1点目は、セキュリティに関する予算割り当ての対象が変わるというもの。これまではファイアウオールの導入のような境界線の防御に予算が使われてきたが、すでに「悠々と境界を越える攻撃がある」(同)ため、それだけでは意味がないという。
今後は、すでに行われた攻撃を発見し、対処する方法に関する予算が増えると予測する。Paller氏によれば、すでに米政府の予算割はそうした方向性が打ち出されており、「米政府は1年に20〜30億ドルが従来のセキュリティ対策。今後は同額を発見と対処に振り分ける」(同)そうだ。ただし、従来と新しい対策の予算が1対1というのは「極端なケースだと思う」と話し、通常の企業では新しい対策の予算が「多くても15〜20%程度」と予測している。
Paller氏が予測する予算の変化(画像をクリックすると拡大します)
Paller氏はまた、「セキュリティのプロに求められるスキルも変わる」と述べている。これまで、プロの中でも高度な技術スキルを持つのは「10%程度」(同)だったが、フォレンジック、数カ月のデータを分析できるネットワーク分析、リバースエンジニアリングといったスキルをもつ人材が求められると話す。ペネトレーション(侵入)テストでアプリケーションや業務プロセスもテストする必要があるほか、アプリケーションなどの技術監査は従来と異なり、実際に試験をすることが必要だという。そして最後にPaller氏は、「セキュアアプリケーションの開発」の重要性を指摘する。
求められるスキルの変化(画像をクリックすると拡大します)
その上でPaller氏は、「アプリケーションセキュリティイニシアティブ」を紹介する。詳細は省かれたが、「なぜプログラマーは、穴(欠陥)の多いソフトウェアを作ってしまうのか」(同)の対策となる指標だ。
昨年1月の報道では、8万7000のウェブサイトが欠陥によって書き換えられていたが、これが「今年5月には100万サイトに増えていた」(同)。2006年の調査でも、約4分の1のサイトにSQLインジェクションの脆弱性があったそうで、「この比率は今でもそれほど変わっていない」とPaller氏は指摘する。
2006年に調査した脆弱性のあるウェブサイトのトップ5(画像をクリックすると拡大します)
米農務省は、プログラマーに対してセキュアプログラミングのトレーニングを実施しているという。調達においても、納入前にセキュリティチェックを行う、プログラマーがセキュアプログラミングを学ぶ、という条件をつけたという。米エネルギー省では、システム管理者に対してマルウェアに感染しているかどうかを検知するトレーニングを行い、感染のサインを見極められるようにし、対策ツールの使い方を教えることで「ヒューマンセンサーネットワーク」(同)を構築したそうだ。
攻撃を知ることで防御できる
Paller氏によれば、深刻な問題は人材不足だという。「サイバースペースを守れるスキルを持つ人は1000人しかいない。2〜3万人が必要だ」と語るCIOもいるそうだ。
