ持つ,ファイアウオールやアンチウイルスのアプライアンスが多数市場に出ている。表面には現れていないだけで,これらのアプライアンスのIDS機能が利用されている可能性はある。
(5)では,筆者はWeb経由で侵入するウイルスを強調したが,実際には,Web経由を含む,すべてのウイルス対策に注目が集まっている。特に,2003年8月に出現した「Blaster」によって,ネットワーク経由で感染するウイルス(ワーム)に注目が集まっている。これについては,次回執筆する予定の,2004年の予想で詳しく述べたい。
(6)のSSL-VPNについては,具体的な数字は出せないものの,確実に伸びてきているといえる。案件が増えているとともに,製品ラインナップも増えている。今や,リモート・アクセスのソリューションの一つとして認知されたといえるだろう。
以上をまとめると,(1)と(6)については「○」,(5)については「△」,(2)(3)(4)については「×」といったところだろうか。
2004年はどうなる?
2003年後半の予想は正解率はそれほど高いとはいえないが,気を取り直して2004年のセキュリティ動向を予想してみたい。予想の前に,2003年後半および現在までに,セキュリティ分野で何が話題になったかを振り返ろう。2003年後半から現在に至るまで,次の2つが話題になったことには異論がないだろう。
(1)対策が進んでいるはずなのに,減少しないウイルス被害
(2)セキュリティ・ポリシーの導入が進んでいるはずのに,相次ぐ情報漏えい
まず,(1)について振り返る。ウイルスの届け出先機関に指定されている情報処理推進機構(IPA,旧 情報処理振興事業協会)のまとめによれば,2003年に届け出が多かったウイルスは以下の通りである(いずれも変種を含む)。
ウイルス名(件数) | タイプ |
---|---|
Klez(4538) | メール機能悪用+セキュリティ・ホール悪用 |
Sobig(2241) | メール機能悪用 |
Swen(1673) | メール機能悪用+セキュリティ・ホール悪用 |
Bugbear(1602) | メール機能悪用+セキュリティ・ホール悪用 |
Fizzer(1090) | メール機能悪用 |
Mimail(833) | メール機能悪用+セキュリティ・ホール悪用 |
Redlof*(803) | メール機能悪用+セキュリティ・ホール悪用 |
Yaha(454) | メール機能悪用 |
MSBlaster(445) | セキュリティ・ホール悪用+ネットワーク感染型 |
Welchia(307) | セキュリティ・ホール悪用+ネットワーク感染型 |
*RedlofはWeb経由でも感染する
やはり,メールで感染を広げるウイルスが上位を占めたものの,Web経由でも感染する「Redlof」の届け出件数も多かった。また,件数はそれほど多くはなかったものの,「Blaster(MSBlaster)」や「Welchia」がもたらした衝撃は大きかった。「きちんと対策を施していたつもりだったが,不十分だった」と感じたユーザーや管理者は少なくなかっただろう。Blasterをはじめとする,2003年に出現したウイルスにより,
- 危険なセキュリティ・ホールは必ず狙われる
- セキュリティ・ホールが発見されてから短期間でウイルスが出現する
- ウイルスの感染経路はメールばかりではない
- ネットワーク経由で感染を広げるウイルスは特に危険
- LANへのウイルス侵入を許すと,大きな被害を招く
といったことが十分認識されたはずだ。
(2)については,最近でも話題になっているので改めて述べるまでもないだろう。個人情報保護法が2003年5月に成立したにもかかわらず,2003年以降,情報漏えい事件が毎月のように起きている。事件を起こした企業は,被害者へのおわびや信頼回復に莫大な費用と時間を費やしている。
以下に,2003年に発生した主な個人情報漏えい(流出)事件を示す。
1月 | あおぞら銀行 | およそ1000件の顧客情報を流出させた |
2月 | 河合塾 | 7381人分の個人情報を不正に持ち出された |
3月 | オリコ | 1万5000人分の顧客データを不正に持ち出された |
4月 | 住友生命 | 2800人のメール・アドレスを誤送信した |
6月 | ローソン | 56万人分の個人情報を流出させた |
7月 | リコー | 帯広市役所の6万件以上の戸籍情報を紛失した |
8月 | JCB | 1500人分の個人情報を紛失した |
9月 | アプラス | およそ8万件の顧客情報を流出させた |
10月 | ファミリーマート | 4337件の会員の個人情報を流出させた |
2004年になってからも相次いでいる。ソフトバンクやジャパネットたかたなどの漏えい事件については,大きく報道されているのでほとんどの方はご存じだろう。
今まで企業は,外部からの不正アクセスによる情報漏えい対策に注力していた。しかし,2003年以降の事件を見ると,その多くが内部犯行や作業(操作)ミスによるものだ。情報漏えい事件を一度でも起こしてしまうと,信頼を回復することは容易ではない。最悪,倒産する可能性もあると言われている(詳細については,NPO日本ネットワークセキュリティ協会発行「2002年度情報セキュリティインシデントに関する調査報告書 第2部」などを参照のこと)。
以上,2つのポイントを踏まえた上で,2004年には以下のような動きが進むと筆者は予想している。
(1)ISMS認証取得を意識したセキュリティ・ポリシーの作成と導入
(2)プライバシマーク(Pマーク)取得を意識した個人情報保護対策
(3)各クライアント・マシンのパッチ適用状況の管理
(4)より力を入れたウイルス対策
(5)システムによる情報漏えい対策
(6)検疫システム(パッチ適用やウイルス対策が不十分の機器は接続させないネットワーク)の導入
(7)社員への教育
(8)新たなセキュリティ技術と製品の出現
(8)については,予想というより,期待を込めた願望に近い。以上に述べた2004年のセキュリティ動向の具体的な内容は,次回の記事で紹介する予定である。
小杉 聖一 (KOSUGI Seiichi)
NECソフト株式会社 サーバソリューション事業部
iネットソリューションG
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。