「CodenomiCON」に見た海の向こうのセキュリティ、日本との違い：セキュリティ・アディッショナルタイム（13）（1/2 ページ）

Black Hatの前日に開催された「CodenomiCON」は、米シノプシスが開催するユニークなカンファレンスだ。複数の政府関係者とセキュリティ研究者によるざっくばらんなパネルディスカッションからは、海の向こうのセキュリティと共通する「悩み」はもちろん、「すごみ」も感じることができた。その模様をお伝えする。

[高橋睦美，＠IT]

連載目次

　米国で開催される夏のサイバーセキュリティイベントといえば「Black Hat」に「DEF CON」だが、実はその前日にも、ユニークなカンファレンスが開催されている。それが、米シノプシスが主催する「CodenomiCON」だ。

　サイバーセキュリティやソフトウェアの脆弱（ぜいじゃく）性に興味を持つエンジニアならば、CodenomiCONという名前を聞いてピンと来る人もいるだろう。2014年4月に公表され、インターネット全体に大きなインパクトを与えたOpenSSLの脆弱性を発見し、「Heartbleed」という名前を与え、ロゴ画像まで作成して情報を公開したのが、フィンランドのセキュリティ企業Codenomiconだった。CodenomiCONはその同社が過去6年にわたって開催してきた年次カンファレンスだ。

　なおCodenomiconは2015年にシノプシスの傘下に入ったため、その後はシノプシスがカンファレンスを主催している。2016年8月2日にラスベガスのホテルで開催された「CodenomiCON USA 2016」では、医療機器や車など、いわゆるITシステム以外のセキュリティが主なテーマとなった。

　CodenomiCONのセッションは、Black HatやDEF CONのようなプレゼンテーション形式ではなく、第一線の専門家を招いてのパネルディスカッションが中心だ。ステージには、2015年のBlack Hatでジープ・チェロキーに対するハッキングを披露して一躍有名になったチャーリー・ミラー氏やクリス・ヴァラセク氏をはじめとする第一線のセキュリティ研究者の他、政府や業界団体でセキュリティ政策に携わった経験を持つ専門家が多数登場し、率直な意見を交わした。

関連記事

新たなジープハッキングは速度制限なし、自動運転車はセンサーが攻撃対象に

　イベントは夕方から夜10時までという時間帯で行われ、希望する登壇者にはアルコールが振る舞われることもあって、かしこまった席では聞かれないようなセキュリティ専門家の「生の声」を聞くことができた。本稿では、その中でも特に印象的だったポイントを紹介しよう。

ラスベガスのホテルのライブハウスで行われたCodenomiCON。会場は前夜祭的な雰囲気で盛り上がった

セキュリティは「サイバーだけの問題」ではなく事業継続、生き残りのための問題に

　今や、パネルディスカッションのテーマとなった「医療機器」や「車」はもちろん、IoT（Internet of Things）や重要インフラなど、ありとあらゆる仕組みがIT、つまりはソフトウェアに依存している。そして、日本でも指摘され始めていることだが、こうしたソフトウェアのバグや脆弱性をゼロにすることはできない。CodenomiCONで発言した専門家らはこの事実をもはや「当たり前」のこととして捉えた上で、「いかにリスク管理を実現するかという観点で問題に取り組む必要がある」と述べた。

　冒頭の「Fireside Chat」と題する対談では、コンピュータサイエンティストのフレッド・コーエン氏があらためて「現在、セキュリティの重要性は、昔とは比べものにならないほど高まっている。かつては『PCが壊れて困った』程度で、誰も気にせず済ませることができたが、今や重要インフラや制御システム、ビルの管理システムなど、あらゆるものがITシステムへの依存を高めており、そのセキュリティは極めて重要になっている」と指摘した。

　これを受け、元米国司法省国家安全保障担当検事を務めた経験を持つルーク・デンボスキー氏（デビボイス＆プリンプトン ワシントンDCオフィス パートナー）は、「医療機器にせよ自動車にせよ、あらゆるものがソフトウェアによって動いている。だが、それらソフトウェアの脆弱性がゼロということはあり得ない。従って、脆弱性の存在を前提とした上で、リスクを管理する術を見いださなくてはならない」と述べ、ソフトウェアサプライチェーンの管理や、マイクロセグメント化によるリスクの封じ込めといった取り組みの必要性に言及した。

　ポイントは、リスクをゼロにするのではなく“管理”するということだ。そしてその取り組みは「サイバー領域」だけに閉じたものではなく、オペレーションや事業継続といった組織や企業戦略の中に位置付けていく必要がある。

　コーエン氏は「リスク管理においては企業トップの理解が不可欠であり、それには、適切な意思決定を下せるような適切な情報を上げていかねばならない」と述べる。デンボスキー氏もこれを受け、「サイバーインシデントレスポンス計画は危機管理計画の中に位置付けていく必要がある。IT部門だけでなく、コンプライアンスや法務部門、あるいは対外コミュニケーションの担当者や規制当局との窓口担当も含めたチームで優先順位付けを行い、経営層に報告すべきだ」と強調した。

　米国では日本以上に情報漏えいをはじめとするセキュリティ事故が多発しており、IoTやその他のデバイスをターゲットとした攻撃も現実的な問題として捉えられている。こうした状況を踏まえた一連の議論からは、万一問題が発覚したときの「言い訳」として仕方なくセキュリティに取り組むのでもなく、リスクをゼロにするという不可能な目標を追いかけるのでもなく、事業を進める中で不可欠なリスクとしてサイバーセキュリティに向き合い、管理していかなくてはならないという問題意識が強く感じられた。「自分ごと」として現実的な姿勢で向き合う――それが、会場で感じた彼我の違いの一点目だ。