Disrupt NY 2016
EFF

「モノのインターネットは、セキュリティの面では悪夢だ」EFFの警告

次の記事

差別化要素を着々と積み重ねるOpera、今度は省電力モードで電池寿命を長くした

Disrupt Newyork 2016で開催された、セキュリティとプライバシーのバランスを見つけるためのパネルディスカッションでは、さまざまな複雑なトピックについて触れられた。顧客のデータを守るための戦略や、より多様なデバイスがインターネットに接続されることによって起こる大きなリスクなどである。

どのような方法でスタートアップは顧客データを厳重に管理することができるのだろうか?「まず第一に、そのデータにアクセスする方法を持たないことだ」。そう提案するのは、デジタル社会における権利保護団体のElectronic Frontier Foundationにおいてsenior staff attorneyを務めるNate Carzoだ。

企業は政府機関のことを抵抗勢力だと考える傾向が強くなってきているかと尋ねた。するとCardozoは、メッセージ企業たちは顧客データを大量に保持できるために、特にその傾向が強いと話した。

つい先週ブラジルで、メッセージング分野の巨大企業であるWhatsAppが裁判所命令によって一時的にシャットダウンされるという事態が発生した。同社が、データへアクセスする方法を持たないとして現地の法執行機関にそのデータを引き渡さなかったためだ。

「それは映画「Field of Dreams」のような問題です。データを集めれば、彼らがやってくる(同映画のセリフ”If you build it, he will come”を引用した言葉)」とCardozoは話す。彼は加えて、「彼ら」という言葉は「企業を攻撃する人々、組織的犯罪、法機関や諜報機関」など、そのデータに興味を示すであろう多数の機関を意味すると話した。

データを守るための一つの方法は そもそもデータを集めないことです。

「もしデータがそこに存在すれば、あなたはそれを守らなければなりません。もちろん、それを守るための一つの方法は、そもそもデータを集めないことです。いくつかの企業はこれを実行しています。例えばWhatsAppはデータにアクセスする方法を持っていません。それはデータの内容を守るうえではとても有効な手段なのです」。

セキュリティリスクに対する理解がエコシステムに浸透するにつれて、この「ゼロ知識モデル」はテック企業のあいだで一般化するだろうとパネリストたちは語る。

Cardozaは「その理解が浸透してきているように見えるのがAppleの開発ラインです」と語る。「iCloudが今年中にゼロ知識ベースの解決策を採用する、または少なくともオプションとして取り入れるとしても当然でしょう」。

企業のシステム上の脆弱性を探し出す企業、HackerOneのCEOであるMarten Mickosは、テック業界で加速するプライバシーとセキュリティの闘いは、インターネット上のデータの量と種類において「急激なシフトが起こった」結果であると話す。

「私たちが20年前にインターネットを創り出したとき、そこには人を楽しませる物しか存在しませんでした。それが今では、あらゆる物の価値がソフトウェアに支配され、世界とつながっている状態でインターネット上に存在します。そのため、世界中の犯罪組織はそのソフトウェア・システムやウェブシステムを攻撃するようになり、私たちはそれを守る必要があります。それは急激な時代のシフトなのです」と彼は語った。

  1. tcdisrupt_ny16-8781.jpg

  2. tcdisrupt_ny16-8779.jpg

  3. tcdisrupt_ny16-8772.jpg

  4. tcdisrupt_ny16-8770.jpg

  5. screen-shot-2016-05-09-at-9-37-39-am.png

「私たちの生活のすべてがオンライン上に存在します」と加えたのはCardozoだ。「それに、、、コンピューター・セキュリティに関して言えば、私たちはまだまだ素人なのです。デバイスを守る方法をかろうじて知っているくらいで、それを始めたのも最近のことです。そして、Appleなどの企業がコンピューター・セキュリティに取り組み始めたことで、法執行機関はかつて体験したことのない難題に直面しています」。

パネリストが巨大なリスクとして警告したのは、医療デバイス、投票システム、自動運転システムなどが生まれたことで急に出現した、組み込み型システムにおけるセキュリティの問題だ。

「これまで、それらの企業はセキュリティについて心配する必要がありませんでした。彼らの製品の中にネットワークに接続されたものなど無かったからです」とCardozoは話す。モノのインターネット(もしくは、彼が言うところの「○○○○のインターネット」)の勃興によって生まれたリスクだ。

しかし、それが医療デバイス会社になるとどうか。まったく理解しちゃいないんですよ

「なぜ、あらゆる物にラジオやネットワークを取り入れるのでしょうか?エンジニアを有していてもセキュリティ・チームを持たない企業は、脆弱性に関するレポートにどう向き合えばいいのか理解していないのです。企業内で脆弱性の調査を担当するハッカーやリサーチャーをカウンセリングしていると、私の経験上、巨大なソフトウェア会社の担当者とはすんなりと話が通ります。Appleはそのレポートをどう扱えばいいのか理解しているのです。しかし、それが医療デバイス会社になるとどうか。まったく理解しちゃいないんですよ」。

Mickosは、デジタル・データのセキュリティが一歩進むためには、企業がよりオープンソースを活用することと、外部の助けを借りることでセキュリティ対策の負担を解消することが必要であり、それが今持てる最良の希望だと話した。

「セキュリティに対する古い考え方は、人間こそが問題なのであり、テクノロジーがその解決策になるというものでした。いま私たちが体感しているのは、テクノロジーが問題なのであり、人間こそが解決策なのだということでしょう」と彼は話す。「実際のところ、外部の人々のチカラを借りて、彼らに脆弱性のチェックをしてもらう事こそが、セキュリティ対策の一番の近道なのです」。

パネリストたちは、データのセキュリティと暗号化システムに加わる政治的な圧力についても言及した。それには、先日2人の米国上院議員がソフトウェア企業の製品にバックドアを設けることを義務づける法案を通過させようとした出来事も含まれる。

Cardozoはこう語った。「Burr上院議員とFeinstein上院議員によるバックドア法案を文字通りに受け止めると、あの法案はコンピューターの基本的な目的自体を否定するものだという事になるでしょう。しかし、それが彼らの狙いだったわけではありません。それでは彼らの愚かさを示すだけです。そうではなく、あれは捨て駒による先制攻撃です。彼らは今回の法案を通すつもりなどありませんでした。私たちが本当に心配すべきは、次に出てくる法案なのです」。

[原文]

(翻訳: 木村 拓哉 /Website /Twitter /Facebook