すでに言われて久しいが、今や情報セキュリティ犯罪は、ハッカーが自分の技術力をひけらかすための愉快犯的なものから、明らかに金銭目的のものに移っている。以前の犯罪は、出来るだけ大勢の人に問題を起こし、それによって世の中で大きな話題となり、それを仕掛けたことを自慢するようなものが多かったので、狙うのも、たとえばMicrosoftのWindows OSのセキュリティホールを見つけ、そこに侵入して何かをしでかす、というような場合が多かった。
これに対してMicrosoftは、一時セキュリティの甘さを指摘され、市場でも叩かれたため、かなりの勢力をかけてその解決にあたった。その結果、セキュリティホールは少なくなり、また、セキュリティホールが見つかった場合も対処が早くなったようだ。また、アンチウィルス・ソフトウェアの普及とも相まって、このようなタイプのアタックへの対応は、ある程度整備されてきたと言える。
一方、最近の金銭目的のアタックは、狙う企業等もはっきりしている。世の中全体になど、むしろ騒がれないほうがよく、その企業だけにうまく侵入し、金銭的な利益を得ようとするものだ。そのためには、OSのようなどの会社でも共通で、メーカーのMicrosoftもセキュリティを強化し、アンチウィルス・ソフトウェア会社もすぐにウィルスへの対応をするようなものを狙うのは必ずしも得策ではない。
そこで狙われるのが、アプリケーション・ソフトウェアだ。実際、最近のソフトウェアのセキュリティ問題の90%近くは、アプリケーション・ソフトウェアへのアタックだという調査報告も出ている。アプリケーション・ソフトウェアは、企業それぞれが持っているものなので、そこにセキュリティの問題があっても、なかなか見つけ難い。メーカーがセキュリティ・ホールを埋めてくれるわけでもなく、アンチウィルス・ソフトウェア会社が守りを固めてくれるわけでもない。会社自身で守らなければならないからだ。
このような状況に対し、米国の各企業は、すでに対応が進んでいる。ひとつの方法は、完成したアプリケーション・ソフトウェアに対し、使用する前に十分なセキュリティ・テストをかけることだ。もうひとつは、ソフトウェアを開発する過程に対し、セキュリティ問題が発生しないような開発方法をとり、また、いくつかのチェックポイントをもうけ、その時点でセキュリティに問題がないか確認してソフトウェア開発作業を実施する方法だ。通常の場合、この両方を併用する場合が多い。
アプリケーション・ソフトウェアの場合、このようなことを実施するのは、実は簡単ではない。それは、アプリケーション・ソフトウェアの中には、自社で開発したものばかりでなく、外部企業に開発を外注したり、市場に出ているオープンソース・ソフトウェアをベースに使用する場合があったり、また、パッケージとして販売されているアプリケーション・ソフトウェアを購入して使用する場合もあるからだ。
これらそれぞれに対して、どのようなセキュリティ対策をとるか、企業は頭を悩ましている。実際、これらのことをきちんと実施するためには、かなりの体制とコストをかけなければならない。しかし、セキュリティ問題が発生した場合の重大なロス(金銭的なものや、会社の信用失墜という、金額換算が難しいものまで)を考えると、それは、やらなければならないことであり、米国の主な企業は、すでに数年前から実施している。
アプリケーション・ソフトウェア・セキュリティについて、米国ではこのようにここ数年大きな話題となっており、企業も積極的に対応しているが、日本では、あまりアプリケーション・ソフトウェア・セキュリティについての話題を聞かないのは、少々心配だ。セキュリティの話なので、あまり積極的に話はしていないけれども、それぞれの企業がきちっと対応しているというのであればよいが、少しこのあたり、手薄になっているのではないかと心配している。
日本では、皆が話題にするとあっという間に何事も広がる傾向がある。情報セキュリティについても、数年前に個人情報保護法が施行されて以来、個人情報保護については、米国から見ると過度にも思われるほど注意し、かえって日ごろのオペレーションに不便をきたしているところもいくつか見受けられる。しかし、ほとんど日本で話題に上ってこないアプリケーション・ソフトウェア・セキュリティはどうだろうか? 今やアプリケーションの多くはウェブベースになっており、ハッカーからも狙われ易い状況になっている。もう一度自社のこの分野に対する体制を確認し、アプリケーション・ソフトウェアに対するセキュリティ対策を万全にする時ではないだろうか。
(12/01/2009)
メディア通信トップページに戻る