セキュリティ対策予算は拡大し、技術的な選択肢も十分すぎるほどに揃ったが、それでも2003年は情報セキュリティの専門家にとって混乱の年であった。
インターネットビジネスのプロセスや新しい技術、規制の増加などがあいまって、新しいセキュリティ上の懸念を生んだ。こうした懸念は、すでに手一杯だったセキュリティ担当者に押し付けられた。さらに2003年は、数多くの悪質なコードによる攻撃の影響で、ビジネスを妨害され、非常時への対応と多大な残業を強いられた。
セキュリティは2004年も引き続きホットな話題となるだろう。しかし、一般的な話題は同じでも、個別の注目点は異なってくる。2004年の注目事項は次のようなものになるだろう。
破壊的コードはさらに悪質化、攻撃も増加
SQL SlammerやMSBlast、SoBig.Fのような「破壊的ソフトウェア(マルウェア)」のせいで、2003年は電脳史上最も費用のかかる年であった。この傾向は2004年も続く。複数の脅威が融合され、人件費を圧迫し、人的な働きかけによって情報をだまし取る動きが拡大している状況からも、悪者たちがより賢くより卑劣になり、組織化が進んでいることがわかる。米Microsoftに対する非難は都合のよい言い訳として2004年も使われるだろうが、賢明な最高情報責任者(CIO)は、全社的ウイルス対策やサーバの強化、パッチ管理の統制化、そして最後になるが最も重要な、絶え間ない警戒体制の実施など、直接的な行動をとるだろう。
セキュリティアプライアンスの充実
ミラノやニューヨーク、パリのブティックからの噂では、セキュリティアプライアンスがファッション業界にもやってくるという。市場は、米Symantecの5400ラインなどの多機能アプライアンスで、ファイアウォールやVPN(バーチャルプライベートネットワーク)、ウイルス対策機能、コンテンツフィルタリング機能などが統合された製品であふれかえるだろう。また、Windowsベースのセキュリティアプライアンスの増加も予想される。笑ってはいけない。Microsoftはアプライアンス市場での戦い方を知っている。それはMicrosoftがネットワーク上のストレージ事業で築き上げた支配的地位を見ればわかることだ。Windowsのセキュリティアプライアンスは、Active DirectoryとMicrosoft Operations Managerに依存している店舗にとっては非常に理にかなったものなのだ。
侵入防止製品の売り文句の激化
境界セキュリティの分野での勝敗は、どの製品が攻撃を徹底的かつ最も効果的に阻止できるかにかかっている。IT関係者は、「アプリケーション認知型」のファイアウォールを米Check Pointや米Cyberguard、米NetScreenから購入するか、それとも侵入防止システム(IPS)を米TippingPointや米TopLayer Networksから購入するかを決めなければならないだろう。どちらにしろ、使い古しのソフトウェアを基盤とした多数のファイアウォールをこれらの新世代ファイアウォールやIPSデバイスに置き換える費用が多く投じられるだろう。
セキュリティアーキテクチャ保護の強化
顧客は、さらに階層化の進んだ電子メールやコンテンツのフィルタリング、ウイルス対策などを安価に選択し、構築できるようになるだろう。このセキュリティ業界の経済状態と偶然の幸運が、増える一方の悪質なコードの脅威との戦いに役立つだろう。さらに、ITの現場では、社内のファイアウォールとバーチャルLANにより、ネットワークを安全なドメインに切り分けられるようになるだろう。ネットワークのディレクトリと、動的ポリシーに基づいたセキュリティや一歩進んだ監査機能を提供する認証サーバに特化した製品が出るのを待とう。
ポリシー、プロセス、教育がやっと注目される
最高情報セキュリティ責任者(CISO)を採用する傾向が進み、これらの賃金の高い人々が、ファイアウォールログの監視やウイルス定義ファイルの更新以上の業務を実施するようになる。彼らの最初の仕事は、現行のセキュリティオペレーションの評価と、必要な変更点についての行動計画づくりだろう。CISOがセキュリティポリシーの改革と企業文化にセキュリティを注入する試みに成功することに期待しよう。後者はとくに難しいが必要なステップだ。この動きは、サービスプロバイダ各社や、コンサルタントである米Accenture、米IBM Global Services、米Unisysなどにとってはおいしい話である。
戦略的プロジェクトの優先順位が高まる
CISOの出現により、IT関係者は、セキュリティとビジネスプロセスの間で増加している重複事項の見直しを強いられるだろう。これに刺激され、次のような疑問に対する前向きな調査が進むことになるだろう。その疑問とは、ポリシーに基づいたセキュリティは顧客によりよいサービスを提供するのか、企業規模のID管理はプロセス整理とコスト削減を実現するのか、集約的セキュリティ管理によりセキュリティを改善しつつ人員を削減することができるのか、などだ。直接には事実解明以上の成果は期待できないが、数年間の活動の後には、この戦略的な活動が喜ばしい変化となるだろう。
資金の動きは引き続き強力
2003年末に、Check Pointが米Zone Labsを買収し、米VeriSignが米Guardentを手に入れた。米Cisco Systems、Microsoft、米Network Associates そしてSymantecなどの大手も、セキュリティ関連企業を獲得した。合併や買収の動きは今年も加速し、また新規株式公開(IPO)を実施する企業もいくつかあるかもしれない。これらはすべて、セキュリティ関連の大手企業たちがゴリラのような巨体をもてあましながら業界の支配的地位を巡りしのぎを削るなかで、業界の整理統合が進んでいることを示している。
セキュリティの真理が明らかに?
セキュリティの問題は、これからもゆっくりと企業に認知され、文化に浸透し続けるだろう。しかし奇跡を望んではいけない。世界のセキュリティの見方とビジネスの見方の間には、いまだに大きな溝があるからだ。とはいえ、赤ん坊並みの歩みであっても、セキュリティ業界と企業保護にとって2004年をよい年にする材料になるだろう。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」