今年の情報セキュリティのトレンドは？

Ｓ＆Ｊコンサルティング代表取締役

2011.01.04

　昨年は、様々な情報セキュリティに関わる脅威が顕在化しました。主なものを以下に挙げてみます。

（１）国家レベルの機密情報の漏洩や流出
（２）クレジットカード情報の不正利用
（３）DDoS攻撃が政府機関だけでなく民間企業への脅迫に使われた
（４）ウイルスなどの攻撃プログラム売買がビジネスモデルとして広がりを見せた
（５）制御系システムへの攻撃プログラムの登場

　（１）に関しては今でも連日のように報道されているために情報セキュリティ専門家だけでなく、広く国民に情報セキュリティの重要性を認識させたものです。WikiLeaksも国家機密情報や大企業の機密情報の漏洩対策について再考を促すきっかけとなりました。特にWikiLeaksの場合には、内部関係者の正義感からの情報漏洩を誘発するもので、これまでの以下のような対策では十分でないことが課題として浮かび上がりました。

情報を盗もうとする悪い外部の人間を対象とした対策
セキュリティ教育による自覚の醸成

　さらにWikiLeaksでは世界中のネットユーザーを巻き込む戦略が衝撃となりました。WikiLeaksのミラーサイトが世界中で数千を超える数に上ったために、機密情報を削除することが不可能になったり、サイバーデモへの参加を呼びかける攻撃ツールが出回ったりするなど、ネットの秩序を揺るがしました。

　また、（5）の制御系システムへの攻撃プログラムは、未知の脆弱性が複数同時に使われるなど、国家レベルとも思われる高度な技術が使われました。核施設で検出されたため、米国の電力業界では、電力ネットワークへのテロの危険性があるとして対策に動き出すほどインパクトがありました。

　さて、それでは情報セキュリティに関してはどのようなことが動きがあるでしょうか。私は以下のようなテーマが今年のトレンドになるのではないかと考えています。

（１）内部情報漏洩対策へのシフト
（２）クラウドとスマートフォンのセキュリティが課題になる
（３）DDoS対策に向き合う
（４）クレジットカード情報の対策の本格化
（５）制御系ネットワークの対策の本格化

　内部情報漏洩対策を行うためには、「防ぐ」だけの対策では不十分で、「予兆の検知」「インシデントの検出」「速やかな事後対策」などについて真剣に取り組まなければいけなくなるでしょう。

　クラウドとスマートフォンは、企業システムがメインフレームからオープンシステムへ移行したのと同じくらいにインパクトのあるソリューションを生み出すとともに、Windows中心のセキュリティ対策とは違うソリューションが登場するでしょう。クラウドについては、プライベートクラウドが日本では主流となり、セキュリティの取り込みが遅れるのではないかと懸念しています。拡張性や利便性とコストメリットを最大のうたい文句にしているプライベートクラウドではセキュリティ機能の優先順位は低いのです。「プライベートだから安全」と考えたからプライベートクラウドを選択しているのですから。しかし、これまでよりも複雑なクラウドシステムですから、セキュリティ上の問題が生じてから後付でセキュリティ機能を入れると、より問題が複雑化する可能性が高まるのではないでしょうか。

　DDoS攻撃はこれまでは政府や大企業が対象でしたが、ネット系のベンチャーや中小企業もターゲットになる可能性があります。脅迫を受けてお金を払ってしまう企業が出てくると、裏社会のビジネスとして浸透してしまう危険性があります。一方、一昔前の対策では現在行われているDDoS攻撃に対して十分ではないことがあります。旧来型の対策の場合、契約している回線の容量を超えるような攻撃が行われた場合、効果を発揮しないのです。このため、対策の見直しに迫られる可能性があります。

　クレジットカード情報の不正利用は、もはや日常化しつつあります。私も昨年不正利用されましたし、みなさんの身近にも被害者はいるのではないでしょうか。当然、補填を行ったカード会社も被害者なのです。カード会社が主導して、クレジットカード情報の漏洩対策が進んでいくものと期待しています。忘れてはならないことは、クレジットカード情報が漏洩するということは、個人情報の漏洩も同時に行われている、ということです。

　制御系ネットワークはこれまで「クローズドだから安心」と言われて来ましたが、米国を中心にテロ対策の一環に組み込まれるようになると、日本としても当然取り組まざるを得なくなるでしょう。

　私は、昨年の様々な事象が対策として動き始めるのが今年であると考えています。むしろそうならないといけないとも言えるでしょう。みなさんの周りでも情報セキュリティ対策が進んでいくことを期待しています。