この１年を振り返ったり、来年のことを予想したりするような時期になっているが、来年のセキュリティ事情をIBMが予想している。セキュリティに関しては、どうせイタチごっこなので、一方的に良くなるという話はないだろうと思いながら、検討してみる。

2010年のITセキュリティ状況を予想する(ITmedia)
安易なユーザー名とパスワードのワースト10、Microsoftが発表

• 海賊版ソフトウェア

日本国内では、それほど関係がなさそうである。有償のMicrosoft OfficeやPhotoshopなどの海賊版が出回る国から発するマルウェアや攻撃の影響が来ることはありうる。そもそもオープンソースソフトウェアやWebサービスが一般化すれば、海賊版ソフトウェアという存在自体、意味のないものになりそうである。どちらかといえば、有償のものをタダで使いたいという人間の欲望を利用して、不正ソフトウェアを送り込もうとする一種のソーシャルエンジニアリングとも言えるかもしれない。アダルトサイトにマルウェアが仕掛けられているのと同様のことだろう。

• ソーシャルエンジニアリング手法

同じソーシャルだからというわけでもないが、SNSがソーシャルエンジニアリングの舞台になる。もともとネットから見れば、人間の行動が最大の脆弱性だといえるだろう。ネットの中でも人間が集まる場所ほど、騙されやすくなるのも当然だろう。ただSNSは人が集まる場所の踏み台に過ぎず、真のターゲットはSNS参加者経由でたどり着ける膨大な個人情報の在りかだということだろう。

• 犯罪者もクラウドを利用

これが一番の懸念であろう。もともとインターネットも登場以来良いことばかりでなく、それが社会にとって有用ということは、犯罪者やテロリストらにとっても有用な道具だということである。ネットでの犯行声明、犯罪者間の通信など、ネットが大きな役割をしていることもある。だからといってやみくもに国家権力によって、ネットを規制するという方向になるのも危険ではある。そしてクラウド時代になって、クラウドが犯罪組織の温床になることはないか、セキュリティの大きな問題となるかもしれない。ただ単に、クラウドにデータまで預けてしまって安全かというレベルの話ではない。

自前のサーバーがベンダーのクラウドよりも安全かといえば、運用体制や技術力もさることながら、必ずしもそう言えなくなっている。さらにプライベートクラウドという選択肢も増え、サーバーを自主運用するか、クラウドに移行するかでますますハムレットの心境になる立場の管理者、運営者が増えることになるだろう。現実的には併用だろうが、それにしてもその「隙間」が問題になるように思える。

　一方のMicrosoftが安易なパスワードのベスト１０を発表している。以前からこの種の統計はあり、ほとんど変わっていないという実感である。ネットが進歩しようとマルウェアの手法が複雑化しようと、人間の行動はいつまでも単純なままだということだろう。それを前提としたセキュリティ対策になっていなければならないだろう。