セキュリティの匠たちが注目する3つのトレンド（2/2 ページ）

[國谷武史，ITmedia]

悩ましいプライバシー問題

　各氏が注目するもう1つのトレンドが、プライバシー問題の増加だ。高橋氏は、「ITが生活に浸透し、ユーザーのプライバシーが思わぬ形で侵害されてしまうようになった」と指摘した。

　最近では、米大手SNSのFacebookのプライバシーに関する取り組みをめぐるニュースが話題を集めた。ヒッポネン氏は、オンラインサービスにおけるプライバシー問題を「もっと根本的な点から考えるべきだ」と指摘する。なおヒッポネン氏はFacebookを利用しておらず、その理由は同氏の仕事がサイバー犯罪対策であるためという。「サイバー犯罪者が悪用するサービスに、わたしの家族や友人の情報を公開したくはない」（ヒッポネン氏）

　ヒッポネン氏は、Googleが提供するサービスについても、ユーザーに慎重な利用を呼び掛ける。「ユーザーがGmailで友人とどのようなやりとりをし、YouTubeで何を見て、Google Mapsでどこに行ったかを知ることができる。Googleのポリシーしだいで、米国政府に情報提供もできてしまう」（ヒッポネン氏）

エキサイトの片山昌憲氏

　片山氏は、サイバー攻撃者が検索サービスを悪用する「SEOポイズニング」攻撃に注目する。SEOポイズニング攻撃は、ユーザーが旬のキーワードで検索することに付け込み、SEO対策をした不正サイトを検索結果に表示させてユーザーを誘導する手口である。「SEO対策の善し悪しではなく、検索という情報源が限られていることが問題だ。情報を集約する場は必要だが、誰でもサービスを使えるということは本当に良いのだろうか」（片山氏）

　高橋氏は、断片的な情報が組み合わされることで、重大なプライバシー侵害が発生すると見ている。例えば、ユーザーがGPS機能付きの携帯電話で日常生活の内容をブログに書き込んだ場合、携帯電話の設定やブログの仕組みよっては、ユーザーが意図せずに居場所や生活内容といった情報がオンライン上に公開されてしまう。高橋氏は、技術よりもサービス提供者のビジネスモデルや運用形態、ポリシーに起因するものであるとの見方を示す。「サービスを開発する際にプライバシー侵害を防ぐ仕組みを取り入れるべき」という。

サイバーディフェンス研究所の福森大喜氏

　これに対して福森氏は、「提供者側がユーザーに取り組みを伝えようとしても、なかなか理解してもらえないと思う。万が一Googleの社内に不正を試みる人がいれば、脅威を排除できない。このような脅威を防ぐ仕組みが重要になるはずだ」と提起する。だが高橋氏は、悪意を持った人物によって引き起こされるプライバシー侵害がないことを対外的に証明するのは難しいとの見方を示した。

　ヒッポネン氏は、ユーザーがプライバシーに対する意識を高めることの重要性を提起した。「GoogleやFacebookにとっての本当の顧客はユーザーではなく、広告主であることを理解すべきだ。広告主が求める情報を提供することで彼らは収入を得ている」（ヒッポネン氏）

　オンラインサービスにまつわるプライバシー問題は、技術よりも運用する人間による部分が大きいというのが各氏の見解であった。プライバシー保護の実現には、法律や社会的な規範を含めた取り組みが必要だとしている。

企業セキュリティのトレンド

　企業セキュリティに関する話題では、ここ数年にわたって企業での利用が広がるクラウドコンピューティングを切り口に、企業がセキュリティをどう考えるべきかという議論になった。

　まずヒッポネン氏は、クラウドのセキュリティでは利用形態に目を向けることの重要性を提起した。「企業セキュリティにとって、クラウドという新しい環境がリスクになるという意見がある。しかし、わたしは“救世主”にもなると考えている」（同氏）。F-Secureでは、3年ほど前からクラウドコンピューティング環境をマルウェア解析のために利用している。従来は研究者のコンピュータで収集したマルウェアの検体を扱っていたが、近年はマルウェアの発生が爆発的に増え、難しくなったという。クラウド環境を利用することで、必要なコンピューティングリソースを拡張できるため、マルウェア解析の時間短縮などが可能になった。ウイルス対策ベンダーでは、今後クラウド技術を利用したサービスが主軸になるという。

　これはセキュリティビジネスを手掛ける企業のクラウド活用事例だが、一般的な企業ではどのような課題があるのだろうか。高橋氏は、「例えばデスクトップ環境をクラウドに集約してシンクライアントにすれば、セキュリティ課題が解決するという意見もある。セキュリティ対策の重要性は変わらない」と指摘する。

　社員のデスクトップ環境をデータセンターに集約することで、セキュリティパッチの適用やウイルス対策ソフトの更新といった作業を管理者が一元的にできるようになる。この作業を社員任せにするという従来のセキュリティリスクは緩和されるものの、クラウド化によって作業そのものがなくなるわけではない。高橋氏は、クラウド化に伴うセキュリティ運用の変化をサービス提供者やユーザーが意識することの重要性を挙げている。

セキュアブレインのの星澤祐二氏

　また星澤氏は、クラウド環境を念頭に置いた企業のセキュリティポリシーが整備されていない点を問題に挙げた。「重要なデータを自社ネットワークの外に出すことの危険性について、十分に議論している企業はほとんどないように思う。将来的に影響が広がるのではないか」（同氏）

　ヒッポネン氏も同様に指摘し、セキュリティポリシーを考える上では、クラウドに対するサービス提供者とユーザーの考え方が異なる点を理解する必要性を挙げる。例えばメールシステムをクラウドサービスに移行させることで、ユーザーはメールを制御できなくなるという。「暗号化や監査、メールの消去にいたるまで、ユーザーが思うような運用ができなくなる。必然的にサービス提供者を信用せざるを得なくなる」（同氏）。

　しかしセキュリティポリシーは、セキュリティ対策の運用に不可欠な要素の1つであるだけに、一度策定されたものを簡単に変更することは好ましくないという考えもある。これに対してヒッポネン氏は、「15年ほど前は携帯電話のポリシーがなかっただろうが、今では不可欠になった。クラウドも同様であり、企業の担当者は動向に注視しながら積極的に対応を図るべきだ」と話した。

　同氏はむしろ、企業担当者がクラウド化を恐れて安易にセキュリティポリシーを設けてしまう危険性を指摘する。例えば情報漏えいを恐れてノートPCの社外持ち出しを禁止している企業では、営業職など社外業務の多い現場において残業が増え、社員の負担と人件費が増えるという弊害を抱えている。「企業として利益を出すために、賢いクラウドの使い方とセキュリティポリシーを考えていただきたい」（ヒッポネン氏）

　片山氏は、セキュリティポリシーに対する企業の考え方としてエキサイトでのケースを次のように紹介した。「オンラインサービス会社として競合分析をしなければならず、当社ではインターネット利用に厳しい制限を設けていない。しかし、セキュリティ事故に遭ったというほかの会社はSNSの利用も禁止していると聞く。セキュリティポリシーは過去の経験に基づくものだろう」

　鵜飼氏も「サイバー攻撃に遭った企業を支援する立場から言えば、特に標的型攻撃は本当に恐ろしい。ビジネスとセキュリティ対策を考えていくことは難しいテーマだ」と話す。

　企業は生産性や効率性を高めるためにITを活用するが、厳しいセキュリティ対策を実施することで相対的にITの活用度が下がるという問題に直面する。企業は、クラウドコンピューティングの出現を契機に、セキュリティ対策を根本から見直してみるべきだというのが各氏の意見だ。

---

　パネルディスカッションでは、このほかにもセキュリティ業界の話題について意見が交わされた。詳細な内容は、エフセキュアブログの動画でも見ることができる。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら