2007年のITセキュリティを展望する：Column

2007年は中堅・中小企業もサイバー攻撃のターゲットとなることが予想される。セキュリティ問題から身を守るために留意すべき6項目を解説。

[Joel Dubin，TechTarget]

　中堅・中小企業（SMB）にとって、情報セキュリティの不安は2007年も増大し続ける。規模の小ささと知名度の低さに身を潜めていることはもうできない。ハッカーなどの悪意を持ったユーザーは、これまで以上に巧妙な手口で中小企業を追い詰め、もて遊んで惨めな思いをさせるだろう。

　半面、セキュリティベンダーは拡大しつつあるSMB市場の可能性に目を向け始めている。SMBにも買ってもらえるようニーズに応えてスケールを落とし、小型化して柔軟性を高めた製品を増やしており、SMBにとっての選択肢も増えるだろう。SMBは好条件の契約と行き届いたサービスをものにするため、一層知識を深め、大企業並みの交渉力を身に着ける必要がある。

　2007年、SMBがデータセキュリティを守るために留意すべき6項目を以下に挙げる。

1.規模の小さい特定企業が狙われる

　攻撃者、特に大企業を苦しめ混乱に陥れている犯罪組織の邪悪な視線は直接SMBに向けられる。攻撃は特定企業をターゲットに据えたものになるだろう。

　攻撃側はSMBに目を留めている。依然大企業を攻撃しているが、規模の小さい企業も攻撃候補に加えるようになっている。企業の規模が小さければ防御（侵入検知システムやファイアウォール）も大企業ほど高度でなく、破りやすいだろうという考えだ。SMBはセキュリティ担当者が少ないかまったくいないため、手を出しやすいとも攻撃側は考える。

　攻撃側に変化はない。大部分は東欧と極東の犯罪組織だ。たとえ国際的に知られていないローカル企業でも目を付けられる可能性がある。大企業は大概世界各地に拠点を持っているから、国際ハッキングコミュニティーにとって分かりやすい標的になる。しかし、地元にしか拠点を持たないSMBがなぜ目を付けられるのか。攻撃側は、ポートスキャンでオープンかつ脆弱なネットワークを探すという常とう手段に加え、今ではGoogle検索を使うようになっているからだ。

　例えば1つの町で運営されている信用組合でも金融機関であり、盗み出せる金があることに変わりはない。フィッシング攻撃の被害に遭う可能性は、シカゴから北京まであらゆる街角に拠点を持つ知名度の高い国際銀行と同じだ。

　SMBに対する攻撃とはどんなものだろうか。攻撃は特定企業に狙いを定める傾向が強まっている。規模の小さい金融機関のWebサイトを狙い撃ちにするスピア型フィッシング攻撃のほか、設定が甘いWindowsサービスとファイル転送プロトコル、Secure Shellサービスに対する攻撃も試みられている。攻撃側は、狙いを定めたSMBの技術インフラについてもっとよく知るため、やるべきことをやっている。

　SMBはサイバー脅迫の被害にも遭いやすい。これは、身代金を払わないと会社のITシステムをダウンさせるぞと脅す攻撃だ。規模の小さい企業には反撃するためのリソースがなく、当局に通報することもないと犯罪者側は見ている。

　SMBがハッキングされてサーバがボットネット化されることもある。ボットネットはゾンビ化されたコンピュータでつくる大規模部隊で、スパムの拡散、フィッシングサイト、ポルノなどインターネットの汚い部分に利用される。

　SMBにできることは何か。専任の情報セキュリティ担当者を置かなくても、SMBのIT部門でファイアウォールを強化し、システムにパッチを当てて常に最新の状態に保ち、ウイルス／スパイウェア対策ソフトをゲートウェイとサーバ、デスクトップPCに確実にインストールすることは可能だ。

2．セキュリティベンダーもSMBに注目

　もっぱら大企業のみに製品を販売していたあらゆる規模のセキュリティベンダーが、SMBなど規模の小さい相手に合わせた製品を開発してくる。

　セキュリティ市場で常連のシスコシステムズ、シマンテック、マイクロソフト、IBM、ベリサインといった大手各社は、これまで自社に匹敵する規模の企業を相手にしてきたが、今はSMB向けのパッケージ製品を、価格を引き下げて（それでもまだ高いことが多いが）提供するようになっている。

3．中小セキュリティベンダーの再編

　ITセキュリティベンダーの再編によって、SMBは製品を購入する際に戦略的選択を迫られる。

　小規模から中堅のセキュリティ企業は2006年、合併買収の波にさらされた。ITセキュリティはまだ新しい分野であり、結果として、製品市場は成熟しているとは言い難い。しかし追い上げと融合は始まっている。今年、RSAセキュリティはサヨタとパスマークの両社を飲み込み、その後EMCに買収された。LURHQとセキュアワークス、およびアイアンポートシステムズとポストエックスがそれぞれ合併した。この傾向は2007年も続くと専門家は予想する。

　これがSMBにどう影響するのだろうか。セキュリティ機器を買う際は戦略的かつ長期的に考えることだ。契約を交わす前に、幾つか自問してみるといい。この新しい会社は今後も同じレベルの顧客サービスを提供してくれるのか。この新しい会社は買収した製品のサポートを継続するのか、それとも打ち切ってしまうのか。

4．セキュリティのアウトソーシング

　SMBの情報セキュリティ機能アウトソーシングは、引き続き管理型セキュリティサービス提供企業が頼みになる。

　この市場は2007年、堅調な伸びを示すと見られ、SMBの間で進行中のトレンドは今後も続く。この分野には多数の企業が参入しているが、アラートロジックはSMBを専門としている。

5．ID／アクセス管理問題

　ID／アクセス管理問題と製品の導入は、リムーバブル／リモート機器の問題を含め、SMBにとって真っ先に頭に浮かぶ問題であり続ける。

　鍵となるのはシングルサインオンとリモート／携帯デバイスの管理だ。SMBは大企業と同様、パスワードで保護されたアプリケーションを幾つも実行しているかもしれず、そのすべてが別々のログオンを必要とする。インプリバータ、RSA、アラジンナレッジシステムズなどのベンダーがSMBを対象としている。

　USBメモリ、iPod、無線端末といった携帯／リムーバブルデバイスからのデータ流出は、リスクの高い情報が1カ所に集中しがちな小規模の企業にとってダメージがさらに大きくなる可能性がある。こうしたポイントはセキュリティが手薄で従業員がアクセスしやすい可能性も高い。エンドポイントセキュリティを手掛けるセーフエンド、ベリセプト、ボンツなどの各社はすべて、SMBにも手が届く製品を提供している。

6．容赦のない政府規制

　容赦のない政府規制――SOXやHIPAA（医療保険の携行性と責任に関する法律）など痛みを伴う法律――は、大企業からSMBへとすそ野を広げ、報告、プロセス、監査に影響を及ぼす。

　SMBといえども、大企業にのしかかっている規制圧力を免れることはできない。サーベンス・オクスリー法（SOX法）のような法律は、公開企業に課せられた必須用件だ。未公開のSMBでも公開企業にサービスを提供している場合、その監査の対象になるかもしれない。監査用にIT管理記録を最高の状態にしておく責任はある。

　医療関連企業を法的に縛るのが、HIPAAだ。SOXと同様、HIPAAは厳格な記録の保持と医療記録の管理を義務付けている。こうした記録を電子的に処理／保存しているIT部門にとって、これは大きな負担となる。しかしSOXと違って、この対象となるのは公開企業だけではない。小規模の医療機関や、ITサポートがほとんどない典型的なSMBにも影響する。

　こうした傾向を踏まえると、来年はSMBのIT担当者にとって間違いなく面白い、そして忙しい年になるだろう。

本稿筆者のジョエル・デュビン氏はCISSP（公認情報システムセキュリティ専門家）資格を持つ独立系コンピュータセキュリティコンサルタント。セキュリティ分野のマイクロソフトMVPに選ばれ、Web／アプリケーションセキュリティを専門とする。著書の「The Little Black Book of Computer Security」はアマゾンで購入できる。