今年10月で設立10周年を迎えたインシデント対応機関のJPCERT コーディネーションセンター。この10年間は、ちょうどインターネットが急速に拡大していった時期と重なっている。JPCERT/CC設立10周年の記念シンポジウムでは、ITベンダーのNEC、ISPのNTTコミュニケーションズ、セキュリティベンダーのインターネット セキュリティ システムズ(ISS)の3者が、セキュリティの観点からそれぞれの10年間を語った。

日本的な課題とは

まず、NECのIT戦略部シニアマネージャー宮地利雄氏が、「ネオダマ時代」の1990年代を振り返る。ネオダマとは、ネットワーク / オープンシステム / ダウンサイジング / マルチメディアの頭文字を取った、当時の風潮を指している。この当時は、セキュリティといえばSSL/TLS、SETといった暗号化による通信の秘匿がメインで、ネットワーク経由の不正侵入はごく少数の専門家だけが関心を持っていたという。ウイルスに関してはセキュリティとは異なる分野として扱われていたそうだ。

2000年以降のブロードバンド時代では、社会・経済の活動がインターネットに依存するようになり、利用者層も一般にまで拡大。セキュリティ管理のISMSなどの体系的なセキュリティ施策が登場してきた。しかし、こうした標準はセキュリティ対策のプロセスしか示しておらず、宮地氏は対策が適切なレベルに到達しているか分からない点を課題だとした。

攻撃対象も、90年代はOSやルーターなどの基盤部分が狙われていたが、2000年以降はアプリケーションやサービスなどの上位層が狙われ、Webアプリケーションなどではサービスによってカスタマイズが異なるため、ITベンダーはカスタマイズ部分への攻撃に対処する必要性も出てきている。

さらに宮地氏は「日本的な課題」として、いわゆるPDCA(Plan-Do-Check-Action)のプロセスのうち、日本は「PDまでは勢いよく進むが、CAが進みづらい」と指摘。「脅威やリスクをきちんと理解しているかが心もとない」(宮地氏)。

「セキュリティの基礎論の教育をきちんとやっていくかが課題」と宮地氏。企業はこれまで、ファイアウォールを設置すればセキュリティは万全という時代が続いたが、いろいろなアプリケーションがHTTP/HTTPSのプロトコルでファイアウォールを通過している現状に、「企業網の作り方そのものも見直す時期に来ている」(同)という。