「サイバーイミュニティ」にYesを、恐れにNoを

2019年9月12日

私がサイバーセキュリティ業界に身を置いて、15年以上になります。その期間を通じ、情報セキュリティ業界に長く身を置く人々ともども、FUD(Fear:恐れ、Uncertainty:不安、Doubt:疑念)を利用した誇大宣伝の増加をじかに感じてきました。それが機能していることは認めざるを得ません。ニューロマーケティングの技術は確かです。「恐れ」は、セキュリティ製品の販売に確かに一役買っています。しかし、強い薬がそうであるのと同様に、FUDには副作用があります。それも1つだけではなく、実際のところ数多くの副作用がありました。

私たちの業界はFUD依存であり、逃れることはできません。私たちの場合、FUDは、私たちの語ることが単なる可能性ではなく本当の危険であることの証明を求める一部のお客様の中に出現します。残念ながら、危険が現実のものであることが証明されるのは、悪いことが起きたときです。メディアもまたFUDに夢中になるのは、それが理由です。誰かが何百万ドルも(あるいはユーロでも他の通貨でも)失うほど、話としては面白くなります。

そして、規制当局の登場です。彼らは過剰反応しがちで、厳格な法令順守と罰金を課す傾向にあり、このためにセキュリティリサーチャー、製品開発元、マーケティング担当者、メディア、そして規制当局は事実上、ゲーム理論におけるいわゆる「囚人のジレンマ」に陥りました。すべてのプレイヤーは次善の戦略を使うしかない、そうしないと負けてしまうからである、という状況です。情報セキュリティの場合、次善の戦略というのは、より多くのFUDを生み出すことです。

このわなから抜け出すために、私たちは1つ理解しなければなりません。それは、恐れに基づいていては未来を築くことはできない、ということです。

ここで言う未来は遠い先ではなく、すでにここにあります。今ではロボットがトラックを運転し、火星の周回軌道を探査しています。作曲もすれば、料理のレシピを考え出しもします。この未来は、サイバーセキュリティの視点を含め、多くの視点から見て決して完璧ではありませんが、私たちはこうした未来を阻害するためではなく、力を与えるために存在しているのです。

ユージン・カスペルスキー(Eugene Kaspersky)は最近、次のように述べました。「サイバーセキュリティ(cybersecurity)の概念が近いうちに時代遅れとなり、サイバーイミュニティ(cyberimmunity)がそれに取って代わることを、私は確信している」。突拍子もなく聞こえるかもしれませんが、これにはもっと深い意味があります。そこで、私からサイバーイミュニティの概念をもう少し深掘りしてお伝えしたいと思います。

「サイバーイミュニティ」という言葉は、「より安全な未来」という当社のビジョンを説明するのにふさわしい言葉です。実生活の中で、有機体の免疫システムが完璧であったためしはなく、ウイルスほか悪質な微生物的存在は今でも免疫システムを欺く方法を見出し、免疫システムそのものを攻撃するものさえあります。しかし、各種免疫システムには、非常に重要な共通の特性があります。学習し、順応するという特性です。また、起こり得る危険に対し、ワクチン接種という方法で「教育」が可能です。差し迫った危険に対しては、既成の抗体を投与して支援することができます。

サイバーセキュリティにおいて、私たちはほとんど後者で対処していました。お客様のITシステムが感染により被害を受けたときには、いつでもすぐにソリューションを提供できる状態でなければなりませんでした。しかし、深刻化した病に対する既製薬をセキュリティベンダーが提供するようになったとき、FUDへの依存が始まりました。薬の「強大な力」を感じることは、情報セキュリティベンダーへの依存を意味しました。「今こそ、中毒性のある抗生物質を投与するときです。真面目な話、問題は本当にそこまで深刻なのです」。しかし、中毒性のある抗生物質の使用が道理にかなうのは、感染がすでに内部に食い込み、理想的な筋書きからほど遠いと関係者が同意する状況においてのみです。サイバーセキュリティを人体の免疫システムに例えて言うと、病が根を下ろす前に免疫システムが感染を止めた方が賢明です。

こんにちITシステムはかなりの異機種混合状態にあり、また、人間(つまりデバイスを操作する人とデバイスと関わり合う人)の脈絡を離れてITシステムを見ることはできません。「免疫システムを教育する」ことへの需要は非常に大きくなり、実際に、かつては一番の優先度であった製品をもしのぐ勢いでサービスの提供を優先する流れを、私たちは目の当たりにしています。(現在で言うところの「製品」とは、多くの場合、導入先であるITシステムの仕様に適合するようカスタマイズされたソリューションを指すようになっています。)

このビジョンは、すぐに理解できるものではありませんでした。また、ワクチン投与がそうであるように、1回で終わる取り組みではありません。「より安全な未来のための、より強固なサイバーイミュニティ」という同じ目標を目指し、複数回に及ぶワクチン投与を試みるのです。

何よりも、より安全な未来とは、安全な基盤があってはじめて構築可能です。すべてのシステムが初めからセキュリティを考慮に入れて設計されたときにそれが可能となる、と私たちは信じています。電気通信業界および自動車業界では、明確なビジョンを持った当社の取り組みをすでに試験中です。特に安全性に熱心に取り組んでいる自動車メーカーにとって、当社のミッションである「Building a Safer World(より安全な未来を築く、の意)」は重要です。自動車業界では、セキュリティはまさに安全性なのです。

生物学的な意味でのワクチン接種と同様に、サイバーイミュニティの概念に懐疑の目が向けられるであろうことは承知しています。最初に受ける質問は、「そのワクチンとベンダーは本当に信用できるのか」というものでしょう。サイバーセキュリティにおける信用は何よりも重要であり、単に私たちの言葉を伝えるだけでは十分ではないと考えています。サイバーセキュリティ企業のお客様がソフトウェアのセキュリティと完全性を確かめたいと思う場合、ソースコードの形で要求するのは当然の権利です。当社ではそれを可能にしました。すべてのお客様が必要とするのは、注意深い観察力と、物事がどう機能するかを分析する公正さです。しかし、コードの確認においては、コードを見る人がコードを改竄できないようにするため、サニタイズされた状況でのポリティカルコレクトネスが必要です。そして、複数の医者による診察を求めるのと同様に、信頼できる第三者によるコードの確認もまた理にかなっています。ITソリューションについて言えば、外部の目とは、これらのビットやバイトがあなたのビジネスにとって実際どのような意味を持つのかを説明することのできる4大監査法人の担当者ということになるでしょう。

もう1つの重要な要素は、攻撃に耐え得る免疫システムの能力です。サイバーセキュリティのソフトウェアは所詮ソフトウェアであり、欠陥があるかもしれません。こうした欠陥について学ぶ最善の方法は、それをホワイトハッカー、すなわち欠陥を見つけてベンダーに報告する人々の目にさらすことです。ソフトウェアのバグを見つけたことに対する報奨金を渡すという考えは、1983年に初めて導入された、実に素晴らしいアイデアです。これにより、(見つけた欠陥を徹底的に調べるか別のサイバー犯罪者に売却するかしてしまう)ブラックハッカーに対する報奨金が大幅に削減されました。しかし、ホワイトハッカーは、自分たちの調査対象となる企業が自分たちを攻撃することも控訴することもないことを保証するようにと求めています。

需要があるところには供給があり、最近では、リサーチャーがルールを順守する限り、安全に企業のシステムに侵入でき、犯罪者として控訴されることはないという、両者間の合意があるようです。この方向に進んでいけば、より安全な未来への第一歩となり、人々の恐れが以前よりも和らぐものと信じています。しかし、旅路はしばらく続いていくようです。