今年の情報セキュリティを占う

新春恒例?ということもあり、今年の情報セキュリティのトピックを占ってみる。
「予測」ではなく「占い」というのがミソなのだが、かなり主観的・楽観的な見 通しなので、ハズれても責任はとらない。

大規模なウイルス・ワームが発生する最後の年になる?

のっけから楽観的な見通しで恐縮だが、希望を込めて今年は「大規模なウイルス・
ワームが発生する最後の年になる」としたい。2001年のCodeRedなどに端を発し
た大規模かつ急速なワーム・ウイルスの伝播が社会問題になって既に2年以上が
経過した。去年の今ごろもSlammerワームで大騒ぎしていたのは記憶に新しい。
ここ数年は年に二、三件は大規模なワーム・ウイルスの襲来に見舞われるのが年 中行事化している。

今年もほぼ間違いなく大規模なワーム・ウイルス事件が発生するだろう。しかし、
大規模かつ急速な伝播をもたらすワーム・ウイルスには共通点がある。それは、
ソフトウェア脆弱性をつくものだという点だ。ソフトウェアの脆弱性につ いては私の前回のコラムでも書いた通り、その発生を完全に回避す
ることは難しいが、いくつもの対策が今まさに同時並行的に進行中だ。

うまくいけば、これらの対策が功を奏して今年後半くらいから、脆弱性の発生が
抑制され、あるいはその影響が軽減されてくる。さらに数年後にはOSやハードウ
ェアレベルでのかなり抜本的な対策が登場する。そして脆弱性を利用するウイル
スやワームは殆どが過去のものとなり、2004年はそんなワームが発生した最後の 年として記憶される。うまくいけば…

まったなしのスパムメール対策

日本では携帯電話の迷惑メールが大問題になったのは記憶に新しいが、世界的に
見れば普通のインターネットの迷惑メール、いわゆるスパムメールが大きな問題 だ。たとえば、国連機関のUNCTADが昨年公表した報告書によれば2003年初等
における全電子メールの25%がスパムで、2003年末には50%に達した可能性がある
とされる(既に50%を超えたとの報告もある)。さらに、2003年の企業におけるス
パムメールによる経済的な被害は205億ドル(約2兆2550億円)との試算がなされて いる。

もちろん政府も手をこまねいているわけではない。2003年の12月16日にはブッシ ュ米大統領は、いわゆるスパム規制法に
署名した。適切なラベルを付けずに迷惑メールを送信した場合、懲役刑にな
る可能性もある。この法律は今年の1月1日から施行されるので、効果のほどはま だ見えていないが、日本の 迷惑メール防止法案(特定電子メールの送信の適正化等に関する法律)が、そ
れほど有効でなかった事を考えるとあまり期待できないだろう。

スパムメール防止の技術的な対策は昔からあるが、決め手は少ない。最近はメー
ラやメールサーバでスパムメールフィルタを使うのがはやっている(私も便利に
使っている)が、これも完全ではないし、最近は裏をかく手法もあるようだ。

根本的な問題は、電子メールにおける認証機構の欠如がある。要素技術は完全で
はないものの幾つか提案されており、本格的な導入を待つばかりだ。今年はこの
部分に本格的にメスが入れられる最初の年になるかもしれない。最後の年でもな いが…

新しいセキュリティ問題

去るものがあれば、新しく登場するものもある。新しい仲間は、ユビキタスのセ
キュリティだ。これだけでは何のことかさっぱりわからないので具体的に言うと、 IPv6のセキュリティとRFIDのセキュリティだ。

IPv6もRFIDもずいぶんとセキュリティ面を考慮した技術ではあるものの、新
しい技術が普及段階に入ると、新しいセキュリティの問題が必ず出てくる。
これらのテーマについて詳しく述べる紙面の余裕はないので別の機会に回すが、
情報セキュリティに終わりは無い。コストさえ考えなければ…