IPAから「情報セキュリティ白書　2006年版」が公開された。無料で読める資料としては内容も充実しているので、IPAのサイトから閲覧すると良いだろう。

情報セキュリティ検討会において社会的影響の大きさから「セキュリティ上の10大脅威」を選び、利用者・管理者・開発者から見た脅威の分析、今後の対策がまとめられている。その10大脅威は2005年を総括したものだが、2006年も引き続き注意すべきものばかりであり、ここでも引用して列挙しておきたい。

第1位：事件化するSQLインジェクション
第2位：Winnyを通じたウイルス感染による情報漏洩の多発
第3位：音楽CDに格納された「ルートキットに類似した機能」の事件化
第4位：悪質化するフィッシング詐欺
第5位：巧妙化するスパイウェア
第6位：流行が続くボット
第7位：Webサイトを狙うCSRFの流行
第8位：情報家電、携帯電話などの組込ソフトウェアにひそむ脆弱性
第9位：セキュリティ製品の持つ脆弱性
第10位：ゼロデイ攻撃

この中であまり聞きなれないのはCSRFだろう。「Cross-Site Request Forgeries」の略で、Webサイトの「投稿」「削除」機能を実行するリンクのURLに罠として誘導し、利用者が意図しない機能を実行させられてしまう攻撃のことである。

ユーザー別の対策についても引用しておく。

＜利用者の対策＞
・安全なパスワードや設定が重要
・コンピュータを常に最新の状態に保つ
・あぶない徴候をみのがさない
・信頼できないソフトウェアやデータを使わない
・P2Pファイル交換ソフトと重要情報は一緒にしない
・フィッシング詐欺に注意する
・スパイウェアに注意する

＜管理者の対策＞
・総合的なセキュリティレベルを保つ
・品質管理や保守作業と同様に、セキュリティ対策の体制を確保する

＜開発者の対策＞
・セキュリティはソフトウェアに必須事項だと考える
・安全なソフトウェアの作り方について学ぶ
・初期設定は安全優先で
・脆弱性に対応した際は適切に公開する
・ウェブサイトでCSRFの対策を行う