2019年の年頭にあたり、米DigiCertのプロダクト担当上級副社長を務めるジェレミー・ロウリー氏は、以下の年頭所感(抜粋)を発表した。

新年明けましておめでとうございます。

昨年は一層のご愛顧を賜り、厚く御礼申し上げます。

今日セキュリティの分野の幾つかは2019年好転が見られると思いますが、一方その他の分野はより問題になってくると思われます。以下は我々が継続的にその脆弱性を鑑み、効果的な解決策を求めるべき分野と思われます。

Identity (アイデンティティ、個体認識)

アイデンティティに関するセキュリティ予測は、2019年非常に複雑なものになるでしょう。この分野での進展が見込める1つの理由は、ブロックチェーン、金融PKIおよびLegal Entity Identifier (LEI)(法人組織識別子)に対してあるブラウザ・ベンダーが強い関心を寄せているからです。

デバイスにインストールされた証明書により認識、識別することで、証明書を持たないデバイスは締め出すことができます。この事はユーザーの個体認識には影響しませんが、IoTデバイスを大量に保有し、それらの接続の妥当性を確認したい企業には重大な意味を持ちます。

アイデンティティの保護は興味深い挑戦ですが、同時に解決が難しい問題でもあります。その問題の一部が、消費者が犠牲とならないように自分自身を十分守ることを指導すべきです。

同じことがIoTデバイスのアイデンティにも言えます。それらのデバイスを使っている企業に重要性を認識させるとともに、デバイス製造業者に対してもデバイスがハッキングされないように予防策を製造工程で埋め込むことを指導するべきです。

アイデンティティの保護は今日ブランド認知向上の為に使われており、電子メールにおける送信ドメイン認証技術の1つで、電子メール上のなりすまし防止基準であるDMARCによるプロトコルを用いた、オープン規格であるBIMI (Brand Indicators for Message Identification)が活用されています。

このBIMIに賛同している、ヤフーやグルーポン、Aetna, Agariといった企業は、ブランドの印象を開放しているとともに、電子メール上での信頼性を向上させています。

我々は新しいアイデアと共に、土台からやり直していますが、根底にある問題を解決できてはいません。しかしながら、そこには経済的合理性があり、改善に向けた取り組みは高い意欲を以て進められています。

デバイス管理(Device Management)

デバイス管理は複雑かつ問題に満ちていて、2019年悪化する可能性があります。その原因となるものには、IoT型のボットネット、監視カメラやルーター、DVR(Digital Video Recorder)、ウェアラブル機器やその他の埋め込み型技術の機器で、マルウェアに感染し、おとりにされたIoT機器などです。 それに加えて、Linuxサーバを標的とした、Miraiマルウェアのような新たな派生型も出現しています。

デバイス管理における問題点は多々ありますが、多くは業界標準の策定が必要とされており、製造業者における認識不足も課題です。

米国では、行政の懸念により立法化が進み、IoTに関するカリフォルニア州法や、連邦政府によるIoT安全法、サイバー保護法(Cyber Shield Act), スマートIoT法(SMART IoT Act)などが成立しました。

同時に、より多くのコネクティッド・デバイス(IoT機器)の製造業者が、証明書ベースの認証、暗号化やデバイスの整合性に関心を示し始めています。

デジサートが最近行った、「IoTセキュリティ調査 (2018)」によると、調査を行った企業の10社の内8社が、IoTにおける一番の懸念はセキュリティだと答えています。

そのようなセキュリティ対策に最善を尽くしている企業は、収益面も向上し、損失を生むような大きな被害を免れています。

Authentication (認証)

認証プロセスの安全性は、2019年向上するでしょう。その理由として、多要素認証が15%伸長していること、また生体認証が標準化していることがあります。

もう1つの改善の理由は、Secure Quick Reliable Login (SQRL)です。このSQRLは、パスワードにまつわる数多くの問題を軽減する新たなシステムです。

SQRLは無償のオープンソース・プログラムで、Web上のユーザー名とパスワードに依る、伝統的な認証システムを置き換えるものです。

公開鍵暗号を利用して、ユーザーは固有のマスター・トークンを作成し、本名を明かすことなくWebサイトにアクセスし、その際に個人情報やパスワードを表示せずとも特定のWebサイトにログインすることができます。

しかしながら、いくつかの課題は残ります。例えば不適切なパスワードの存在です。実在するパスワードの約半分は安全性が低いと言われており、Mimikatzを含め、ユーザーのパスワードを取得し、不正ログインに使用するツールは、マルウェア全体の27.2%を占め、マルウェア全体の75%はWebを介してもたらされると言われています。

Automation (自動化)

セキュリティの自動化については、今年も伸長するでしょう。その理由としては、IoT機器の大規模導入、自動化を安全なものにしようとする産業界の取り組み、CAAレコードの確認、自動設定、分散化されたアプリケーションの導入、運用におけるコンテナ化があります。

今日、企業をセキュリティに対する脅威から守るには、自動化が必須です。なぜなら、相当数のセキュリティ事故は、人的ミスから生まれているからです。

ガートナーは2019年、企業の情報セキュリティに対する投資が1240億ドルを超えるだろうと予測していますが、これらのプログラムをもってしても、ファイアウォールの誤設定や、サーバに対するセキュリティの脆弱性を改善するためのパッチを当てるのを忘れるといったことは防げません。

人による手作業は危険を伴い、セキュリティ侵害が起こりやすい状況にあります。したがって、セキュリティ業務を自動化することが、こうしたリスクを最小化する最善の道なのです。

これらの課題を解決し、本年が日本の皆様および企業の皆様にとり、より安全で実り多く良い年となるよう、心よりお祈り申し上げます。