今回は筆者にとって2005年最初の原稿なので,今年注目されるであろうセキュリティ・キーワードを解説したい。キーワードとしては,野村総合研究所が発表したIT市場予測などを踏まえて「個人情報保護」「ウイルス/ワーム対策」「バイオメトリクス(生体認証)」「フィッシング対策」――を取り上げ,それぞれのポイントについてまとめる。

個人情報保護――業務アプリのセキュリティ強化を

 個人情報保護法の全面施行を控え,企業では,個人情報保護への取り組みが急がれていることだろう。筆者が見聞きしている限りでは,クライアントPCやメールといった,ユーザー・レベルの個人情報保護については,ある程度進んでいるようだ。また,部署レベルのファイル・サーバーに置かれた共有データなどについても,情報の洗い出しが進み,対策が施されているようだ。

 しかし一方で,業務アプリケーションの対策については遅れているという印象を受けている。日々の業務に利用しているために止めることもままならず,「どういったデータを扱っているのか」「データをどのように扱っているのか」「どういったセキュリティ対策が施されているのか」――などを洗い出せないのが現状のようだ。

 とはいえ,まずはこれらを洗い出さないと,アプリケーションごとの対策を施せない。現状を洗い出し,必要に応じてセキュリティを強化することが急務だ。いくらクライアントPCなどのセキュリティを高めても,業務アプリケーションに収められた顧客情報を誰でもアクセスできるようでは意味がない。

 業務アプリケーションのセキュリティを強化するためには,以下の項目を実施すべきだろう。

  • アクセス・コントロールやユーザー認証方式の強化
  • アプリケーションの脆弱性の検証
  • アプリケーションの個人情報管理機能の強化
  • アクセス・ログの強化および見直し
  • アプリケーションとクライアント間の通信の暗号化

 なお,Webアプリケーションのセキュリティ強化については,情報処理推進機構セキュリティセンター(IPA/ISEC)が公開する「セキュア・プログラミング講座」が参考になる。

ウイルス対策――IPSや検疫システムで感染拡大を防止

 IPA/ISECが公開する情報でも明らかなように,ウイルス/ワームの脅威は留まるところを知らない。システムの脆弱性を突く機能や,キー・ロガー(ユーザーのキー入力を記録するソフトウエア)の機能などを備えるウイルス/ワームも出現しており,年々“巧妙化”している。

 巧妙なウイルス/ワームに対抗するためには,従来のウイルス対策だけでは不十分。そこで期待されているのが,2004年から話題になっているIPS(侵入防止システム)や検疫システム(検疫ネットワーク)である。

 IPSは,IDS(侵入検知システム)を“進化”させたシステムと言えるだろう。不正なトラフィックを検知すると,IDSはアラートを上げるだけだが,IPSではトラフィックを遮断するなどして防御する。もちろん,その分高い検知精度が求められることになる。

 多くのIPS製品は,既知の攻撃/ワームのパターンを収めた「シグネチャ」とのパターン・マッチングで検知する「シグネチャ検知」に加えて,“異常な振る舞い”から不正なトラフィックを検知する「異常検知」を備える。このため,未知の攻撃を防げる可能性があり魅力的だ。

 とはいえ,IPSも他のセキュリティ製品と同様に万全ではない。また,製品によって機能や性能,運用方法が異なり,導入環境によって最適な製品は異なる。導入前には十分検討したほうがよい。

 一方,検疫システムは,セキュリティに不備があるクライアントPCを通常の社内ネットワークに接続させない仕組み。これにより,ウイルスなどの持ち込みを事前に防げる。詳細については,本コラムの過去記事を参照してほしい。

 2004年は“話題先行”の感があった検疫システムだが,現在では,検疫機能を組み込んだネットワーク機器などが提供され始めており,対応製品が増えている。2005年は,確実に導入が進むだろう。