セキュリティ対策は過渡期――多様化するIT環境に運用しながら随時対処するという現実
セキュリティ対策をしなければならない環境の変化には、クラウドもある。「クラウドを利用するようになっても、結果的に守らなければならないものは変わりません」と松岡氏。これまでは自分の手許で守っていたものを、クラウドという第三者に預けられるようにはなった。守るものは同じでも、守るべき環境のバラエティが増えたのだ。クラウドで便利にはなったが、セキュリティ課題はその分増えることになる。
クラウドのセキュリティについては、基本的には仮想化環境のセキュリティを考えることになる。たとえばHyper-VやVMwareを使って、プライベートクラウドやオンプレミスで仮想化イメージを利用していて、それをAmazon EC2などのパブリッククラウドに持っていくことができる。これは、ユーザーにとっては便利で使いやすいが、セキュリティ上は新たなリスクとなりかねない。
「それぞれの環境で、セキュリティ確保の方法は一様ではありません。動かす仮想化イメージは同じでも、それを動かす環境ごとにセキュリティをどう確保するか考えなければなりません」(松岡氏)
現状、仮想化環境において完成されたセキュリティソリューションはないと、松岡氏は言う。ユーザーは各ベンダーが出しているツールなどを、それぞれの環境で評価しながら利用している。運用しながら評価しているようなもので、そこには当然リスクも潜んでいる。
クラウドについてはもう1つ、サービスに接続するクライアント環境のセキュリティ対策の課題もある。現状ではHTMLが表示できれば、クラウドサービスを利用できる端末になり得る。たとえば、家庭にある液晶テレビの多くには、Webブラウザ機能がある。――ところで、読者の皆さんは自宅のテレビに搭載されているWebブラウザのバージョンがいくつで、それにはきちんとセキュリティパッチが当たっているかを把握しているだろうか?――これは、ゲーム機などでも同じ問題だ。
また、インターネットに接続するさまざまな装置の入力インターフェイスも多様化している。ログイン時に指紋認証を利用するものも身近だし、音声認証で操作するスマートフォンやカーナビなども一般的だ。指紋認証はシリコンなどを用いれば簡単に複製できる。実際、それを悪用した例もある。音声や網膜などの生体認証も安全性が高いと思われているが、声や網膜のデジタルデータを盗めないわけではない。
「そのうち、何かにアクセスするために声を盗んだという事件が起こるかもしれません。SF映画などの世界だと思っていたものが、どんどん現実の世界になっています。OSをどうするかもそうですが、SF的なことも含めどこまでセキュリティ対策を突き詰めて考えるのか。これはかなり難しい問題です」(松岡氏)
コンピュータを取り巻く技術がどんどん進歩しており、セキュリティ対策もそれに合わせ変化する。まさに過渡期にあるということだ。
