RSA Conferenceは、セキュリティ界のホグワーツ魔法魔術学校のような場です。サイバー世界のジェダイマスターたちが一堂に会する毎年恒例の同窓会、もしくは民間セキュリティ会社、政府機関、国際団体が集う秘密のファイトクラブをイメージするとよいかもしれません。出席者は全セッションに加えて、サブのディスカッションにもすべて参加できます。そのRSA Conference 2013では、どのような話題が上ったのでしょうか。さっそくご紹介しましょう。
1)私たち(全世界)はサイバーセキュリティにおいて最悪の状況にある
理由は非常に単純です。そもそもインターネットは、セキュリティを念頭に設計、構築されていないからです。また、出席者のほぼ全員から、攻撃者が銀行や特殊作戦部隊のように組織化しつつあるという共通の指摘も上がりました。今やサイバー犯罪者は、キーボードを片手に情報の自由を叫ぶクレイジーなカウボーイではありません。彼らは、データや金銭を盗むための仕組み、事業計画、人事、CEO、CTO、利益、ROIを備え念頭においた企業です。サイバー犯罪は、麻薬カルテルや武器商人のように一大産業となりました。これに対抗するために、私たちは戦力を強化し、組織化する必要があります。
2)大半のセキュリティ会社は「大きすぎて動きが鈍い」
新たなタイプの脅威は、毎日誕生しています。しかし、5 万人以上の従業員を抱える大規模セキュリティ企業は、こうした状況に合わせて素早く方向転換することができません。しかも、新たな脅威対策に向けてビジネスプロセスを構築しても、提供を開始するころには脅威のエコシステムが変質しており、せっかくの対策も役に立たないまま終わってしまいます。そんな時代には、調査力が高く、優れた適応力、実効性、対応力を備えた、(市場関係者の言葉を借りると)カスペルスキーのようなプレイヤーが強さを発揮します。
3)脅威の深刻さを一般の人に伝える努力が相当に必要である
今は、IP、ファイアウォール、ポート、プロトコルで守る時代ではありません。たしかに、安全な境界セキュリティを構築し、企業ポリシーや認証機能を追加して保護することも重要です。しかし、こうした対策は今や十分と言えません。私たちのほとんどは、スマートフォン、タブレット、ラップトップなどのデバイスを所有し、日常的に私用や業務で活用しています。さらに、CIOや企業ポリシーでは制御できないようなソーシャルメディアやクラウドサービス(Dropboxなど)も利用しています。この状況は、攻撃者にとっては楽園そのものですが、セキュリティ会社にとってはさらなる悩みの種です。このような脅威に対して効果的に対応するには、ソーシャルエンジニアリング、デバイス管理、仮想化に取り組む必要があります。
4)個人向け対策が企業の対策のカギになる
面白いことに、私物デバイスで私用する一般ユーザー向けのセキュリティ対策の方が、企業向けソリューションよりも優れていることがあります。
5)インターネットは誰もが手に入れられるペタバイト級のデータであふれている
攻撃者は、ソーシャルメディアや(トラフィックデータなどを解析する)オープン型の分析を活用しています。個人や企業に関する情報を収集するのは、恐ろしいほどに簡単です。人に関する情報さえあれば、企業の境界セキュリティを楽に越えるための詐欺計画を練るのも楽勝です。
6)攻撃者は許可をとらなくてもいい
でも、私たち民間セキュリティ会社が活動するには許可が必要です。私たちがインターポールのような国際的な法執行機関に貢献できるよう、法改正が必要です。
7)新規マルウェアのうち30%はモバイル由来
スマートデバイスのハードウェアにアクセスするエージェントのインストールをユーザーやメーカーから許可されない現在、セキュリティ会社はどうすればモバイルマルウェアに対抗できるのでしょうか。さらに悩ましいのは、パッチ管理です。Android OS搭載のスマートフォンを製造するメーカーは、ユーザーに対してOSのアップデートを作成、配信する義務がありません。この理由から、同OSは最もぜい弱なOSとなってしまっています。
8)一般ユーザーのセキュリティに対する認識は圧倒的に低く、面倒なので回避する人も多い
このブログは『Save the World の思いを伝えたい』というタイトルが付いていますが、これは比喩ではなく、そのとおりの意味なのです。
9)Microsoft社の基調講演は非常に楽観的だった
それだけ現実は最悪ということです。もっとも、講演は大変前向きな内容で、優れた洞察も加えられていました。同社は、法や規制の面で国際的な協力体制を促進し、同時にソフトウェアやハードウェアのソリューションを開発することに、解決の道があると見ています。
10)月の裏側にスパイあり
たしかに、セキュリティは悩みの種です。しかし、政府、軍事機関、諜報機関、国際的な法執行機関は、時として(むしろ毎日)スパイ活動を含む業務を遂行しなければなりません。その点で、国家の目標は、サイバー戦争に対抗するという国際的な目標と相反することがしばしばです。各国政府は互いにこっそり偵察しあっています。これまでも今もこれからも、各国政府はあらゆる手段を駆使して情報を収集し、機密情報を盗み出し、サイバー関連も含むさまざまな脅威に対する攻撃や防御に備えているのです。国際間の交渉があまねく複雑なのは、こうした事情があるからです。
もっとも、もう運命が尽きたなどとは思わないでください。明るい話題もいくつかあります。
1)新たなセキュリティ対策がいくつも立ち上がっています(最新情報は、順次ブログなどで発表予定です)。
2)セキュリティ業界は現状をしっかり把握しており、より安全な世界を目指して、ライバル社と協力する方向にあります。
3)各国政府は、ようやく現状を理解し始めました。RSA 2013では、誰もがオバマ米大統領の大統領令に触れ、好意的な意見を交わしていました。
4)Kaspersky Labのビジョンと技術にご注目ください。私たちはサイバー戦争の最前線に立ち、1バイトも見逃すことはありません。