オルタナティブ・ブログ > ASSIOMA >

ICT業界動向やICT関連政策を基に「未来はこんな感じ?」を自分なりの目線で「主張(Assioma)」します。

Apple最も脆弱性報告の多い企業に躍進。

»

2010年はAppleにとって、会社設立以来歴史的事件が相次いでいる。2010年5月26日には、長年のライバルだった、マイクロソフトの時価総額を抜き、ICT業界では名実共にNo.1になった。

4月に発表したiPadは「キーボードとマウスの無いPCは売れない」という、今までの定説を覆し、全世界で2秒に一台のペースで販売され、発売から僅か80日で、300万台を販売した。

先日発表された2010年4~6月期決算でも、売上高が157億ドル、純利益は32億5000万ドルという過去最高の決算状況となり、「決算でもマイクロソフトを抜くか?」と市場の注目を集めたが、マイクロソフトも売上高160億3900万ドル、純利益45億1800万ドルと好業績だったため惜しくも届か無かった。

しかし、それでも今のAppleの勢いが衰えを見せる気配は一切感じない。

そんな絶好調のAppleに、また一つ歴史に残る事件がおきた。

「脆弱性報告の多い企業No.1」への躍進である。

デンマークのセキュリティ企業Secunia社が発表したセキュリティ報告書で、Appleが「2010年、脆弱性報告の最も多い企業になった」と報告した。

Security
出典:Secunia「Secunia Half Year Report 2010」

もっとも、このグラフはAppleの製品がセキュリティ的に欠陥があるという事では無い。なぜならこのグラフには、一件、一件の脆弱性がもたらす、影響度や発生確率等が反映されているわけでは無い。また、注目を集める企業程、セキュリティ調査研究団体などの調査対象となりやすいため、脆弱性が多く報告されるという要素も含まれるので、そういった事を頭に入れて考える必要があるだろう。

むしろ、Appleの製品が、今、市場で最も注目を浴びている証拠と考えても良いだろう。

■脆弱性報告の大半はサードパーティのアプリケーションが原因
同レポートは最近の最近のエンドユーザが利用するPCのセキュリティリスク動向について興味深い内容が記載されているので、こちらも紹介しておこう。これは、Windows XPとWindows Vistaを例にして、一般ユーザの利用するPCにおける脆弱性の発見件数の原因の推移を示している。

3rdparty
出典:Secunia「Secunia Half Year Report 2010」

この調査では、脆弱性の発見基となるプログラムを以下の三つのグループに分けて分析している。

 1) OS自体の脆弱性
 2) Microsoft製のプログラムによる脆弱性
 3) 第三者(3Rd Party)によって開発されたプログラムによる脆弱性

2007年までは、この三つのプログラムを基にした脆弱性の発見件数はそれ程差が無かった事がうかがえる。しかし、2007年以降3rd Party製のプログラムによる脆弱性の発見件数がダントツで伸びている。これは、マイクロソフトが実施しているWindowsの無料アップデートの効果があった事が考えられるだろう。

長らくセキュリティリスクを考える上で、マイクロソフト製品を扱うのは危険という認識があったが、マイクロソフト製品は「最も脆弱性が発見されやすい」という認識は改めるべきであると言える。

■クラウド時代のセキュリティ
セキュリティ市場には過去に幾つかの転機を迎える出来事があった。遥か昔、ハッカーやクラッカーの攻撃の対象はOSにあった。彼らはこぞってOSのセキュリティホールを探し、それを見つけ出してはそこを攻撃するプログラムを配布した。これらに対して有効な手段はパッチの適用だった。

しかし、インターネットが普及するにつれ、攻撃者の興味は、如何にインターネット経由でウィルスに感染させるかという事と、感染させやすいアプリケーションは何かを探すことにそそがれた。これによって、OSよりも、インターネットへの入り口とも言えるブラウザや、インストールされている確立が高いマイクロソフトオフィス製品に以降した。これらに対して有効な手段は外部からの不正なプログラムの進入を検出し、防ぐこと。パッチの適用だけでは不十分だったので、ファイアーウォール等の外部からの侵入を防ぐプログラムや製品が導入されるようになった。

クラウドというキーワードが声高に叫ばれる昨今。もしかすると、セキュリティ市場に新たな転機をもたらすかもしれない。

前述した通り、最近のソフトウェアの脆弱性は3rd Party製のアプリケーションにて最も発見されやすい傾向にあると言える。そして、クラウドの本質的な特徴とは「クライアント上にアプリケーションをInstallさせる行為が不要になる」という点だ。

エンドユーザは、自分たちが何かを実行したい時にだけ、例えばメールを出したい時はgmail、ドキュメントを作成したければGoogle docs等に接続して、これらを利用する。自分のPCにアプリケーションをinstallする必要は無い。

 ・OSやブラウザについてはWindows Update等によって定期的に無料でセキュリティ対策が施される。
 ・Winny等のファイルを流出させる危険性のあるP2Pアプリケーションはインストールしない。
 ・クラウドを利用すれば3rd Party製アプリケーションによる、脆弱性を回避出来る。

といった、ようなトレンドが今後主流になっていくかもしれないと考えると、ローカルPCを守るという考えがあった従来のセキュリティ対策から、クラウド側でのセキュリティ対策がより重要になっていくと考えられるのでは無いだろうか。

■スマートフォンのセキュリティ対策が重要になる
エンドユーザのPCにおいては、クラウドサービスの充実が予想されるので、3rd Party製アプリがもたらす脆弱性によるリスクは、ユーザの利用方法によって、今後回避する事が可能になっていくかもしれない。「全てはクラウドに」が実現されれば、PCはただの箱になる。

しかし、クラウドの流れとは逆行し、3rd Party製のアプリケーションのインストールが大流行となっている世界がある、そう、iPhoneやAndroidのようなスマートフォンだ。現在主要なスマートフォンである、iPhoneだけでも20万以上、それを追随するAndroidも6万5千以上のアプリが供給されており、急速な勢いで成長している。

更に、Googleはプログラム知識不要でAndroidアプリを開発出来るサービスをリリースし、今後益々アプリケーションの数が増加していく事が予想される。

攻撃者の興味をひくPCは、OSは即座にパッチが適用され頑丈になり、クラウド化が進めば「どんどん空っぽ」になっていく。手ごわい割には面白みの無い対象になっていくだろう。

スマートフォンは、攻撃者が、ユーザの隙を突くために最適な「3rd party製プログラム」で固められている。スマートフォンの人気の秘密の一つには多様なアプリケーションによる「自分だけの端末作り」にあるとも言えるので、これは当然と言えるだろう。しかし、そこには連絡先や、メールといった、攻撃者にとって魅力的な攻撃対象が多く存在している。

P2P等のファイル交換ソフトの危険性が認識されていなかった時代、様々な流出事件が世間を賑わせ、「PCのウィルス対策は大切」という認識をもたらした。しかし、「スマートフォンや携帯電話は、ウィルスの心配は無い」という妙な安心感を持っているユーザは多いのでは無いだろうか。

現在はスマートフォンが原因となる、セキュリティ関連の事件が世間を騒がせたという話題は聞こえてきていない。しかし、3~5年のうちにスマートフォン市場が拡大し、個人にとって重要な情報の保管場所が、PCからクラウド、スマートフォンに移行していくに連れて、世間を賑わすような事件が発生するのではないかと予想する。

■関連記事
 2010年Q1猛烈な勢いで急成長を遂げた巨大ロボット Android

■四万人以上が閲覧した、当ブログの人気エントリー
 奇妙な国日本で、これから社会人になる人達へ
 【ネットの匿名性】 勝間 vs ひろゆき、について思うこと。

■一万人以上が閲覧した、当ブログの人気エントリー
 世界で初めて「インターネットのブロードバンド接続を全国民の基本的権利」としたフィンランド
 事業仕分け騒動。「光より速い通信技術」について思うこと
 電子書籍リーダが変える産業構造。消える産業、産まれる産業
 日本経済の不都合な真実
 SIMロック解除とSIMロック解除後の未来を考察する
 Twitterを初めたばかりの人が読むとちょっと良いこと

■著書及び自己紹介
大元隆志
IPv4アドレス枯渇対策とIPv6導入




Comment(2)

コメント

TETSU

Appleの脆弱性ってBSD部分も含んでってことですよね。これってほとんどAppleが作ったものではなくてオープンソースのいろんなものが入っているから、ある意味数は多くなる。でもデフォルトで脆弱性があるものは少ないし、UNIXの長い歴史が実害が低い理由かも?

スマートフォンにもウイルス対策ソフトが必須って時代になったら嫌だなぁ
今のところ大丈夫だと思うけど、機能が増えてくるとやばくなってくるかも?IEみたいにセキュリティよりも機能重視だった時代はほんと酷かったからなぁ
Androidは既にスパムアプリも出ているようだし、今後不安ですね。

sis

私も今後はスマートフォンにもセキュリティソフトが必要になってくる可能性を感じてます。
特に参入障壁の低いAndroidのリスクは高くなりますね。今後iOS以上のシェアになってくるでしょうし。
クラウドの拡大でローカルセキュリティの必要性低下で、セキュリティソフトベンダーもスマートフォンに向かうでしょう。どんどん危険を煽ってきますよ(笑)

コメントを投稿する