デジタルネイティブ世代がセキュリティにもたらす影響
RSA Conference:ビッグデータが喚起するプライバシー問題
2012/02/29
米マイクロソフトの副社長兼Trustworthy Computing最高責任者、スコット・チャーニー氏は、RSA Conference 2012の基調講演において、ビル・ゲイツ氏のメモから始まった「Trustworthy Computing(TwC)」という取り組みが10年を迎えたことに触れた。そして、今後は「TwC Next」という形で、セキュリティのみならずプライバシーにも配慮することで、エンドツーエンドの信頼を打ち立てていきたいと述べている。
Windows 8のセキュリティ機能とは
米マイクロソフト 副社長兼Trustworthy Computing最高責任者 スコット・チャーニー氏マイクロソフトがTwCに取り組むことになったきっかけは、Code RedやSlammerといった、Windowsの脆弱性を狙うワームのまん延だった。これを受けて2002年1月、当時のビル・ゲイツ会長が全社員に向けて送った「セキュリティを最優先とする」というメモが出発点だ。以降、開発段階からセキュリティに留意し、脆弱性の数を減らす取り組みを進めるとともに、デフォルト設定の見直しやAddress space layout randomization(ASLR)といった機能の追加により、Windowsプラットフォームのセキュリティ強化に努めてきた。
最新の成果となるWindows 8ではそれがさらに推し進められるという。具体的には、署名付きのOS以外は起動しないようにする「セキュアブート」や、アンチマルウェアソフトの早期ロード、リモート認証やダイナミックアクセスコントロールといった機能が搭載される予定だ。
一方でチャーニー氏は、過去の「便乗型」攻撃に代わり、特定の標的に狙いを絞り、目的を達成するまでしつこく繰り返し侵入を試みる攻撃が増加していることに触れ、境界で防ぎきることは困難であると述べた。「攻撃を『防ぐ』だけでなく、迅速に検知し、影響を最小限に封じ込め、迅速に回復させるという形で、リスクを管理していかなければならない」(同氏)。
ビッグデータが喚起するプライバシー問題
TwCが登場してからの10年の間に、IT環境は様変わりした。チャーニー氏がいま、可能性とともに懸念を感じているのが「ビッグデータ」だという。
例えば、位置情報の活用はユニークなサービス、便利なサービスを可能にする一方で、リスクも招く。「ビッグデータは攻撃者にとって格好のターゲットだ」(チャーニー氏)。さらに、プライバシー上の懸念もぬぐいきれない。「プライバシーリスクとメリットのバランスを取ることが重要だ」(同氏)。
ビッグデータという概念によって、例えばデータはいつまで保存しておくべきかという問題も提起されている。最初は「ずっと使ってもらって構わない」と思って渡したデータについても、後から気が変わるかもしれない。そうしたときにどうやってルールの変更を伝えるか、そしてデータの扱われ方についての透過性を確保するかなど、検討すべき項目は多い。
この懸念を解消していくために、政府や業界、ユーザーを巻き込む形で、プライバシーデータの適切でフェアな利用に関するコンセンサス作り、どのようにそれを利用し、保護するかについての原則作りが必要だろうという。ただ、「プライバシーに対する感覚は個々人によって異なる。それをどのように表現していくかが課題だ」(同氏)。
こうした背景から、TwC Nextは、セキュリティに加えてプライバシーや信頼といったテーマを包含した取り組みになるとした。
「デジタルネイティブ」対「デジタル移民」
米シマンテック 社長兼CEO エンリケ・セーラム氏続いて、米シマンテックのエンリケ・セーラム氏が基調講演に登場した。同氏が取り上げたテーマは、「デジタルネイティブ」世代がセキュリティにもたらすインパクトだ。
セーラム氏は、1990年代以降に生まれ、当たり前のようにモバイルやソーシャルネットワークを使いこなしている「デジタルネイティブ」が職場に進出してくることによって、ビジネスのあり方が大きく変化するだろうと指摘。それに伴い、これまで「デジタル移民」世代が作り上げてきたセキュリティ習慣も変化を余儀なくされるだろうと述べた。
デジタル移民世代にとっては、「オンライン」という状態は特別なものであり、利用に当たっては気をつけるのが当たり前だった。しかし、常につながり、さまざまな情報を共有する状態が自然なデジタルネイティブ世代は、インターネット利用に際してそのようなことは考えないとセーラム氏は指摘。仕事としてのインターネットとプライベートのインターネットの間に区別はなく、従ってアイデンティティやセキュリティ保護についてもそれほど気に掛けないという。
そうした世代が徐々に就職し始めている中で、「どのようにIDを管理するか」「どのように情報を保護するか」「どうやって大量のオンライン上の活動を追跡するか」が課題だという。
これは、単純に「禁止」してしまえばすむ話ではないと同氏は指摘する。セキュリティ上の問題は解決できるかもしれないが、代わりに創造性や生産性が損なわれてしまう。「次世代のワークプレイスは、ネットワークにつながった、ソーシャルな場でなくてはならない。いわゆるソーシャルエンタープライズだ」(同氏)。
セーラム氏は、禁止する代わりに、この環境を保護するための新しいレイヤが必要だという。具体的には、認証、認可、監査といった機能を提供する、フレキシブルなアイデンティティ管理や、外部に出ていく情報のコントロールが可能な新しいコンセプトのファイアウォールといった要素を挙げた。
さらに、APT(Advanced Persistent Threat)に対して、早期警戒の仕組みや迅速な回復といった機能を盛り込んだ「APP(Advanced Persistent Protection)」というビジョンを提案している。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
