「罰」ではなく「共感」を―フェイスブックCSOがBlack Hatで力説した「セキュリティプロの心得」 (1/2):EnterpriseZine(エンタープライズジン)
Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「罰」ではなく「共感」を―フェイスブックCSOがBlack Hatで力説した「セキュリティプロの心得」

2017/08/09 06:00

 2017年7月26日から2日間、米ラスベガス「マンダレイ・ベイ・リゾート・アンド・カジノ」において、世界最大の情報セキュリティカンファレンス「Black Hat USA 2017(以下、Black Hat)」が開催された。今年で20周年を迎える同カンファレンスには、世界80カ国から1万5000人以上が参加。Black Hatの創設者であるJeff Moss(ジェフ・モス)氏は、「当初は参加者が車座になって話し合う井戸端会議のような雰囲気で、講演も知人のツテを頼って登壇してもらっていた。それが今では、250を超える企業が参加し、約150のセッションが開催されるようになった」と振り返る。

世界80カ国から1万5000人以上が参加。基調講演会場となったアリーナはコンサート会場のような盛り上がりだった
世界80カ国から1万5000人以上が参加。
基調講演会場となったアリーナはコンサート会場のような盛り上がりだった

 この20年で、日本からの参加者も増加してきた。ある出展企業関係者は、「われわれが把握しているだけでも日本からの参加者は100人以上」と語る。Black Hatには第一線で活躍しているセキュリティ専門家が一堂に会するため、情報収集だけでなく、人脈作りや情報交換の場としても有益だという。

 7月26日のオープニング基調講演冒頭に登壇したMoss氏は、「Black Hatは20年の歴史を刻んだが、セキュリティ業界はまだ若い業界だ。今後の20年も、その規模や網羅すべき範囲が拡大することは間違いない」とコメント。「われわれは、セキュリティ・コミュニティの成長を支援すべく、(セキュリティ)人材育成に注力する必要がある。(中略)今後、あらゆるモノがつながる状況においては、『デフォルトで安全』な環境を構築しなければならない。その責任はわれわれにある」と、参加者に訴求した。

Black Hatの創設者であるJeff Moss(ジェフ モス)氏は20年の歴史を振り返り「開催当初は20年も続くとは誰も考えていなかった」と感慨深げに語った
Black Hatの創設者であるJeff Moss(ジェフ モス)氏は20年の歴史を振り返り、
「開催当初は20年も続くとは誰も考えていなかった」と感慨深げに語った

乖離する、セキュリティ“プロ”とエンドユーザー

 続いて登壇した米FacebookでCSO(Chief security officer/最高セキュリティ責任者)を務めるAlex Stamos(アレックス ステイモス)氏は、現在のインターネット業界が直面しているセキュリティの課題とその対策を指摘。Facebookが会社を挙げてインターネットセキュリティの向上に取り組む姿勢を強調した。

米FacebookでCSO(Chief security officer/最高セキュリティ責任者)を務めるAlex Stamos(アレックス ステイモス)氏
米FacebookでCSO(Chief security officer/最高セキュリティ責任者)を務める、
Alex Stamos(アレックス ステイモス)氏

 「セキュリティ専門家はゼロデイ攻撃や自動車のハッキング、自動支払機(ATM)の乗っ取りなど、最先端のセキュリティインシデント事例に目を向け、その脆弱性を詳らかにしようとしている。しかし、脆弱性が発見された後に発生する混乱に対してあまり目を向けていない」―Stamos氏はセキュリティ専門家と一般ユーザーの“乖離”に警鐘を鳴らす。

 マルウエアの蔓延や情報漏えい、フィッシングなどによる金銭盗取の多くは、ユーザーが“正しいセキュリティ対策”を講じていれば被害に遭うことはほとんどないと同氏は指摘する。うっかりミスをするユーザーや危機意識の低いユーザー、そして十分なセキュリティ対策を講じていないユーザーに対して、セキュリティ専門家は「救いの手を差し伸べるのではなく罰する傾向にある」(Stamos氏)。必要なのは、「罰」よりも、エンドユーザーを理解するという、「共感」だというのが、同氏の見解だ。

 「現在のサイバー攻撃は、インターネットだけにとどまらず、社会安全保障の問題や重要インフラ、さらには民主主義に対しても日々続いている。(中略)そうした状況ではミスを罰するような姿勢は妥当ではない」(Stamos氏)

サイバー攻撃のヒエラルキー。セキュリティ侵害を引き起こす“脆弱性”は、うっかりミスやパスワードの使い回しが大半だが、セキュリティ専門家はゼロデイ攻撃など最先端の脆弱性に全力投入する傾向があるという
サイバー攻撃のヒエラルキー。
セキュリティ侵害を引き起こす“脆弱性”は、うっかりミスやパスワードの使い回しが大半だが、
セキュリティ専門家はゼロデイ攻撃など最先端の脆弱性に全力投入する傾向があるという

 Stamos氏は、「Security Nihilism(セキュリティ ニヒリズム)」という新たな概念を紹介した。これは、攻撃者優位の状況から「すべての攻撃者が完璧であることを想定し、最悪のシナリオやセキュリティ対策上で妥協しなければならない部分は、すべて脆弱性と見なす」という考えである。多くのセキュリティ専門家はSecurity Nihilismに囚われて対策を講じるが、その姿勢が一般ユーザーとの乖離を引き起こす一因になっていると指摘した。

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

  • 鈴木恭子(スズキキョウコ)

    ITジャーナリスト。 週刊誌記者などを経て、2001年IDGジャパンに入社しWindows Server World、Computerworldを担当。2013年6月にITジャーナリストとして独立した。主な専門分野はIoTとセキュリティ。当面の目標はOWSイベントで泳ぐこと。

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5