Web 2.0時代のセキュリティに求められるもの--セキュアコンピューティング

Web 2.0で起こった変化

Murphy氏

　1980年代のセキュアOSでは、現在のようなインターネット接続が想定されていたわけではないのだが、セキュリティの基本原則は実は大きくは変わっていない。

　セキュアOSでは、システムをさまざまなレイヤに分割し、レイヤ間のコミュニケーションをセキュアにする、という設計が行なわれた。ネットワークへの対応は、新たなコミュニケーションレイヤを追加することになったが、根本原則は同じなのだ。ただし、このネットワークレイヤは非常によく利用され、大量のデータが通過するレイヤに成長しているため、ここでセキュリティを確保することが有効だということで、現在の対応はネットワークレイヤに重点を置いたものとなっている。

　インターネットのセキュリティを取り巻く状況は、この2〜3年で大きく変化した。2003年〜2004年頃のセキュリティと、現在の2008年のセキュリティとでは、まさに「時代が変わった」といえるほどの変化がある。

Grant Murphy氏

　現在、インターネット・アプリケーションは、完全にインタラクティブなものとなった。単に大量のデータやコンテンツがユーザー側にダウンロードされるだけでなく、アプリケーションを利用するユーザー側からコンテンツをアップロードすることも行なわれる。

　この結果、こうした新しい技術を利用する企業では、従来型のセキュリティ技術は利用できなくなっている。調査によれば、企業の85％はWeb 2.0に対応したセキュリティ技術を導入していないという結果になった。ほとんどの企業のセキュリティはまだ1.0の段階なのだ。

　ビジネス面での要請から、ユーザーはWeb 2.0アプリケーションの利用を望んでいる。Web 2.0にはビジネス上のメリットがあると認識されているのだ。

　一方、セキュリティ面からみると、Web 2.0には従来とは異なるセキュリティリスクが存在している。そこで、Web 2.0のメリットをビジネスに活かしつつ、同時にそれに対応する企業向けのセキュリティ対策が必要とされているのだ。

　Web 2.0には、RIA（Rich Internet Application）、AJAX、SaaSといった技術が含まれる。現在では、Webを使うこととアクティブコンテンツを利用することは同義である。大量のコンテンツを生成するアプリケーションがWebブラウザの内部で実行される。つまり、ユーザー側での「コードの実行」が伴うのだ。とはいえ、コンテンツの配布元が「信頼できるかどうか」を判断し、「実行しても大丈夫か」をユーザーが的確に判断するのは困難だ。結果として、ユーザーおよび企業はセキュリティ上の危険にさらされている。

Web 2.0のセキュリティリスクに対応するSecure Computingの技術