Comments
Description
Transcript
RSA Conference US 2014 基調講演 - EMC Japan
RSA Security Findings March 13, 2014 葛藤の増すデジタル社会で活路を見出す Finding a Path Forward in an Increasingly Conflicted Digital World RSA Conference 2014 基調講演 (2 月 25 日) EMC Corporation エグゼクティブ・バイスプレジデント 兼 RSA,The Security Division of EMC エグゼクティブ・チェアマン アート・コビエロ Arthur W. Coviello Jr. 要約:インターネット上のサイバー戦争、政府による監視、プライバシー、信頼性などさまざまな緊急課題につ いて、国家間およびセキュリティ業界による協力体制とガバナンスの強化、信頼されるデジタル世界を構築する ためのガイドラインとなる 4 つの原則の採用を呼びかけました。 さらに複雑化するテクノロジー環境をサイバー リスクから確実に守るため、インテリジェンスを活用したテクノロジー、プロセス、ツールを導入するための道 筋を提案しました。 RSA® Conference 2014へようこそ。 「パトカーアダム30」1のキャストの誰かが開会を宣言すると聞いたとき、私はヘザー・ロックリアに期待して いました。Priceline.comがスポンサーシップを求めてきた際、私はもっとよく考えるべきでした。しかしなが ら結局、オープニングにウィリアム・シャトナー 2を迎えたのはぴったりでした。 今回、2万5,000名を超える参加者、400以上の各種スポンサーや出展社、550名を超えるスピーカー、記録的 な数の報道機関にお集まりいただいたことで、過去最大のカンファレンスになることは間違いありません。 RSA Conferenceは、20年以上もの間、世界レベルでセキュリティを語る場所となっています。 しかしながら、今年は例年と違うようです。 1 2 原題 T. J. Hooker。1982 年から米国でテレビ放送された警察官ドラマ。 ヘザー・ロックリアは、劇中で警察官実習生を演じた女優。 映画俳優、映画監督。「スタートトレック」シリーズで長年、カーク船長役を演じた。 1 まあ、それほど異なっているわけではないかもしれません。最初の頃のRSA Conferenceは、当時、輸出が禁止 される軍需品として分類されていた鍵の預託、クリッパーチップ、暗号自体に関する論争の中心地でした。私た ちは、個人情報保護の本質や、どのようにしたら政府と産業界が衝突を悪化させるのではなく、生産的なコラボ レーションに従事できるようになるかについて議論してきました。皆さん、聞き覚えはありますか? あれからほぼ20年が経過した今、私たちは再び岐路に立たされています。私は、この基調講演の中で特に、業 界を進歩させるための指針やベストプラクティスなども含めて、私たちが直面するマクロの問題について言及し ようと考えていますが、今年は、まずはRSA自体についての話から始めなくてはなりません。デジタルインフラ のプライバシーを保護する目的で政府に対する非難を先導していたと見られていた約20年前とは異なり、今で は、私たちがその戦いの反対側に立っていると非難されてきました。 2013年12月にそのような訴えが表面化した際、私たちはこの問題について意見を述べました。しかしながら、 今日のような、あっという間に140文字で目まぐるしく展開されるメディア上の対話では、業界の現状やRSAの ビジネスの状況、進化に関して、より広い視野をお伝えすることは困難です。今日、この機会を借りて、私は以 上のようなことをじっくりお伝えできればと願っているのです。 皮肉なことに、RSAが今日直面している状況は、RSAとその創設者であるジム・ビゾス氏が90年代にNSAに対 して繰り広げた同様の戦いに端を発しています。これらの戦いで勝利を収めて行くにつれて、RSAが暗号化の将 来の方向性のほとんどをリードするという単独ベンダーの時代は終わりを告げました。当社の暗号化ツールは、 1999年まで輸出が規制されていました。米国以外のほとんどの国々では、国際特許の保護のない、オープンソー スのツールキットでRSAアルゴリズムを既に実装していました。2000年に当社の米国特許が切れると同時に、 全世界中でその流れが広がりました。そのような理由から、今日における暗号化は、オープンソースのツールキッ トを使用して実装されることが圧倒的に多いのです。 このような現実、さらには当社のビジネスにもたらす暗号化の貢献度は縮小するのが避けられないという状況を 考慮し、私たちは、特定ベンダーの知的財産よりも、むしろより大きなコミュニティによる貢献に基づいて規格 を策定するという方法の確立に努力するようになりました。私たちは、ANSI X9、NIST(米国標準技術局)と いったさまざまな標準化団体を重視し、信頼を寄せています。当社は、推進者としてではなく、大きなコミュニ ティからの貢献によってますます強大になるオープンスタンダードに対する貢献者および受益者としての新し い役割を見つけたのです。 2000年代初頭にこのような移行が実現しました。そのような中、セキュリティ業界は、乱数の生成にハッシュ 関数ではなく楕円曲線によるアルゴリズムを使用する是非を議論し始めました。当社はコミュニティ内で既に強 力な方法としてまとめられていた方法を喜んでサポートしました。その方法は、2006年に、ほとんど反対され ることなくNISTの規格として採用されました。 暗号化ツールにおけるRSAの市場が、米国連邦政府や連邦政府にアプリケーションを販売する団体へとますます 限定されていった状況を考慮すると、当社のツールキットの多くにおいてこのアルゴリズムをデフォルトとして 採用したおかげで、政府の認定要件を満たすことができました。 2 そのような流れの中で、私たちの現在があります。昨年9月、このアルゴリズムが悪用の手段の一環として利用 される恐れがあるという、2007年に提起された懸念の可能性が確認されると、NISTは、関連する標準化団体と してこのアルゴリズムの使用を停止する新たな指針を公表しました。私たちはその指導にすぐに従い、お客様に そのことを通知し、このアルゴリズムの使用を停止する措置を講じました。 それではここで、NSA自体に話を移したいと思います。RSAはNSAと協力関係にあったのでしょうか? 答えは 「イエス」です。ただしその事実は、10年近くの間、公の記録として公表されています。多くの人々は、NSA が単なる巨大な情報収集組織ではないということを忘れています。NSAには、防衛的な機関であるIAD(情報保 証総局)も含まれています。この機関に定められた目的は、情報システムおよび米国の重要なデジタルインフラ を守ることです。実際、NIST、RSA、さらにすべてではありませんが主要なセキュリティ企業やテクノロジー 企業のほとんどは、NSA内に設けられたこの防衛部門と協力関係にありますし、私たちのすべてが、脅威や脆弱 性についての貴重な情報をNSAから得ています。 そのような事実にもかかわらず、NSAが防衛機関と情報収集機関としての役割の境界を曖昧にし、セキュリティ に関するコミュニティにおいて、その信頼される地位を利用した場合は問題になります。 規格の問題、技術のレビュー、あるいは自分たちを公開することになるあらゆる領域において、NSAのどの部門 と協力しているのか、彼らの狙いは何なのかがはっきりしない場合は、NSAとはそもそも協力すべきではありま せん。 そのような可能性を排除するために、私たちは、暗号化規格の作成に関するNISTの新しい提案を支持します。 さらには、より重要なことかもしれませんが、NSAの役割を簡略化するために、情報およびコミュニケーション 技術に関する大統領の調査グループが出した、「NSAはもっぱら外国の諜報機関に対して活動し、IADを分離し て別の組織によって管理させるべきである」という勧告を私たちは支持します。悲しいことに、IADの素晴らし い業績の多くが、この過熱した論争の騒ぎの中で忘れ去られようとしています。このような事態は、単に悲しい だけでなく、国家にとって危険でさえあります。しかしながら、一旦この勧告の内容が実現すれば、NSAの攻撃 的な役割と防衛的な役割の分担が進み、諸々の関係の修復や信頼の再構築が進むでしょう。 さまざまなことが明るみに出る中、批判されるべきはNSAに限ったことではありません。私は、今述べた内容は、 あらゆる政府やその諜報機関にも当てはまると思います。一言で言えば、世界中のあらゆる諜報機関は、民衆に 与える不利益を減らし、民衆を守る機能を強化するような統治モデルを採用する必要があります。 安全で安心できるデジタル社会のための4つの基本原則 一歩下がって見ると、デジタルの世界における政府、企業、個人の競合する利害間の緊張は驚くべきことではあ りません。情報は、より簡単にアクセスできるようになり、その価値が高まっています。私たちは、情報技術の 利用に関して、基本的かつ歴史的な変化の真っ只中にあります。この変化は、私たちの社会や文化の未来に対し て、歴史的な意味合いを持つことは間違いありません。技術の急速な拡大と民主化によって、異質なグループの 思惑がぶつかり合い、予測不可能な結果が生まれています。 3 これらの思惑の衝突は、私たちのデジタル世界を導く社会規範の欠如を浮き彫りにしています。現実の世界では、 何世紀にもわたる時間をかけて行動規範や活動規則が形成されてきました。そのような長い時を経た現在でも、 これらの規範や規則は未だ形成中だと言えます。デジタル世界の規則は、せいぜいこの10年か20年そこらで形 成されたものに過ぎません。 その結果、オンラインや世界各国のメディア、議会、さらには法廷が混沌を極めているのは、デジタル規範の欠 如を反映しているからに他なりません。ある有名な、いや悪名高いユーモア俳優は次のように述べています。 「人 類は岐路に直面している。一方の道は絶望につながり、もう一方の道は絶滅へとつながっている。」 3 きつい冗談にも聞こえますが、この表現はまさに人々が現状をどのように捉えているかを表現していると思いま す。私たちは大混乱の真っ只中にあり、すぐにでもデジタル規範を構築しなければ、残る選択肢は絶滅かも知れ ないのです。ここで言う絶滅とは、ビジネスを行うための信頼できる環境と、研究と開発を調和させるための信 頼できる環境、さらには、お互いにコミュニケーションするための信頼できる環境としてのインターネットの絶 滅を意味します。 デジタル技術、ビッグデータ、モノのインターネット(IoT)は、さまざまな社会的不安から抜け出すための手 段を提供するのではないかと考えられています。木曜日には、スコット・ハリソン氏が彼の組織「charity: water」 における感動的な物語を共有してくれます。彼の成功物語は、インターネット無しでは考えられません。インター ネットがなければ、何千もの地域社会が、未だに新鮮で安全な飲料水を手に入れられず苦しんでいたことでしょ う。 しかしながら、まさにそのデジタル技術がもたらす力は、核時代の到来以降、あらゆるものにも勝る破壊力への 道を開いています。 私たちが岐路に立っていることは明らかです。産業界および世界中の政府がこれらの問題に対してどのような選 択をするかは、将来の世代に幸せをもたらすか、災難をもたらすかについて大きく影響します。私たちはこのよ うな責任に対して怯むことはできません。この責任を受け入れる必要があります。 このような理由から、私はこの基調講演において、すべての国々が次の原則を採用し、実装するように要請した いと思います。私たちは、このカンファレンスを利用してこのような目的を果たす必要があります。 1. サイバー兵器の使用、戦争の手段としてのインターネットの使用を放棄すること。 2. サイバー犯罪者の捜査、逮捕、起訴において国際的に協力すること。 3. インターネット上で経済活動を自由に進められるように、世界中で知的財産権が尊重されること。 4. すべての個人のプライバシーを尊重し、保護すること。 3 ウッディ・アレンの著作 「Mere Anarchy(邦題 ただひたすらのアナーキー)」からの引用。 4 なぜ、今、この4つの原則なのでしょうか? まず、サイバー兵器が現実に使用されています。サイバー兵器は核兵器と異なり、容易に伝播され、その開発者 をも攻撃できます。有名な言葉を引用するならば、「虎の背中に乗って軍事的に優位な立場を得ようとすれば、 結局は喰われてしまう」4とでも言いましょうか。多くの方々が、まさにこのトピックに関する昨日のニューヨー クタイムズの記事 5をお読みになったかと思います。私たちは、核戦争や化学戦争に対する嫌悪感と同様のもの をサイバー戦争に対しても持つべきなのです。 2番目に、インターネット上で他者を出し抜いて優位な立場を得ようとしている政府から利益を得ているのは、 犯罪者、つまり日を追うごとに増大している犯罪者のみであるという事実です。迅速かつ一貫性のある持続的な 協力関係が世界各国の間で欠如すれば、犯罪者に安全な隠れ家を提供しているのと同じことになってしまいます。 3番目に、商業、研究、コミュニケーションにおける生産性が向上することで私たちが得るさまざまな利益は あまりにも大きいので、法の原則に関する同意が得られないという事実です。規則に従ってはじめて、法の原則 と言えるのではないでしょうか。 最後に、現在のようなデジタル時代においては、私たちの個人情報がいわば真の通貨となっており、悪用されな いようにすることが重要で、私たちの基本的自由が保護されることがさらに重要であるという点です。ただし、 個人の自由には責任も伴います。政府にはバランスを作り出し、それを実施する義務があります。つまり、個人 の権利と集団安全保障を包含するバランス、公正な統治モデルと透明性に基づいたバランスです。政府自体に関 しては、米国建国の父の1人であるジェームズ・マディソン大統領の「最大の困難は、最初に政府に民衆を統治 させてから、次に民衆に自らを統治させなければならないということだ」という言葉を引用したいと思います。 開示性と透明性が最も重要になります。 多くの人々は、そのような原則がこれまでに採用されたことがあるのか懐疑的ですし、さらに悪いことには皮肉 的にも考えています。多くの人々が私はナイーブであると思うでしょう。しかしながら、前例があります。 私たちは既に危険な世界に住んでいますが、核不拡散に関する協定、化学兵器の禁止、および宇宙における戦争 の禁止によって、危険を少しでも減らそうと努力しています。 サイバースペースでもそれが可能ではないでしょうか? 最近、これらの考えについて、有名な政治的ハッカー兼自称アナーキストと話をした際、彼は冷戦へのたとえ話 は聞きたくないと言いました。政府を信頼していないために、前述のような原則は非現実的で達成不可能である と彼は結論付けたのでしょう。しかし、そのような信念は危険であり、さらに悪いことには、大混乱は避けられ ないという結論に至ってしまいます。私たちは、そのような考えを拒絶しなければなりません。 4 5 ケネディ大統領就任演説からの引用。原文は「those who foolishly sought power by riding the back of the tiger ended up inside.」 2014 年 2 月 24 日付。「Syria War Stirs New U.S. Debate on Cyber attacks」 5 私は、冷戦に関する視点と、1963年にアメリカン大学でケネディ大統領が行った、核をめぐる対決の時代にお ける平和についての演説に触発されました。彼の言葉は、今日の私たちの状況にも当てはまると思います。彼は こう言いました。 「私たちが抱える問題は、人間が作り出したものだ。従って、 人間が解決できるものである。人間は自分が望むとおりの高 みに達することができる。人間の運命に関するどんな問題も、 人間の力が届かないはずはない。人間の理性と精神は、一見 解決不可能な問題をしばしば解決してきた。人間が再びその ような叡智を発揮できないはずはない。」 私は、未来の夢想的なビジョンとしてこれらの原則を話しているわけではありません。いかなる国家も一方的な 行動は慎むべきです。信頼が欠如し、多くの人々が純粋に相反する野心を抱いたままでは、これらのような原則 を採用することは困難です。オンライン上の行為の帰属を証明するための仕組みが欠如していれば、その困難の 度合いはさらに大きくなります。このような原則を採用するには、優れたリーダーシップと、より賢明な世界が 必要になります。国家は、自己の利益のために行動します。しかしながら、国家間の違いがどのようなものであ れ、これらの原則は、すべての国と全人類の利益になることは疑いの余地がありません。これらの原則へと続く、 具体的かつ実現可能な一連の行動をみんなで起こそうではありませんか。 政府だけでは無理な仕事です。私たちの支援も必要とされています。それでは、業界全体、さらにはそれぞれの 組織として、私たちは何ができるのでしょうか? 既得権益を持ち寄ることで、前向きな対話を行う環境を生み出すことができます。今週、ここRSA Conference では、12か国のサイバー専門家を集めてセキュリティとプライバシーについて議論します。2013年の夏に開催 されたRSA Conference Asia Pacificでも、同様にASEAN諸国の指導者が集結しました。昨年のRSA Conference では、FS-ISAC(US Financial Services – Information Sharing and Analysis Center)および50の国際銀行 のリーダーが集結しました。その結果、FS-ISACの取り組みが国際的に広がり、世界中の金融サービス業界の利 害が、金融システムのセキュリティと信頼性の強化という形で一致しました。このような集団的な取り組みが もっと必要ですし、これらの議論の機会を提供し、私たちの意見を議論の中で伝えていく中でRSAが果たした役 割を誇りに思っています。他の多くの組織および会議が同じような活動に従事しています。 しかしながら、これまで以上に業界全体として積極的な役割を果たす必要があります。私たち全員が、私たちが 直面しているリスクと脅威の両方を誰よりも理解しています。さらには、多くの場合、政府には不可能な迅速な 行動が私たちには可能です。従って、産業界全体で私が提示した原則を強く提唱していかなければなりません。 不作為がもたらす結果について、思慮深くかつ事実に基づく永続的な方法で、今まで以上に深く理解する必要が あります。不作為が、なぜ未来の世代により危険で縮小した未来をもたらす結果となるのかについて、私たちは 大々的に報じられるような誇大広告ではなく、理路整然とした説得力のある一連の議論を展開しなければなりま せん。私たちは、かつてないほど、以上のような問題に光を当て、政治指導者を鼓舞しなければなりません。 6 プロセスおよびテクノロジーのフレームワークの開発を継続し、私が以前お話したインテリジェンス主導型のセ キュリティモデルを実装しなければなりません。私たちは、オバマ大統領の命令のもと、NISTとともにこの作 業に取り組み、前進しています。 セキュリティ業界のミッション 結局、私たちが最も得意な仕事、すなわち、現在および将来にわたって私たちを守ってくれる技術を開発し実装 していくしかありません。セキュリティ業界における私のこれまでの経験の中で、今日ほど大規模な投資と技術 革新が行われている時代はありません。そのスピードもこれまでとは比較になりません。ご存じのとおり、攻撃 の対象となる領域の拡大やますます高度化するマルウェアや技法に、従来の制御手段では対処できません。 インテリジェンス主導型のセキュリティの必要性が今までになく声高に叫ばれているのです。 私たちは、ゼロデイの脅威を迅速に発見しそれらをブロックできるような知性を備えたマルウェア対策を必要と しています。 私たちには、攻撃のパターンを理解できるような知性を備え、組織全体に散らばる多種多様な情報源からのデー タの相関関係を把握し分析することにより、行動に結び付くような実用的な情報を与えてくれるセキュリティシ ステムが必要なのです。そのような理由から、RSAは、姉妹会社のPivotalと提携し、組織のあらゆるところか ら収集したビッグデータを導入し、活用するための新しいモデルを提供しています。 今日のようなハードウェアによって規定されるインフラだけでなく、ソフトウェアによって規定される新世代の ネットワークとインフラにおいても、応答を自動化し損害を防げるような知性を備えた統合システムが必要なの です。 私たちは、IDシステムに対して、よりインテリジェンスに基づいた新しいアプローチを早急に導入する必要が あります。シャドーITやBYODのようなトレンドに代表されるように、ユーザー定義によるITの時代を認識し、 それに適応する必要があるのです。これらのシステムでは、セキュリティチームがユーザーとIT部門間の力関係 のバランスの変化に対応できるようにしながらも、ユーザーデバイスおよびセッションが組織に関係する場合に は、それらにポリシーを適用し、制御できるようにすることが不可欠です。これらのシステムは、IDの管理を 一貫して行えるように、モバイルとクラウドの環境でも動作する必要があります。 また、今日のような技術に依存した環境では収束しつつある、デジタルのリスクや運用リスクを明確にし、管理 できる能力を向上させるためのツールも早急に必要です。 そして最終的には、組織自体にリソースや専門知識がない場合でも、そのようなツールを利用できるようにする 必要があります。そのような理由から、RSAは、当社やその他の会社の技術を活用しながらセキュリティ管理サー ビスを提供することができるVerizonのような企業と協力し、当社のマネージドセキュリティサービスのパート 7 ナーシップを拡大しています。 以上のことは、非常に重要な取り組みではありますが、セキュリティ業界が提供すべき仕事としてすべてをカ バーするものではありません。私がお伝えしたいのは、世界中の政府がデジタルに関する規範を作成するように、 今すぐ私たちが支援する必要がある一方で、セキュリティ業界としては、そのような規範と自らの未来を守るた めの製品やサービスを開発し実装する必要がある、ということです。 私たちは誰一人として単独ではこの仕事をなし得ません。私たちが望むデジタルの世界を構築するには、産業界 と政府が連携して取り組む必要があります。私が声を大にして、世界中の国々とあなた方全員に協力をお願いし ているのは、私たち、ひいては全人類の利益のためなのです。これは容易には達成できないことは承知していま す。私たちの利害はそれぞれ異なりますし、違いがあるのも明らかです。 しかし、再びケネディ大統領のアメリカン大学のスピーチに目を向けてみましょう。彼はキューバのミサイル危 機、すなわち、米国とソ連が熱核戦争に突入する寸前のところまで行った危機から6か月後、そして暗殺される 6か月前にこの演説を行いました。当時、私は10歳でした。ここにいる皆さんのほとんどは生まれてさえいなかっ た頃です。 ケネディ大統領は次のように述べました。「互いに相違点があることは認めよう。しかしながら、そのような相 違を乗り越えられる、共通の利益があることにも目を向けよう。たとえ今すぐ相違点を克服できないにしても、 少なくとも多様性を認めるような世界を作る努力はできるはずである。何故ならば、我々人類は結局、皆この小 さな星に生き、皆同じ空気を吸い、皆子供の将来を大切に思っており、皆最後は死んでしまうのだから。」 フルシチョフ首相はケネディ大統領のこの演説に深く感銘を受け、この2か月後に核実験禁止条約が締結された と言われています。 このケネディ大統領の言葉に再び息を吹き込み、私たちも行動を起こそうではありませんか。政府には、私が概 説した4つの原則を採用してもらい、セキュリティ業界では、それに伴い必要となる安全なフレームワークと技 術を開発しましょう。私たちすべてが、互いの相違点を超えて、今週の話し合いを進めようではありませんか。 そして、それ以降の週、月、年にわたって、私たちすべてにとってデジタル世界をより安全なものにするように 取り組んでいくと、自信を持って固く心に誓おうではありませんか。 8 RSA Security Findings 2014 年 3 月 13 日号 発行元 EMC ジャパン株式会社 TEL : 03.6830.3341 RSA 事業本部 マーケティング部 eMail : [email protected] Web : http://japan.emc.com/rsa EMC2、EMC、RSA、RSA ロゴは、米国およびその他の国における EMC Corporation の登録商標または商標です。他のすべての名称ならびに製品についての商標 は、それぞれの所有者の商標または登録商標です。 RSASF 1403-J 9