2010年に予想されるITセキュリティの課題

　2009年はセキュリティの分野においては重要な年だった。専門家は2010年も同じ傾向が続くと予想している。この記事を読んで、同意できるかどうか考えてみてほしい。

　2009年が重要な年だったのはなぜだろうか。犯罪者がサイバー空間で多くの金銭を稼ぐ方法を見つけたためだ。また、犯罪者の地下経済は、地上の経済よりもうまく回っている。

　この状況は2010年には変化する。専門家は、2010年にはこれまで以上に悪くなると述べている。私が読んだすべての予想で、サイバー犯罪者は今後も既存の脆弱性のある技術を悪用し続け、より効果的に悪用できる新たな脆弱性を見つけていくとされている。では、それらの予想のいくつかを見てみることにしよう。

eWeekの予想

　Brian Prince氏はeWeekの記事の中で、現状のサイバー犯罪者たちの成功は今後も続き、それに加えクラウドにも進出してくるだろうと予想している。

• 海賊版ソフトウェアが、危険を促進する。海賊版ソフトウェアのユーザーはアップデートをダウンロードするのを恐れており、このためセキュリティリスクにさらされている。
• ソーシャルエンジニアリングとソーシャルネットワークの組み合わせによって、侵害のリスクが高まる。犯罪組織のソーシャルネットワーキングサイトに対する攻撃は、日増しに洗練されてきている。
• 犯罪者たちはクラウドに進出する。2010年には、犯罪者がクラウドコンピューティングを活用し、効率性と有効性を向上させることになるだろう。

Verizon Securityの予想

　Russ Cooper氏のVerizon Security Blogに、2010年には特別な注意が必要だという記事を投稿している。同氏は高く評価されているセキュリティアナリストで、NTBugtraqの創設者でもある。以下に同氏の考えをいくつか挙げる。

• 各サービスは自社を守れるようになる。Facebook、Google、Twitter、TinyURLなどのサービスは、犯罪的なコンテンツをコントロールする力をより強めるだろう。
• マルウェアは進化しない。2010年にはマルウェアには大きな変化は起こらないだろう。ボットネットはより洗練されるが、動作の仕組みを変えるかも知れない。
• 消費者はより賢くなる。2010年には、消費者の知識レベルは上がるだろう。
• 政府や非技術系組織の間で、基本的なプロトコル（SMTP、DNS）に対する非難と不満が高まるだろう。

Help Net Securityの予想

　Help Net Securityは、Zscalarのセキュリティ研究担当バイスプレジデントであるMichael Sutton氏の予想を掲載している。Sutton氏も多く同様の懸念を述べているが、さらに次のことを付け加えている。

• Appleは市場シェアの拡大によって、Appleのデバイスを標的とした攻撃が増加し、同社はとうとうセキュリティに投資せざるを得なくなる。
• App Storeのセキュリティに関する検証は限定的なもので、開発者は明文化されていないAPIを使ったアプリケーションを紛れ込ませることができる。攻撃者は悪質なアプリケーションを受け入れさせるために、さらに前進するだろう。
• 経済的DDoS攻撃が登場する。クラウドベースのサービスは、実際の資源消費量に応じて課金される。攻撃者は人為的に攻撃対象の企業の費用をふくらませることを盾に取るようになるだろう。
• クリックジャッキングはソーシャルエンジニアリング攻撃で有効に使われており、今後はさらに流行するだろう。

ITProの予想

　ITProのStephen Pritchard氏は、同氏の2010年の予想として、いくつかのセキュリティ企業の意見をまとめている。この予想は興味深い視点を提供している。

• Symantecによればより大きなボットネットが登場することが予想され、このためスパムメールが増えると思われる。スパムはすでに配送される全メールの90％を超えている。
• ITセキュリティ企業Impervaによれば、サイバー犯罪は組織化されつつある。犯罪者は麻薬カルテルに似た、明白に定義されたサプライチェーンを運営している。
• ユーザーに所有しているコンピュータをコントロールするスケアウェアをインストールさせることは、犯罪者にとって効果的な収益ツールとなっている。このため、2010年にはスケアウェアがより一般的になるだろう。
• Windows 7は新しいOSだ。これはどんなセキュリティ上の改善も打ち消してしまう。新しいことがどれだけ不利なことかは、セキュリティアナリストに聞いてみればわかる。

共通の予想

　専門家たちは、いくつかの懸念については意見が一致している。以下に共通の懸念を挙げる。

• クラウドコンピューティング。クラウドはこれまで前例のない規模のストレージと処理能力を提供してくれる。より多くの企業がクラウドに移行し始めるとすれば、サイバー犯罪者も同様だ。
• データの漏洩。データセンターは規模の面でも機能の面でも成長し続けている。しかし、セキュリティはそれに追いついていない。2009年に起きたデータ漏洩は、2010年に起きるものに比べれば小さいものになるだろう。
• ソーシャルネットワーク。ソーシャルネットワークは奪われることを待つ熟れた果実だ。これは2009年のソーシャルネットワークの人気を考えれば、理解できることだ。この点についてはCooper氏をのぞく全員の意見が一致している。

私の予想

　2010年のセキュリティに関して、私がもっとも頭が痛いと考えているのは、以下に挙げるような、修正に多大な労力を必要とする問題だ。

• 必要不可欠だが、破綻しているシステムプロトコル。例えばDNSがそうだ。
• 組織に対し、その組織のウェブにアクセスしているユーザーに成り代わって、セキュリティ対策やプライバシー対策を行うよう納得させること。
• 新たな技術が開発されようとする際に、利便性とセキュリティのバランスを取ること。
• 先を見越して考えると、モバイルデバイスがサイバー犯罪者の視野に入っていることはわかっているが、ほとんど対策が行われていないこと。

最後に

　私はCooper氏の意見に賛成だ。われわれは2009年に多くのことを学んだ。ITセキュリティの分野ではすばらしい確信が起こった。後はわれわれ次第であり、2010年をいい年にすることは可能なはずだ。