ウェブセキュリティ最前線--問題の解決への道

編集部注記：今回はウェブセキュリティの現状と将来について検証する、4回にわたるシリーズの最終回です。

1. グーグルが感じる「再取り組み」の必要性
2. 「パラノイド」：それはヤフーのセキュリティチーム
3. MSがデスクトップから学んだ教訓
4. 問題の解決への道

　ウェブは良くも悪くも、巨大な公的機関に匹敵する存在になっていることはほぼ間違いない。医療記録から金融投資まで、きわめて慎重な扱いを要するもっとも重要な消費者情報やサービスの宝庫と言える。

　ウェブベースのサービスは急速に、従来のデスクトップ用ソフトウェアに取って代わりつつあり、いつしかテラバイト単位の個人データを扱うようになってきている。無制限の電子メールストレージやウェブ2.0スタイルの新興企業によって、こうした流れはさらに加速すると思われる。

　だが、こうした欠くことのできない大量のリソースへのアクセスは、利益を最優先する少数の大企業によって管理されているのが通常だ。MicrosoftやGoogle、Yahoo、America Onlineといった大手企業が、世界の多くの人々が日常的に利用するようになったサービスの大部分を開発しており、もっとも慎重な取り扱いを要する機密情報の実質的な番人となっている。

　こうした状況から、当然の疑問が生じる。この状況で良いと言えるのだろうか？歴史が何らかの指針となるとすれば、きわめて不安をかき立てる答だが、われわれにはあまり選択の余地がないのかもしれない。

　不安はいろいろな度合いで存在するが、原因の大部分は、業界が基本的にはその場しのぎでウェブセキュリティを作っていることにある。MicrosoftやGoogle、Yahooのセキュリティ担当幹部が認めているように、企業は多くの場合、新しいウェブアプリケーションのセキュリティに、標準的なデスクトップセキュリティ技術を応用している。それで有効な場合もあるが、そうでない場合もある。

　「データは今では、オンラインでいつでも入手できる。じつに大きな標的だ」と、ウェブセキュリティの専門企業、SPI Dynamicsの調査責任者、Billy Hoffman氏は指摘する。

　Hoffman氏の仕事は、ウェブセキュリティの弱い部分を把握することだ。Hoffman氏が見るところでは、Microsoft、Google、Yahooのウェブ企業大手3社は、少なくともサーバ側のセキュリティ問題に関してはかなりよくやっている。まったく予測がつかないのは、Googleの守備範囲を離れてネットワークをたどり、ユーザーのパソコンにキャッシュされたデータがどうなるかだ。

　コンピュータサービス企業のComputer Sciences Corporation（CSC）などによれば、1999年以降、文書の90％以上がデジタル方式で作成され、米国のインターネットユーザーの42％以上がオンラインバンキングサービスを利用し、毎日1600億通の電子メールが送信されている。データが増えるにつれて、サーバとパソコンのウェブアプリケーション間を流れる情報を保護するのが難しくなる。マッシュアップなどのウェブ2.0技術が状況をさらに複雑にするのは言うまでもない。同時に、攻撃は増加する。

　要するに、われわれは、未踏の領域に足を踏み入れつつあるということだ。かつてない大勢の人々が、世界中に存在する多数のサーバやネットワークにばらばらに収められた膨大な量の個人情報を処理するために、増える一方の比較的新しいアプリケーションに依存しているのだ。そういったアプリケーションの中には、いまだ未完成の技術によって構築されたものさえあるというのに。こうした恐ろしい状況が背景にあり、管理が企業の手に委ねられていることへの懸念が存在するとなれば、ある種の独立した管理体制を求める声があがるのは当然と言えよう。