昨年は、Heartbleedに始まりShellshock、POODLEなど、枯れたはずのインターネットの基盤技術やツールに関する脆弱性が相次いで発見された。DNSによる名前解決の仕組みもこうした基盤技術のひとつだ。存在さえ意識せず「空気」のように使っていたインターネットの基盤を支えるプロトコルや実装に潜むリスクを再認識させてくれたわけだが、このようなリスクはインターネットが本質的に抱える問題でもある。それゆえ根本的な解決も難しいが改めて考えてみたい。

マイクロソフトはSDL（Security Development Lifecycle）という考え方によって、開発プロセスの設計段階からセキュリティ要件を組込み、機能チェックだけでなくセキュリティ要件をクリアしない製品をリリースさせない方針をとっている。セキュリティバイデザインの重要性はいまさら述べるまでもないが、そのことを再認識させるような出来事があった。2014年1月23日、SQLインジェクション脆弱性が原因でクレジットカード情報が漏洩した事件について、ECサイト側が開発会社を相手取り損害賠償請求の裁判を起こし、ショップ側が勝訴したという判決が出たのだ。

2015年の1月6日から9日まで、米ラスベガスで開催される世界最大の家電見本市「International CES（以下、CES）」が開催された。ここ数年、同イベントをリードしているのは家電業界よりも、自動車業界やモノのインターネット（Internet of Things:IoT）といったPC・スマートフォン以外のデバイス業界だが、2015年のCESでは、アメリカ連邦取引委員会（以下、FTC）の議長が異例ともいえる基調講演に登壇。IoTの普及にともない発生するであろうプライバシー問題について警鐘を鳴らした。

2014年は、Heartbleed、Shellshock、PoodleとOSのシステムツールやインターネットプロトコルなど、企業セキュリティはプラットフォームに関わる枯れたはずの技術の脆弱性に振り回された感がある。日本国内ではベネッセ事件やLINEの乗っ取りなど、大規模な個人情報漏えいに関わる事件が社会問題になった。モノのインターネット（Internet of Things: IoT）の発展にともない、制御システムやモバイルデバイスの被害も着実に現実化している。2015年に求められるセキュリティ対策はどのようなものだろうか。ソフォスが発表した2015年版セキュリティ脅威予測レポートをベースに考えてみたい。

米ツイッター社は11月末より、Twitterユーザーのモバイル端末にインストールされたアプリ一覧の収集を開始した。日本国内でもすでに一部のユーザーを対象に一覧の収集を行っており、対象者を順次広げているようだが、デフォルトが収集を許諾する設定になっていることが問題視されている。この手の問題はいまに始まったことではないが、個人情報保護法改正に向けた動きと連動して、しばらくは、アプリやサービスの情報収集および利用にあたって、ユーザーとサービス提供者間での合意の取り方は議論の対象となるだろう。

金融機関を装った電子メールを送り、住所や氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取するフィッシング行為。近年はメールが巧妙化しているだけでなく、ソーシャルメディア時代ならではのメール以外の誘導手法も登場している。JPCERTコーディネーションセンターが運営するフィッシング対策協議会はこうしたフィッシング行為の届け出について個別に対応しているが、取り締まりにあたっての課題も存在している。

欧米では数年前から、日本でも昨年あたりから情報セキュリティに関係する人材不足が叫ばれている。組織的なサイバー犯罪やサイバーテロなどが問題になるなか、情報セキュリティインシデントの被害や金額が甚大化する傾向にある。流行のビッグデータも、プライバシーやセキュリティの問題を避けて通ることはできない。モバイルおよびソーシャルシフトへの対応は？ 今求められるセキュリティ人材像を考えてみたい。

7月から8月にかけて、制御システムセキュリティの関係者の間であるマルウェアの存在が注目された。Havexと呼ばれる新しいマルウェアは、「ICS」や「SCADA」とよばれる産業制御システムを狙ったAPTキャンペーンのひとつされ、感染端末が思ったより広範に広がっていることなどが明らかにされた。いまのところシステムを攻撃する挙動は確認されていないが、その全体像は完全に解明されておらず、謎の部分も多く予断を許さない状況のこのマルウェアについて説明したい。

9月24日、bashのコマンドインジェクションに関する脆弱性が公開された。CVE情報を管理するデータベースでも総合スコアが10.0という最高危険度の脆弱性だ。その直後から「Heartbleedに匹敵する問題」として、多くの専門家やセキュリティベンダーのブログを始め新聞なども取り上げている。ShellShockと名付けられたこの脆弱性問題はどういったもので、どのような危険があるのだろうか。

企業の扱うデータ量が爆発的に増えている昨今、その保存先であるストレージをいかに構築するかはますます重要な課題となっている。NASを利用している企業は多いが、データが増えるにつれ、さまざまな課題が浮き彫りになってはいないだろうか？　こうした中、ストレージのコスト、性能、容量を最適化し、マルチベンダー、複数拠点にあるNASの一元管理も可能にする米Avere Systemsのソリューションが、日本に上陸した。その特徴や戦略について、来日した幹部に話を伺った。

知っている人も多いかもしれないが、来年をめどに個人情報保護法が改正されようとしている。昨今ではソーシャルメディアやモバイルデバイス、画像解析技術の発達などにより、施行以来10年以上経過している同法の運用が従来通りにいかなくなっている。とくにビッグデータ活用への適合が産業界や成長戦略を掲げる政府からも叫ばれるようになり、改正に向けた議論や法案づくりが活発化している。ここで、現状の改正の方向性や論点を整理してみよう。

7月下旬頃から、警察や通信事業者、ECサイトなどが「模倣サイトに注意」といったリリースを立て続けに発表したことはご存じだろうか。相次ぐ事象に対処すべく、セキュリティベンダーのトレンドマイクロは8月28日、こうした模倣サイトに関する調査結果を発表。これらの喚起が指摘している「模倣サイト」に違法性はなく、不正プログラム感染などの危険性もないという報告がなされた。ではなぜ、企業や組織側は「模倣サイト」として注意喚起を行ったのだろうか。各組織注意喚起を行った理由や背景について、筆者自らが取材した。