第19回 過去10年の「情報セキュリティ10大脅威」にみる戦いの歴史：日本型セキュリティの現実と理想（5/5 ページ）

[武田一城，ITmedia]

これまでの10年とこれからの10年

　このように、「情報セキュリティ10大脅威」を一覧にしただけでも、これまでの10年間の内部不正や外部からの攻撃者と情報セキュリティ対策を施している防御側の戦いの変遷を見ることができた。

　その中で最も大事なことは、情報セキュリティを取り巻く環境が従来と大きく異なってきたという点だ。いまのサイバー攻撃は愉快犯ではなく、金銭目的の経済活動が圧倒的に主流だ。攻撃のための脆弱性情報や効率的に実行できるツールやサービスがネットの影で普及している。素人同然の人間でも、比較的容易に攻撃できる環境が整っており、手に入れた情報を換金できる地下マーケットも整備されていると言われている。

　もはや攻撃者は、「どこにあるのか」「本当にあるのか」も分からない宝物の情報を探すような投機的で一攫千金を狙う行動などしていないのかもしれない。この10年間は、優秀な攻撃者を、自己の技術だけを頼みにした個人のプレイヤーから、攻撃を事業とするビジネスマンに変質させた。彼らは、淡々と確実に金銭のある場所を狙う。その上で効率とスピードを重視し、それらのマネジメントも行い、攻撃を日々進歩させているのだ。

　しかし、残念ながら防御側はそれほど進歩していない。この数年で次世代ファイアウォールやサンドボックスなどの幾つかの効果的なツールの普及は進んだが、攻撃側の進化に比較すると、その足元にも及ばない。そもそも、「攻撃されている」ことに気づくこと自体が非常に難しく、だからサイバー攻撃は攻撃側圧倒的有利といわれる。しかも、この10年の間に攻撃者はさらに有利になり、かなりの差がついてしまった。

　情報セキュリティ対策は、どうしても大きな事件や事故があって、その攻撃手法への対策を都度講じるという流れになりがちだ。しかし、そのような場当たり的な行動を続けても、既に大差をつけている攻撃側は、その防御方法をやすやすと回避してしまうだろう。

　ただし、攻撃側が何を狙っているかを予想し、先回りして対策を施していれば状況は変わるはずだ。つまり、現在の「都度対策の体質」から脱却し、守るべき対象を明確にすること。そして、それを効率よく守ることのできるマネジメント体制や手法の確立がこれからの10年に求められるセキュリティ対策なのだ。

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）