Facebook CSO:セキュリティのスペシャリストは、通好みの問題ではなく現実の問題の解決に乗り出すべき

Facebookのアレックス・ステイモス氏は、情報セキュリティ産業がどうして優先順位の付け方を間違えているのか、優先順位をどうすべきか説明しました。

Black Hat 2017カンファレンスのオープニング基調講演に、Facebookの最高セキュリティ責任者(CSO)であるアレックス・ステイモス(Alex Stamos)氏が登壇しました。ステイモス氏が率いるチームは、非常に複雑なITシステムと20億人分の利用者情報を保護しています。講演の中で同氏は、実際の被害を防ぐことや妥協を受け入れることなど、情報セキュリティのスペシャリスト一人一人がすべきことについて語りました。

ステイモス氏は、セキュリティ業界は青年期ならではの問題に悩まされており、主なもののひとつはニヒリズムであると述べました。これは、スペシャリストが「通好み」で技術的に複雑なセキュリティの問題や脆弱性に注目したがり、実害をもたらし多くの人を危険にさらす問題には注目しないという意味です。また、こういうスペシャリストは妥協を一切受け入れず、情報セキュリティを唯一の目標とする傾向があり、同時に、脅威をもたらす危険な集団からすべての人が恐ろしい攻撃を受けるだろうと思い込んでいるものです。

ステイモス氏が顕著な例として挙げたのは、WhatsAppの「バックドア」、しかし実際にはバックドアではない仕組みのことでした。WhatsAppの開発チームは、10億人のWhatsApp利用者に安全な暗号化を提供するため、チャット相手が新しい暗号鍵を受け取ったことをもう一方の相手に知らせる方法について合理的な決断をしました。暗号鍵を受け取ると、通知がチャットに表示され、チャット相手は何もしなくても会話を続けることができます。

情報セキュリティのニヒリストたちは、この仕組みは特殊機関がチャット履歴にアクセスできるように作られたバックドアであると考えました。しかし、実際の目的はその反対で、チャット相手がスマートフォンを変えた後やWhatsAppを再インストールした後でも会話を続けられるようにするためでした。こうした用途の方が、特殊機関による用途よりもずっと多いのです。

WhatsAppの例は、ニヒリズム的考えが満載です。利用者は全員、暗号化システムを研究しているだろう。会話の相手同士で暗号鍵を比較するはずだ。利用者の1人1人が特殊機関にしっかり監視されることになるだろう。特殊機関は中間者攻撃の複雑なバリエーションを使って、インターネットトラフィックを攻撃するに違いない。妄想は止まりません。

スペシャリストの関心が複雑な攻撃や手間暇のかかるセキュリティ対策に向いてしまうと、実害をもたらす問題に集中できません。ステイモス氏が紹介した「threat pyramid(脅威のピラミッド)」という図では、ゼロデイ脆弱性や国家主導の複雑な攻撃を表す点が、頂上部分に何とか見える程度に記されていました。ピラミッドの残りの部分は、パスワードや個人情報(金融情報など)の盗取、フィッシング、金融関連の脅威、ソーシャルエンジニアリングに関係する「一般的な」問題で占められていました。

ステイモス氏は、こうした問題を解決するときはトレードオフを恐れないように、と勧めています。完璧ではないソリューションや部分的に有効なソリューションでも、大勢の人が採用すれば、ごく少数の上級者だけを守りそれ以外の人を保護しないソリューションよりもずっとよいのです。

私たちも、この考え方に賛同します。最先端の攻撃手法や新たに見つかった脆弱性について知り、警戒することは、たしかに大切です。しかし、スマートフォンやコンピューターやゲーム機を使い、オンラインで買い物や会話をする日常の中で、多くの人にセキュリティを意識していただき、何らかのアクションを取っていただければと、私たちは考えています。Kaspersky Dailyがそのための一助となることを願います。

ヒント