2014年1月12日日曜日

2014年情報セキュリティ予想

かなり長期間、ブログ更新をサボってしまいました。今年はもう少し真面目にあれこれ書いていこうと思っていますが、とりあえず、今年(を含めた今後)の傾向をちょっと占ってみましょう。

2014年情報セキュリティリスク予想



犯罪のIT化


・これまで、ITによる犯罪は「サイバー犯罪」というカテゴリに分類されてきたが、近年顕著になっている傾向として、従来からの犯罪形態においてのIT利用(悪用)が進んでいる点がある。今年は、それらが一層顕著になっていくだろう。また、それに伴って、「サイバー犯罪」というカテゴリ自体が「犯罪」全体の多くのポーションを占めることになり、カテゴリとしての意味が薄れていく可能性もある。これに伴って、犯罪の防止や取り締まりにおいても、全般的にIT活用を進めていくことや、ITと従来型の犯罪対策や捜査手法を組み合わせていくことも必要が高まるが、現在の「サイバー」を特別扱いしている風潮のもとでは、対応が後手に回る可能性も高い。

マルウエアの進化と隠れ感染の拡大


・犯罪のIT化が進むことにより、その道具としてのマルウエアのニーズがさらに高まると思われる。一方で、対策も従来型に加えて、通信やコンピュータの挙動を監視する技術などが進化していくため、こうした技術との競争が激化すると考えられる。通信検知を避けるために、内部に入り込んだマルウエアが外部との通信なしで自律的に活動できるような仕組みの開発も進むと考えられ、検知はさらに困難になっていくと考えられる。これに伴い、一般のITユーザや企業の情報システム内のPC、サーバに潜伏したまま発見されないマルウエアの数が激増し、社会全体にとって潜在的な脅威となる可能性がある。

人材育成の偏り


・昨今、セキュリティ人材育成のかけ声は高いが、その内容は、「高度な技術者」育成に偏っている。一方で、複合的な原因によるセキュリティインシデントへの対応においては、各分野の「高度な技術者」をいかに、適切に現場にアサインし、全体の状況判断をしながら対応全体を管理していくかを考える指揮系統が不可欠となる。とりわけ、大企業や社会をまきこんだインシデント対応では技術者同士の自律的な連携には限界があり、対応が十分に行えない可能性が高い。今後発生するであろうインシデントでは、こうした問題から対応が十分でなかったり、結果として何度も再発を繰り返すようなことが頻発する可能性がある。

・また、こうした指揮系統をになう人材抜きで専門人材のみを大量に育成すれば、(専門技術者を活かす力の欠如によって)結果的に供給過剰が生じかねず、生活に困った余剰人材が犯罪側に流れてしまう可能性も出てくる。

不十分な対策が原因となるインシデントのさらなる顕在化


・ここ数年で話題となったセキュリティインシデントの多くが、古くから提唱されてきた基本的なセキュリティ対策の欠如を切り口として発生している。一方、こうした基本的な対策は、セキュリティ人材ではなく、IT人材全般のセキュリティに関する意識と知識を底上げしなければ実現しない。現在、こうした取り組みはきわめて遅れており、今後もこうした問題から発生するインシデントの数は、「セキュリティ人材」の増加にもかかわらず減ることはないだろう。

・また、結果として、高度な教育を受けたセキュリティ人材が、こうした基本的な事項が問題のセキュリティインシデント対応にあたるケースも増加すると思われ、こうした技術者自身のモティベーションやモラルを低下させてしまう危惧もある。そこにダークサイドのつけいる隙が生まれる。

サイバーテロリズムの活性化


・サイバー攻撃は、きわめて非対称戦向きの手法であり、これまで以上に、テロリストが大規模なサイバー攻撃を仕掛ける危険性は高まるだろう。周到な準備により、極論すれば、たった一人でも国家を相手に戦えるサイバー戦では、同時多発的に問題を顕在化させることによる社会的混乱を発生させることを主目的とする。一人の攻撃者が、あらかじめ仕掛けた多数のマルウエアを制御できる一方で、対応側は個別対応を余儀なくされる。こうした事件が発生する可能性は、一層高まっていくだろう。


正直言うと、あまり明るい見通しではありません。こうした状況を防いで行くには、ITサイドとしてIT全般を見据えたセキュリティを考え、ユーザ、IT技術者、セキュリティ専門家という階層構造で対応を考えていくことだろうと思っています。また、ITのみではなく、防衛や犯罪対策における従来からの手法とITの融合も加速していく必要があるでしょう。なかなか簡単ではありませんが、微力ながらこうした部分でも役に立っていけたらと思っている次第です。