テスラ・モーターズ、YouTube、LinkedInなど、近年注目されている企業を立ち上げたのがいずれもPayPal出身者であること。そして、起業家として成功をおさめる彼らが「PayPalマフィア」と呼ばれていることをご存知だろうか。PayPal共同創業者 ピーター・ティール氏は、これまで数多くのベンチャー・スタートアップ企業に投資・参画しており、いわばPayPalマフィアのリーダー的存在である。ティール氏は2015年2月23日、パレスホテル東京にて開催された「楽天金融カンファレンス2015」に登壇。楽天 代表取締役会長兼社長 三木谷 浩史氏との対談で、新たなテクノロジーであるビットコインや、PayPal創業と売却の理由、イノベーションを起こすためのヒントについて語った。

2015年2月、国内外のメディアやSNSで「レノボのPCに悪質なアドウェアがプリインストールされている」というニュースが流れた。問題のアドウェアは開発ベンダーの名前からSuperfishと呼ばれている。レノボもアドバイザリー情報を出すなど対応しているが、報道やベンダー発表などがリアルタイムで動いていたため、問題の本質を十分にとらえていない報道や情報の錯綜が見られる。問題の概要と対処方法をあらためて整理してみよう。

日々進化を遂げているアドテクノロジーだが、近年は2つの重要なトレンドがある。ひとつは自動化であり、もうひとつはビデオ広告だ。2月12日に開催された「SoftLayer Summit」の基調講演では、世界最大級のモバイル広告配信プラットフォームのインフラ部分を担う Opera Response CTO Kanwar Dhaliwal氏が登壇。モバイル広告のエコシステムやトレンド、さらにはグローバルで5億人ものユニークユーザーを抱えている同社のインフラ基盤について、SoftLayer活用事例を交えて語った。

昨年は、Heartbleedに始まりShellshock、POODLEなど、枯れたはずのインターネットの基盤技術やツールに関する脆弱性が相次いで発見された。DNSによる名前解決の仕組みもこうした基盤技術のひとつだ。存在さえ意識せず「空気」のように使っていたインターネットの基盤を支えるプロトコルや実装に潜むリスクを再認識させてくれたわけだが、このようなリスクはインターネットが本質的に抱える問題でもある。それゆえ根本的な解決も難しいが改めて考えてみたい。

マイクロソフトはSDL（Security Development Lifecycle）という考え方によって、開発プロセスの設計段階からセキュリティ要件を組込み、機能チェックだけでなくセキュリティ要件をクリアしない製品をリリースさせない方針をとっている。セキュリティバイデザインの重要性はいまさら述べるまでもないが、そのことを再認識させるような出来事があった。2014年1月23日、SQLインジェクション脆弱性が原因でクレジットカード情報が漏洩した事件について、ECサイト側が開発会社を相手取り損害賠償請求の裁判を起こし、ショップ側が勝訴したという判決が出たのだ。

2015年の1月6日から9日まで、米ラスベガスで開催される世界最大の家電見本市「International CES（以下、CES）」が開催された。ここ数年、同イベントをリードしているのは家電業界よりも、自動車業界やモノのインターネット（Internet of Things:IoT）といったPC・スマートフォン以外のデバイス業界だが、2015年のCESでは、アメリカ連邦取引委員会（以下、FTC）の議長が異例ともいえる基調講演に登壇。IoTの普及にともない発生するであろうプライバシー問題について警鐘を鳴らした。

2014年は、Heartbleed、Shellshock、PoodleとOSのシステムツールやインターネットプロトコルなど、企業セキュリティはプラットフォームに関わる枯れたはずの技術の脆弱性に振り回された感がある。日本国内ではベネッセ事件やLINEの乗っ取りなど、大規模な個人情報漏えいに関わる事件が社会問題になった。モノのインターネット（Internet of Things: IoT）の発展にともない、制御システムやモバイルデバイスの被害も着実に現実化している。2015年に求められるセキュリティ対策はどのようなものだろうか。ソフォスが発表した2015年版セキュリティ脅威予測レポートをベースに考えてみたい。

米ツイッター社は11月末より、Twitterユーザーのモバイル端末にインストールされたアプリ一覧の収集を開始した。日本国内でもすでに一部のユーザーを対象に一覧の収集を行っており、対象者を順次広げているようだが、デフォルトが収集を許諾する設定になっていることが問題視されている。この手の問題はいまに始まったことではないが、個人情報保護法改正に向けた動きと連動して、しばらくは、アプリやサービスの情報収集および利用にあたって、ユーザーとサービス提供者間での合意の取り方は議論の対象となるだろう。

金融機関を装った電子メールを送り、住所や氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取するフィッシング行為。近年はメールが巧妙化しているだけでなく、ソーシャルメディア時代ならではのメール以外の誘導手法も登場している。JPCERTコーディネーションセンターが運営するフィッシング対策協議会はこうしたフィッシング行為の届け出について個別に対応しているが、取り締まりにあたっての課題も存在している。

欧米では数年前から、日本でも昨年あたりから情報セキュリティに関係する人材不足が叫ばれている。組織的なサイバー犯罪やサイバーテロなどが問題になるなか、情報セキュリティインシデントの被害や金額が甚大化する傾向にある。流行のビッグデータも、プライバシーやセキュリティの問題を避けて通ることはできない。モバイルおよびソーシャルシフトへの対応は？ 今求められるセキュリティ人材像を考えてみたい。

7月から8月にかけて、制御システムセキュリティの関係者の間であるマルウェアの存在が注目された。Havexと呼ばれる新しいマルウェアは、「ICS」や「SCADA」とよばれる産業制御システムを狙ったAPTキャンペーンのひとつされ、感染端末が思ったより広範に広がっていることなどが明らかにされた。いまのところシステムを攻撃する挙動は確認されていないが、その全体像は完全に解明されておらず、謎の部分も多く予断を許さない状況のこのマルウェアについて説明したい。

9月24日、bashのコマンドインジェクションに関する脆弱性が公開された。CVE情報を管理するデータベースでも総合スコアが10.0という最高危険度の脆弱性だ。その直後から「Heartbleedに匹敵する問題」として、多くの専門家やセキュリティベンダーのブログを始め新聞なども取り上げている。ShellShockと名付けられたこの脆弱性問題はどういったもので、どのような危険があるのだろうか。