基調講演会場となったアリーナはコンサート会場のような盛り上がりだった
この20年で、日本からの参加者も増加してきた。ある出展企業関係者は、「われわれが把握しているだけでも日本からの参加者は100人以上」と語る。Black Hatには第一線で活躍しているセキュリティ専門家が一堂に会するため、情報収集だけでなく、人脈作りや情報交換の場としても有益だという。
7月26日のオープニング基調講演冒頭に登壇したMoss氏は、「Black Hatは20年の歴史を刻んだが、セキュリティ業界はまだ若い業界だ。今後の20年も、その規模や網羅すべき範囲が拡大することは間違いない」とコメント。「われわれは、セキュリティ・コミュニティの成長を支援すべく、(セキュリティ)人材育成に注力する必要がある。(中略)今後、あらゆるモノがつながる状況においては、『デフォルトで安全』な環境を構築しなければならない。その責任はわれわれにある」と、参加者に訴求した。
「開催当初は20年も続くとは誰も考えていなかった」と感慨深げに語った
乖離する、セキュリティ“プロ”とエンドユーザー
続いて登壇した米FacebookでCSO(Chief security officer/最高セキュリティ責任者)を務めるAlex Stamos(アレックス ステイモス)氏は、現在のインターネット業界が直面しているセキュリティの課題とその対策を指摘。Facebookが会社を挙げてインターネットセキュリティの向上に取り組む姿勢を強調した。
Alex Stamos(アレックス ステイモス)氏
「セキュリティ専門家はゼロデイ攻撃や自動車のハッキング、自動支払機(ATM)の乗っ取りなど、最先端のセキュリティインシデント事例に目を向け、その脆弱性を詳らかにしようとしている。しかし、脆弱性が発見された後に発生する混乱に対してあまり目を向けていない」―Stamos氏はセキュリティ専門家と一般ユーザーの“乖離”に警鐘を鳴らす。
マルウエアの蔓延や情報漏えい、フィッシングなどによる金銭盗取の多くは、ユーザーが“正しいセキュリティ対策”を講じていれば被害に遭うことはほとんどないと同氏は指摘する。うっかりミスをするユーザーや危機意識の低いユーザー、そして十分なセキュリティ対策を講じていないユーザーに対して、セキュリティ専門家は「救いの手を差し伸べるのではなく罰する傾向にある」(Stamos氏)。必要なのは、「罰」よりも、エンドユーザーを理解するという、「共感」だというのが、同氏の見解だ。
「現在のサイバー攻撃は、インターネットだけにとどまらず、社会安全保障の問題や重要インフラ、さらには民主主義に対しても日々続いている。(中略)そうした状況ではミスを罰するような姿勢は妥当ではない」(Stamos氏)
セキュリティ侵害を引き起こす“脆弱性”は、うっかりミスやパスワードの使い回しが大半だが、
セキュリティ専門家はゼロデイ攻撃など最先端の脆弱性に全力投入する傾向があるという
Stamos氏は、「Security Nihilism(セキュリティ ニヒリズム)」という新たな概念を紹介した。これは、攻撃者優位の状況から「すべての攻撃者が完璧であることを想定し、最悪のシナリオやセキュリティ対策上で妥協しなければならない部分は、すべて脆弱性と見なす」という考えである。多くのセキュリティ専門家はSecurity Nihilismに囚われて対策を講じるが、その姿勢が一般ユーザーとの乖離を引き起こす一因になっていると指摘した。
