既報の通りウォッチガード・テクノロジーは、2012年に予測されるセキュリティトピックスに関する発表を行っている。これに関連して同社は、5月15~17日にタイで開催したパートナー企業向けイベントにおいて、あらためて2012年のセキュリティトレンドに関する説明を行った。本稿ではその内容をお伝えする。

クラウドの脅威 - ITの"一般化"が背景に

ウォッチガード・テクノロジー 製品担当ディレクター ロジャー・クロリース氏

今回イベント会場で説明を行った同社製品担当ディレクター ロジャー・クロリース氏は、予測される脅威を4つの領域にカテゴライズし、それぞれ注目すべき2つのトピックスを示した。同氏がその1つ目として掲げたのは「クラウドの脅威」だ。

同氏は、クラウドが企業にとって大きな脅威となりつつある背景として「ITの一般化(Consumerization)と、それに伴って中小企業が幅広くクラウドサービスを採用するようになったこと」を挙げている。

「クラウドサービスは、IT部門をバイパスして導入されるケースが少なくなく、企業にとっては管理が非常に難しいのが特徴」(同氏)というように、EvernoteやDropbox、Googleカレンダーなど、本来は個人向けに提供されているサービスが、その利便性から業務にも使用されているケースが少なくない。これらは運用ルールなどが明確化される前に利用されることが多いため、IT部門に限らず、多くの企業担当者が頭を悩ませる要因となっている。

クラウドの脅威に関して同氏は、2012年における"2つの予測"を明示した。1つは「最低でも大手クラウドプロバイダーのうちの1社が大きな問題を起こす」であり、これは既報の第1位とされた予測でもある。2つ目は「バーチャルマシン(=クラウドのインフラ)に対する攻撃が発生する」で、これは同予測の4位に位置づけられている。

クラウドの脅威に関する2つの予測

モバイルの脅威 -"BYOD"への対応がカギ

クロリース氏が2つ目に示したのが「モバイルへの脅威」だ。

スマートフォンやタブレット端末の普及を背景に、個人の端末を業務で使用する"BYOD(Bring Your Own Device)"が当たり前のようになりつつある状況だが、これは企業のIT担当者の頭を悩ませる大きな要素の1つになっている。

同氏が示したモバイルの脅威に関する2012年の"2つの予測"は、「"BYOD"による企業のデータ損失が一層増える(Loss of Control)」と、「スマートフォン/タブレット端末向けのアプリダウンロードサイトを介在した脅威が増える」である。

後者については、とりわけAndroid OS搭載端末をターゲットとしたモバイルマルウェアの増加について同氏は注意を喚起している。これには、モバイル端末に向けたポリシーの適用やMDM(Mobile Device Management)などの管理ツールの導入、各端末へのセキュリティソフト導入など、ルールや技術的な側面からのリスク対策が求められるのは当然ながら、同氏はそれよりも、モバイルの脅威に関しては、不用意にアプリをダウンロードさせないための社員教育の徹底が重要であると強調した。

モバイルの脅威に関する2つの予測

Webの脅威 - FacebookやHTML5が新たなリスク要因に

FacebookやTwitterの普及は、日本国内でも疑う余地がなくなってきている状況だが、このようなソーシャルメディアによるセキュリティの脅威も2012年のセキュリティトレンドに含まれる。

クロリース氏は「友だちの友だちが"本当に友だち"なのかは我々にはわからない」としたが、ビジネスパーソンの間でも社内外の人と"つながる"ためのツールとして使われるようになっているFacebookは、通常はなかなか知りえない、人物の出身校や勤務先、仕事内容などの情報が比較的容易に得られる"ツール"となっており、何となく「別に大したこと書き込んでないから大丈夫なんじゃないの」的な感覚で使っている人も少なくないはずだ。しかし、何が大丈夫で何か大丈夫ではないのかの判断を個人に委ねるのは、企業にとっては非常に危険なことであり、このような背景を踏まえて同氏は「Facebookは企業の情報漏えいリスクの温床となっている」と警鐘を鳴らしている。

同氏が示したWebの脅威に関する"2つの予測”は、「Facebookの"いいね"がもっとセキュアになる」ということと、「HTML5によるWeb上での情報漏えい」である。

前者については、昨年FacebookがWebsenseのURLフィルタリング技術を導入したことですでに"予測"の範疇は超えているが、後者についてはほぼ間違いなくこれから起こり得ることだ。これは既報では第10位に位置づけられている「HTML5がWebサイトのハイジャック方法を5倍に」の項目が相当する。Adobe Flash Playerなどのサードパーティ製プラグインがなくてもブラウザ上で多様なコンテンツ表現が可能になるHTML5は、一方で情報漏えい等、企業におけるセキュリティリスク要素として見過ごせない問題になることを意味している。

上述の内容に加えて同氏が2012年のセキュリティトレンドとして掲げたのは、高度な脅威(Advanced Threat)だ。これまで主に政府関係機関や大企業などがターゲットとされてきた標的型攻撃の対象が、今後は中小企業にまで及ぶことになるという。また、昨年発生したPSN(PlayStation Network)への不正アクセスで一躍注目を集めることとなった「ハクティビスト」と呼ばれる政治的・社会的目的を持った集団による脅威が今年も増えるという見解もあらためて示された。

毎年のように新たなトピックスが生まれるセキュリティの脅威について同氏は「基本的な対策によってほとんどの攻撃はブロックできる」とし、この"基本的な対策"には「セキュリティの可視化を可能にするUTMやセキュリティ関連製品の導入も含まれる」と付け加えて説明を締めくくった。