信頼の盾

根拠に基づくアプローチによるサイバーセキュリティリスク管理について。

米国商務省が、米国におけるカスペルスキー製品の販売および使用を禁止する最終決定を下してから、約1か月が経過しました。この件についてご存じない方もいらっしゃるかも知れません。概要を説明すると、一部の情報提供やトレーニング用の製品およびサービスを除き、米国市場でのカスペルスキー製品の販売を禁止するという内容です。その結果、米国在住のユーザーは、高い品質と専門性を持つサイバーセキュリティ製品の購入や利用ができなくなりました。

27年の歴史を通じて、当社は、常にあらゆる種類の脅威からも、その発生源がどこであろうと、最高レベルの保護を提供してユーザーを守る企業として、常に認められてきました。例えば今年初め、当社の製品は、著名な独立系テスト機関から年間最優秀製品賞を再び受賞しました。当社のソリューションは、毎年、最も深刻な脅威であるランサムウェアから、100%の防御を実証しています。また、当社の脅威リサーチチームは、世界中の情報セキュリティコミュニティとユーザーから高い評価を得ています。同チームは、国家による最も巧妙で大規模なスパイ活動を発見、分析し、セキュリティ業界の発展のためにそういった情報を外部と共有しています。

では、世界で数百万もの人々から信頼を集めている、業界最高水準のサイバーセキュリティソリューションを禁止する理由は何でしょうか?明確かつ客観的に示された問題があるのでしょうか?米国政府は何年も前から当社製品のリスクについて言及していますが、その証拠を見たことがありますか?私たちも、見たことがありません。

証拠がない不正行為の申し立てや、理論的なリスクのみに基づく非難など、拡大する保護主義の影響に対処しなければならない状況下においても、当社は、サイバーセキュリティ製品評価のための普遍的な方法論を継続的に開発し続けています。その一方で、当社の基本的な原則に常に忠実であり続けることも忘れてはいません。それは、当社の事業の進め方について最大限の透明性を維持し、開かれた企業であることです。

当社は、大手サイバーセキュリティ企業として初めて、自社のソースコードを第三者が閲覧することを可能とする仕組みを構築しました。さらに、当社の関係者や信頼できるパートナーに対して、当社の脅威検知ルールやソフトウェアのアップデートを確認することも許可しています。これまで6年間にわたり、当社はグローバルな透明性への取り組みを実施してきました。これは唯一無二の取り組みであり、当社のソリューションの仕組みに関して想定されるあらゆる懸念を解決するための姿勢と決意を示しています。こうした一連の試みにもかかわらず、当社製品の信頼性に対する懸念は今もなお根強く残っており、その多くは地政学的な憶測などの外部的な要因から生じています。そこで当社は、この問題により一層真摯に取り組んで、セキュリティソリューションのライフサイクル全体を通してその完全性を評価するための、より徹底したフレームワークを提案しました。

これから説明するのは、当社のソリューションの信頼性に懸念を表明している関係者(米国政府関係者を含む)に積極的に共有してきたフレームワークです。このフレームワークは、最も高い頻度で表明される懸念事項を包括的に解決し、 信頼性を連鎖的に形成していくことができるものだと考えています。

当社が提示しているサイバーセキュリティ評価手法の主な柱は次の通りです。(ちなみに、これらは業界全体の方法論の基礎となる可能性を秘めていると考えています)

(i) データ処理のローカライゼーション

(ii) 受信したデータのレビュー

(iii) ユーザーのデバイスに配信される情報とアップデートの両方のレビュー(ソフトウェアや脅威データベースのアップデートの一環として実行)

グローバルな透明性への取り組みと同様、この戦略の中心となる目的は、企業のプロセスとソリューションをチェックするために外部のレビュアーを関与させることです。何より、この方法論で注目すべき新しい点は、こうしたレビューの範囲と細かさです。その詳細を説明しましょう。

データ処理のローカライゼーション

データの処理と保存に関する問題は、当社だけでなく、サイバーセキュリティ業界全体にとって最もデリケートな問題の1つです。当社製品が処理可能なデータは何か、そうしたデータはどのように保管されるのか、そして最も基本的な点として、なぜ当社がそのデータを必要とするのかなど、もっともな質問が当社に頻繁に寄せられます。当社のデータ処理の主な目的は、ユーザーやお客様に最高のサイバーセキュリティソリューションを提供することです。ユーザーのデバイスで検知された悪意のあるファイルや不審なファイルに関するデータの収集により、当社はアルゴリズムをトレーニングし、新種の脅威を検知して拡散させずに封じ込めるようにすることができます。

当社が提示してきたフレームワークは、データ処理インフラのローカライゼーション拡大や、特定の国または地域以外に属する従業員によるこのような処理インフラへのアクセスを制限するための技術的かつ管理上の制御の実装も視野に入れています。当社は、既にサウジアラビアでManaged Detection & Response (MDR)サービスを提供する際にこのようなアプローチを実施しており、米国当局との協議においても、彼らの懸念を払しょくする目的で同様の仕組みを提案しました。これらの措置により、現地の管轄下にある人物、またはこうした人物が適切と判断する緊密な同盟国の管轄下にある人物が最終的なデータ管理権を持つ物理的な環境で、現地のデータが保管および処理されることが保証されます。上記のステップと同様に、サードパーティの独立系検証機関を招致して、実施された措置の有効性のレビューを行うこともできます。

特定の地域内でのデータ処理には、現地の脅威の分析と、現地のマルウェアを検知するシグネチャの開発が必要です。当社の方法論は、まさにそれらを実現するためのものです。データ処理のローカライゼーションには、現地のインフラをサポートする人的リソースの拡大が必要であり、当社は特定の国における地域のR&DチームやITチームをさらに増強する用意があります。こうしたチームが専門的に担当するのは、国内のデータ処理のサポート、現地のデータセンターソフトウェアの管理、およびマルウェアの分析により、その地域に特有の新しいAPTを特定することです。この対策により、将来のカスペルスキー製品ラインの開発により、多くの国際的なエキスパートが参加することになり、研究開発の分散化がさらに進むことになります。

データ取得プロセスのレビュー

当社は、収集したデータを厳格な社内ポリシー、プラクティス、管理手法を使用して、想定されるリスクから保護しています。収集したデータを特定の個人や組織に帰属させることは、決してありません。また可能な限りデータを匿名化し、社内でのアクセスを制限し、99%を自動処理しています。

お客様のデータに発生しうるあらゆるリスクをさらに低減する手段として、当社は、定期的に当社のデータ取得プロセスのレビューを、サードパーティの認定レビュアーに依頼することを提案しています。こうしたリアルタイムのレビュアーは、データ分析ツールやデータ処理プラットフォームで受信したデータを定期的に評価し、個人を特定可能な情報やその他の保護対象データが当社に転送されていないこと、および取得されたデータが脅威の検知と防御のためだけに使用され、適切に処理されていることを確認することになります。

ユーザーのデバイスに配信される更新とデータのレビュー

製品側の次の段階として、リスク緩和のフレームワークを確立し、当社の脅威データベースのアップデートと製品関連のソフトウェアコード開発をサードパーティが定期的にレビューすることで、お客様のサプライチェーンリスクを低減します。重要なのは、そのサードパーティが地域の規制当局に直接報告する独立した組織であることです。これは、厳格でセキュアな当社の従来のソフトウェア開発プロセスに加えて実施されます。この開発プロセスは、システム内に侵入者が存在するシナリオも想定しており、不正なコードが製品やAVデータベースに追加されないように設計されています。

しかしそれだけではなく、セキュリティ保証をさらに強化するために、リアルタイムのレビュアーを外部から起用することを計画しています。当社のエンジニアが開発したコードのセキュリティの評価、改善点の提案、発生しうるリスクの特定、適切なソリューションの決定などが、レビュアーに期待される役割です。

脅威データベースのアップデートのチェックをどのように体系化するか、シナリオの例は以下の通りです。

脅威データベースのリアルタイムレビューのシナリオの1つ

脅威データベースのリアルタイムレビューのシナリオの1つ

サードパーティのレビューについては、ブロッキングまたはノンブロッキングのいずれでも可能で、定期的な実施も、レビュー対象のアップデートやコンポーネントが大量に蓄積された時点での実施も可能です。また、すべてのコンポーネントにも、選択した一部のコンポーネントにも実施することができます。提案されるレビューオプションの中で最も高度なものに、リアルタイムブロッキングがあります。これは、ユーザーのデバイスに配信されるコードを、レビュアーが完全に制御することを可能にします。ブロッキングレビューは、レビュープロセス中のコードが製品またはアップデートに組み込まれるのを阻止します。したがって、当社のお客様にそのコードによる影響が及ぶこともありません。

このような包括的なレビュープロセスは、基本的なコードの確認とビルドの完了後、ユーザーのデバイスに配信されるすべてのアップデートにレビュアーの署名を必須とすることで、さらに強化することができます。これにより、リアルタイムでのレビュー後にコードが変更されていないことが保証されます。

提案されたレビューにより、新しく開発されたコードのセキュリティをリアルタイムで検証できるだけでなく、履歴を含むソースコード全体へのアクセスも可能になります。これにより、レビュアーは新しく開発されたコードを充分に評価し、時間の経過に伴う変化を理解し、他の製品コンポーネントとの連携方法を確認することができます。

こうした完全なコードレビューには、会社のソフトウェアビルド環境のコピーへのアクセスも付随します。その環境は、当社で使用する環境と同じであり、コンパイル手順やスクリプト、詳細な設計文書、プロセスやインフラに関する技術的な説明などへのアクセスが可能です。そのため、リアルタイムのレビュアーは独自にコードをビルドまたはコンパイルし、バイナリや中間ビルドオブジェクトを出荷されたバージョンと比較することができます。レビュアーは、ビルドインフラとソフトウェアの変更も検証することができます。

さらに、信頼できる独立系のサードパーティが、会社のソフトウエア開発プラクティスにアクセスできるようにすることもできます。このような独立した第三者による分析は、当社が適用している対策やプロセスが業界の主要なプラクティスに合致していることをより明らかに保証することを目的としています。アクセス可能な範囲は、関連するすべてのセキュリティ文書です。セキュリティ要件定義、脅威のモデリング、コードレビュー、静的および動的なコード検証、侵入テストなどがありますが、これらに限定されません。

結論を言えば、当社の判断では、前述の戦略によって、製品開発と流通に関連するほとんどのICTサプライチェーンのリスクに、効果的かつ検証可能な方法で対処することができるということです。そして上述したように、これらの緩和措置は当社が米国商務省との協議を提案する一環として、実際に提出したものです。対話に対する当社のオープンな姿勢と、最高レベルのセキュリティを保証するという当社の決意を、改めて明示しました。しかし、当社の提案はあえなく無視されました。その理由は、米国商務省の先入観に基づくものだと私は考えています。当社の提案は、リスクに対処する上で有効かどうかを評価するためではなく、却下する口実を見つけるために検討されたかのように思えます。

当社がまたしても、デジタル保護主義的な行為に対処しなければならなくなったことは認めざるを得ない事実です。しかし一方で、グローバルなサイバーセキュリティのリスク管理戦略を世界が切実に必要としていることも事実です。進化する脅威の状況に効果的に対処し、多様なITセキュリティ分野を横断してサイバーセキュリティのリスクを管理する統一的なアプローチを確立することが、極めて重要となります。このアプローチが確立すれば、近視眼的な決定によって数百万人ものユーザーが信頼できるサイバーセキュリティによる保護を自由に選択できなくなる事態や、サイバーセキュリティのエキスパート同士の情報交換を妨げる人為的な制限が発生する事態も回避することができるでしょう。地政学的な影響は、サイバー犯罪者を利するだけです。エキスパートたちが不要な負担を負うことなく、重要な仕事に専念できる環境を実現しようではありませんか。

サイバー脅威が国境を越えて相互接続された世界では、グローバルな戦略が不可欠です。サイバーセキュリティによる防御を強化し、信頼性を高め、よりセキュアなデジタルエコシステムを推進するために必要なのです。当社のフレームワークは、サプライチェーンにおける普遍的なサイバーセキュリティの評価とはどのようなものであるべきかについて、業界内で議論を行うきっかけとなります。その最終目標は、あらゆる地域のあらゆる脅威からユーザーを保護する信頼の盾を構築し、 その結果として、より安全な世界を実現することです。

ヒント