2004年度もあとわずか。今年度(2004年4月~2005年3月)もセキュリティに関してさまざまな動きがあった。そこで今回ならびに次回の記事では,2004年を振り返るとともに,2005年のセキュリティ動向を予測する。まず今回の記事では,今年度のセキュリティ動向を思い返しながら,1年前に筆者が執筆した「2004年のセキュリティ動向の予想」がどの程度的中したかをみてみよう。
2004年3月時点で,2004年は以下の動きが進むと筆者は予想した。
(1)ISMS認証取得を意識したセキュリティ・ポリシーの作成と導入
(2)プライバシマーク(Pマーク)取得を意識した個人情報保護対策
(3)各クライアント・マシンのパッチ適用状況の管理
(4)より力を入れたウイルス対策
(5)システムによる情報漏えい対策
(6)検疫システム
(7)社員への教育
(8)新たなセキュリティ技術と製品の出現
以上のうち,特に「相次ぐ情報漏えい事件を受けて,Pマークの取得とWBTによるユーザー教育が進む」「より確実なウイルス対策として検疫システムの構築が進む」——の2つを強調した。実際のところ,どうだったろうか。
取得企業は着実に増加
まず,上記(1)や(2)に関する話題として,「ISMS認証」と「Pマーク」に関して振り返ってみよう。結論から言うと,筆者の予想通り,いずれについても取得企業は着実に増加している。
ISMS認証については,2004年4月時点での取得企業は408社,2005年3月23日時点では683社だった。つまり,2004年度中に取得した企業は275社だった。一方,2003年度中の取得企業は256社だった。“急増”とはいかなかったが,着実に増加しているとはいえるだろう。実際,筆者はセキュリティ・コンサルタントとしてさまざまな企業のコンサルティングをしてきたが,2003年と2004年を比較すると,手がけた企業数はほぼ同じくらいだ。
Pマークについては,2003年度中には286社が取得したのに対して,2004年度は368社が取得した。こちらについても,着実に増加している。2004年11月には,取得企業数は1000社を超えた。
ISMS認証やPマークの取得企業が増えている原因としては,4月からの個人情報保護法の全面施行に向けて,各企業が最優先で個人情報保護に取り組んでいるためと言えるだろう。
大規模なウイルス被害は聞かれず
「より力を入れたウイルス対策」についてはどうだっただろうか。2003年度中は,テレビや一般紙/誌などでウイルス被害が大きく報道された。実際筆者などは,ウイルス被害に遭った企業への対応に追われた。また,ウイルス被害が予想される時期には,それに対応するための体制を整えていた。
しかし幸いなことに,筆者の記憶では,2003年度中に見られたようなウイルス被害に関する報道は2004年度にはなかった。筆者自身も,大きなウイルス被害の事例を耳にすることはなかった。とはいえ,ウイルス自体が減少しているわけではない。ウイルスの届け出先機関である情報処理推進機構(IPA)によると,2003年度のウイルスの発見報告件数は1万7425件だった。それに対して2004年度の報告件数は5万2151件で,実に3倍になっている。
これだけの発見報告が寄せられているにもかかわらず,大きなウイルス被害があまり聞かれないのは,ほとんどの企業がウイルス対策に力を入れているためだといえるだろう。また,あくまでも筆者の主観ではあるが,企業向けウイルス対策ソリューションを既に導入している企業でも,2004年度には,Webアクセスのウイルス対策ソリューションを新たに導入した企業が多かったように感じている。
検疫システムの導入は進まず
最後に,「検疫システム」について考えてみる。各ベンダーからはさまざまな製品/ソリューションが提供され,相変わらず注目はされているものの,筆者の予想に反して導入はあまり進んでいない。筆者もこの1年間,いくつかの企業に提案してきたが,興味は示しても,本格的な導入には踏み切らないのが実情である。
なぜ本格的に導入しないのか?
理由はいろいろ考えられるが,まず第一にコストの問題が挙げられる。導入コストが,企業が想定している金額よりも大幅に高くなってしまう。
そしてもう一つ。「検疫システムは,いきなり導入できるものではない」ということだ。導入できるような体制/システムをまずは構築する必要がある。お金だけの問題ではないので,こちらのほうがコストの問題よりも大きいかもしれない。
もう少し具体的に話そう。検疫システムは,企業ネットワークに接続するパソコンの状態をチェックするだけのシステムではない。「監視」「隔離」「治癒」——の3つの機能を実現する必要がある。これらを実現するためには,まずは,企業の保有しているパソコンやサーバーなどの資産をきちんと管理する必要がある。そうしなければ,接続されようとしているパソコンが,接続を許可されているパソコンなのかどうか分からない。
また,セキュリティに不備があるパソコンを隔離するためのネットワークや,隔離したパソコンを“治癒”する仕組み——ウイルス定義ファイルや修正プログラムなどを適用する仕組み——も必要だ。これらはすぐに構築できるものではない。
実際に検疫システムの導入を考えている企業でも,2004年度はこれらの“基盤”作りに追われていたところが多かったようだ。そういった企業では,2005年度から本格的に導入を開始する予定である。このための予算を確保している企業も多いと聞く。
以上,筆者の1年前の予測を検証しながら,2004年のセキュリティ動向を簡単に振り返ってみた。スペースの都合ですべての予測を検証することはできなかったが,「認証取得が進む」「ウイルス対策に力を入れる」については,的中したといえるだろう。一方,「検疫システムの導入が進む」については時期尚早だった。
さて,次回の記事では,2005年度のセキュリティ動向を予測してみたい。特に,「ネットワーク認証」について筆者の考えを述べる。これには,検疫システム(PC検疫)が含まれる。ネットワーク認証は,ネットワーク・セキュリティにおいて重要なポイントになると筆者は予想している。
「IT Pro Security」が提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
