RSAのトップがNSAとの関係について説明:RSA Conference 2014
RSAのエグゼクティブ・チェアマンであるアート・コビエロ氏は2月25日(米国時間)、同氏の講演で、NSA(国家安全保障局)との関係や、デジタルの世界における混乱について話した。
RSAのエグゼクティブ・チェアマンであるアート・コビエロ(Art Coviello)氏は2月25日(米国時間)、サンフランシスコで開幕したRSA Conferenceにおける同氏の基調講演の前半を費やし、NSA(国家安全保障局)との関係について説明した。
RSAは同社の暗号化ライブラリ「BSAFE」の疑似乱数発生器として、欠陥があると知っていながら「デュアルEC DRBG」をデフォルトとして使い続け、NSAからこれに関連して1000万ドルを受け取ったと報道されていた。
コビエロ氏の説明を要約すると、次のようになる。
RSAアルゴリズムの米国における特許が2000年に失効したことで、RSAにおける暗号化製品のビジネスは急速に縮小した。今日暗号化技術の多くはオープンソースのツールキットで実装されている。
そこで当社は暗号化アルゴリズムに関し、標準の受け入れと推進へと役割を変えた。その後、楕円曲線暗号に基づく乱数発生アルゴリズムが、業界において強固な手法であると認められるようになった。2006年、この技術はほとんど反対を受けることなくNIST標準となった。「すでにRSAの暗号化製品は、政府機関向けが売り上げの大きな比率を占めるようになっていたため、当社は調達基準に適合すべく、同アルゴリズムをデフォルトとして採用した」(コビエロ氏)。
2007年に同アルゴリズムの欠陥が指摘されていたが、NISTは2013年9月になって、この指摘に蓋然性があると認め、利用をやめるよう新たなガイダンスを出した。当社はこれを受け、即座に顧客へ連絡するとともに、製品から取り除く措置をとった。
RSAがNSAと仕事をしてきたことは、10年近く前から広く知られている事実だ。NSAには「IAD(Information Assurance Directorate)」という、情報収集ではなく防衛が目的の部門がある。「NIST、RSA、そしてすべてとは言わずともほとんどの主要なセキュリティおよびテクノロジの企業が、主にこのNSAにおける防衛目的の部門と仕事をしている」(コビエロ氏)。
コビエロ氏はこう説明し、NSAがIADと情報収集部門の活動の違いを明確にしないことで、IADの活動も論争に巻き込まれつつあり、これは米国にとって危険ですらあると批判した。
「デジタルの規範を確立しないかぎり、人類は滅亡する」
一方でコビエロ氏は、米国政府の監視活動に関する論争が象徴するように、世界中のインターネット、報道媒体、議会、司法当局が混乱状態に陥っているのは、デジタルの世界における規範が確立していないからだと話した。ビッグデータやモノのインターネットなど、情報技術の使い方が根本的に変わろうとしている。こうしたなかでデジタル世界の規範を急いで確立しないかぎり、人類は滅亡への道をたどることになると訴えた。
コビエロ氏は、あらゆる国が、以下の4つの原則に従うべきだと主張した。「インターネット上で戦争を繰り広げるのをやめる」「サイバー犯罪者の摘発・処罰のために国際的な協力を進める」「ネット上の経済活動を妨害から守り、知的財産権を世界中で保護する」「あらゆる個人のプライバシーを保護する」。
利害の異なる国々が、協力しながらこれらの原則を推進するのは簡単なことではない。セキュリティ業界からも支援の手を差し伸べるべきだという。特に、4つの原則の達成のために必要となるセキュリティの枠組みや技術を現実のものにしていくべきだと話した。
Copyright © ITmedia, Inc. All Rights Reserved.