セキュリティ技術面の予想(予想外な事態への対処)
PCレベルでは、Windowsの新OSの出現によってセキュリティ対策の見直しが開始される年になる。そこで求められるのは、システムの運用管理の現場に役立つセキュリティ対策、情報システムの脆弱性を見つけ出す技法が普及する。
データセンター事業者では周知の事実だが、2006年にクレーン船が電線を切断する事件が発生した。この時、関東の一部の地域で停電が発生し、ISMS認証取得している大手データセンターの一部がこの影響を受けた。UPS、自家発電設備を所有しているにも関わらず、サーバラックに電源が供給されない事故が起きたのである。幸いにも大きなニュースになっていない。
ここで言いたいのは、これまで安全と信じてきたモノが覆される事態が起きているということ。安全性を宣伝するデータセンター以外にも、情報セキュリティ製品の脆弱性を攻撃されるワームが登場してきたのが2006年だった。
2007年は、運用管理の現場レベルにおけるセキュリティ対策の見直しが起きると思う。これは新しいOS、セキュリティ製品、サービスの変更に直結するとは限らない。
新しいセキュリティ技術の登場によって、従来使用してきたセキュリティ対策との比較レポートが注目を浴び、既存システムの脆弱性を見つけ出すペネトレーションテストが浸透するかもしれない。情報セキュリティ責任者には、外部委託先の契約内容の見直し、コストパフォーマンスを意識した情報セキュリティ投資の見直しなどが求められてくるだろう。
コンプライアンス、法整備の動き
最後に法律の整備も忘れてはならない。Winny裁判の行方がどうなろうと、2007年は新技術を搭載したソフトェアの開発にブレーキがかかることは無いと確信している。ソースコードを持つ者は、本人がその気になれば別だが、技術的に防御機構を組み込む立場にある。ソフトウエアを創作する自由は、そう簡単には奪われることはないからだ。
それより個人的に注目しているのは、サイバー犯罪条約が各国でどのように整備されていくかだ。2007年は各国で議論される年になると予想する。やみくもに国内の法律の改正に反対し、国際的な視点を忘れてしまえば、対応しない(できない)事業者はいずれ国を超えたネットビジネスで優位性を失っていくからだ。
情報セキュリティに関する法律は、まだ発展途上にある。未然に防ぐセキュリティ対策以外の方法が効果を発揮してくるかもしれない。例えば、裁判の証拠を押さえるサイバーフォレンジックという技術がある。システムの専門知識を有するシステム管理者のサイバー犯罪に、サイバーフォレンジック技法を持つ専門家の活躍が2007年は起きても不思議ではない。
天災に伴う停電、悪質なウイルス、フィッシング詐欺、不正アクセスは2007年も減ることはないだろう。しかし、マネジメント面、技術面、法律の面からバランスをもって望めば、安心できるネットワーク社会を維持できる。2007年も安心できる年にしていきたい。