Application Security

eセキュリティの世界で既存のあり方からの移行が生じた理由を説明します。

独特で明らかにわかる最初の変化として、Web ベースのアプリケーションが大幅に成長したことが挙げられます。プログラマは、モノリシック アプリケーションの構築をやめ、もはや実行可能ファイルを作成しなくなりました。

5 年前なら、コンピュータの専門家は、Web アプリケーションに関する議論に対しては無反応でまったく興味を示さなかったでしょう。これは、当時、インターネット アプリケーションが広く使用されていなかったからです。e コマース サイトでは、金融取引に関するリスクが高かったため、利益を上げることはできませんでした。

しかし、時代は変わりました。テクノロジの世界全体から広く注目されているのは、信頼性の高い Web 対応アプリケーションを記述することです。すべてのアプリケーションにブラウザ インターフェイスを備えることは、絶対厳守のルールになっています。実行可能コードの記述は現在、Microsoft や Oracle のような大企業の特権であり、大企業以外の世界では Web アプリケーションのみに注力していると言っても過言ではありません。この進化の原因となった多くの要因の 1 つは、スケーラビリティです。exe ファイルの死滅によって、バッファ オーバーフローのような、実行可能ファイルに影響を与える、ほとんどのセキュリティの脆弱性も姿を消しました。

やがて生じた第 2 の大きなイベントは、Microsoft のような企業がセキュリティ コードの記述というトレンドを作り出すようになったことです。Microsoft が強く批判され、ソフトウェア市場で最も脆弱なコードを作成する開発元リストのトップに挙げられていた時代がありました。しかし今日、立場が逆転しました。Microsoft は今や、eセキュリティの世界で標準を確立しているのです。Microsoft から一連のパッチが毎月リリースされるものの、状況は以前ほど重大ではありません。現在の攻撃者は、大企業が記述したアプリケーションではなく、世界中の中小企業で働いているプログラマが記述したアプリケーションをターゲットに選択する傾向があります。ハッカーは、Windows オペレーティング システムへの侵入をやめ、アプリケーション コードを攻撃するようになっています。

第 3 のイベントは、ハッカーの攻撃の動機が金銭になったことです。攻撃者が、自慢の種を得るため、ビル ゲイツを貶める喜びのため、または政治的な主義主張のためにシステムに侵入する時代は過ぎ去りました。100 万台のマシンを感染させた "I Love You" のような大規模ウィルスはもはや存在しません。サイバー犯罪は以前と比べて組織化されており、マフィアによって実行されています。現在の焦点は、単一の企業を攻撃することにあり、犯罪の背景にある動機は金銭のみです。今日の攻撃者は、不正に取得した富を享受するために、匿名のままでいることを好みます。

第 4 の革命は、ネット上でのオンライン トランザクションの実行です。インターネットが eコマースの取引媒体になるとはだれも予想していませんでした。インターネットは、知識を共有するための媒体として始まりましたが、現在では世界中で取引のための手段となっています。銀行など今日のすべてのトランザクションは、家庭やオフィスにいながらにして、オンラインで実行されます。今日、テクノロジの進歩と発展のおかげで、銀行員と物理的にやり取りすることなく、融資を受けることができます。さらに言えば、100 万ドルの商品を他国から購入することもできます。世界は間違いなく、グローバル ビレッジになりました。

さらに気掛かりな当然の帰結として、現在、携帯電話がテクノロジの利用機器としてコンピュータやラップトップに取って代わろうとしています。そのため、いわゆるインターネットという安全ではないインフラストラクチャを使用する、テクノロジのことをよく知らないユーザーが急増します。1 年のうちに、コンピュータ上で実行されるあらゆるコードがシームレスに携帯電話でも動作するようになると予想されており、携帯電話とコンピュータとの違いはまったくなくなります。それどころか、数年すれば、携帯電話にはコンピュータより多くの機能が搭載されるようになります。

移行の第 5 のトリガは、プログラマが eセキュリティのエコシステムから取り残されていることです。サイバースペースで自己防御するコードを記述するようにプログラマを実際にトレーニングするプログラム シリーズまたは講義シリーズは、世界中のどこを探しても目にすることはめったにありません。低品質のセキュリティ コードについて、自社のプログラマが適切にトレーニングされていると主張できる企業は全世界でもほとんどないでしょう。ここでは、プログラマが攻撃ベクトルを理解していなければ、自己防御可能なコードを記述することはできない、ということを前提としています。

プログラマがセキュリティ コードを記述できなければ、サイバースペースが安全になることはありません。コーダーは、悪者との戦争において、最初で最後の攻撃に対する砦となる必要があります。しかし不幸なことに、現在、この戦争にプログラマは参戦していません。プログラマは忘れ去られており、そのため現在、お粗末な状態にあります。企業は最高レベルの eセキュリティのハードウェアおよびソフトウェアを揃えるために巨額の予算を用意しています。しかし、人的資源の教育には予算がつきません。プログラマが e-スペースにおける戦いを統率する将軍にならない限り、この戦争で勝利を収めることはできないと確信しています。

最後のトレンドは、テクノロジ機器のユーザーがますます無知になっていることです。携帯電話の登場で特にこの傾向に拍車がかかりました。今日では、だれもが個人情報盗難の被害者になり得ます。そのため、インターネット関連の犯罪リストのトップにフィッシングが挙げられているのを見てもあまり驚くことはありません。

ユーザーは機器に関してはよく知っていても、テクノロジに関しては無知で、ほとんどの時間をインターネットで費やしています。ユーザーはあまりに無警戒であるため、善悪の区別がつかず、ネット サーフィンが危険な行為になり得ることを理解できません。攻撃者はこの無知さを利用して、疑うことを知らないユーザーから金銭を獲得します。

テクノロジの世界によって、ライフスタイルが激変し、あらゆるものが光の速度で革命的に変化したため、私たちはただ息をのむばかりでした。しかし今こそ、変化をきちんと受け止め、この革命に参加しましょう。

次のコラムでは、徐々に廃れていっている既存のセキュリティのルールを概観し、新しいeセキュリティのルールについて説明します。