情報セキュリティはどこに向かうのか
ハッカーが先述したような行いをしにくくする話の前に、情報セキュリティは今後、どのような方向に向かうのかを考えておく必要があるとPaller氏は語る。「ここはあくまで予測の話」(同)と注釈をつけるが、2つの大きな変化が将来的に発生するものと考えられるという。
1つは情報セキュリティに対する予算の割り当ての対象が変わる、というもの。ファイアウォールが導入されて以降、予算の多くが内外の境界線上でいかに侵入を食い止めるかに費やされてきたが、先述の3つの侵入方法やワイヤレスの台頭などによりこうした水際で防ぐことへの意味が低下してきた。
もう1つが、入ってきてしまった攻撃に対し、それをいかに見つけ、どう対応していくか、というもので、こちらに予算が増えていくはずという。こうした予算比率の変化は、「どう変化していくかはわからないが、米国政府は従来の水際防止に20~30億ドルを費やしてきた。今後、それと同額程度を侵入してきた悪意のあるアプリケーションなどの発見に向けたモニタリングなどに費やすとしている」(同)とし、「米国政府の例は極端かもしれないが、一般企業においてもモニタリングに関して15%くらいの費用割合になるのではないか」(同)とした。
また、こうした状況の変化に伴い、セキュリティの専門家のスキルも変わってくると指摘する。特に要求の高いスキルは6つあり、1つはディスクやメモリの分析まで含んだ「フォレンジック(forensics)」。2つ目はネットワークトラフィックのパケット分析。ただし、これは侵入分析などではなく、長期的なデータを比較し、侵入された痕跡がないかどうかを調べるスキルとする。3つ目は、悪意のあるソフトを発見した際に、それをリバースエンジニアリングする能力。
4つ目は、「ペネトレーションテスト」。ただし、従来のテストだけではなく、アプリケーションとそのセキュリティ体制の評価も含むとしているが、「ほとんどの場合、ネットワークのペネトレーションを行ってきた人にアプリのテストをやらせても上手くはいかない」(同)と指摘する。5つ目は、「技術監査」であるが、実際のテストを自らも行う必要があるとする。そして6つ目はセキュアアプリケーション開発の能力という。