ここから本文です

IoTセキュリティの残念な実態(Part2)

ReadWrite Japan 6月1日(水)22時30分配信

ハディ・ナハリ氏はBrocade Systemsのセキュリティ部門の副社長にしてCTOである。
彼は積極的に講演などに参加し、最新のセキュリティ問題について、そしてIoTがセキュリティ問題を悪化させている点について注意を喚起し続けている。

今回、我々はハディ氏と今日のテクノロジーにおけるセキュリティについて幅広く話を聞いた。これは2部構成の記事の第2部に当たる。

リードライト(RW): 我々は、活動するデータ(Data in Motion)とそうでないデータの違いについてをテーマにしたThe Structure Conferenceから生まれた素晴らしいインタビューを2週間前に行った。常に移動するデータの複雑さについて考える軸は、2つある。それは、そのデータが処理されるまでの待機時間と処理を行うべきポイントだ。

あなたはそのポイントを処理プロセスの先端、もしくはデバイスに設けるだろうか。また、そのセキュリティの在り方について話を聞かせてもらいたい。

ハディ・ナハリ氏(以下HN): 事前にデータを捉え、その後中身に着目するという方法は、これまでのネットワークパラダイムではよくある話だ。今行われている多くはこのやり方であり、またよくできた方法でもあったため、これらの効率が悪く古臭いやり方だと言うつもりもない。

だがしかし、昔からある問題に取り組むフレームワークを考える上では悪いものではないが、システムやデータのスケールが日々変わってきているため、我々はパラダイムシフトをしなければならないのだ。わかって欲しいのは、これらは特定の問題については変わらず良いツールであるということであり、また、それは我々が以前考えていたセキュリティの在り方であったということだ。

そのセキュリティの在り方とは、まず範囲と流れを決め、データフローを定義し、何が危機に晒されているのかなどを特定し、次に仮説をたて、ツールやガイドラインを提供する。そのあとにセキュリティの有効性を判断すればよい、というものだ。


■かつてうまくいっていたことは通用しない

これらの手法は長年うまくいっていたが、正直なところ、ここまで長い間うまくいっていたことにむしろ驚かされる。そして私自身、こんなに長くこの件に関わることになるとは思ってもみなかった。

IoTは、クラッカーの方がずいぶん有利なユースケースの1つだと思う。現実において処理を行うべきポイントが末端なのかバックエンドにあるのかという境界線はハッキリしていない。また、どちらで行うかで内容も変化してきている。データやストレージ量の増加、そして、それらを処理するための能力などすべてがセキュリティに影響を与えているのだ。

たとえば、予測変換を行うにあたり、ユーザが打ち込もうとした単語のデータがGoogleに送られ、Googleのシステムが分析し、そして手元のアンドロイド端末に反映される。これを行うためには膨大な処理能力とネットワークのやり取りが必要となる。

我々は、過去に通用していたルールで今の複雑なシステムを理解しようとしているため、そこに混乱が生まれるのは無理もない。この恐ろしい状況に気づいていない人は、セキュリティの現状を理解していない人なのである。

RW: 質問を変えてみよう。この現状を打破できるものはあるのか? 今後あなたが待ち望んでいるものは何だろう?

HN: セキュリティに関して我々は悲惨な状況にいると思う。裏口が仕掛けられていることを期待して、昔の技術を使ってセキュリティ問題や犯罪を解決しようとしている人も中にはいるのだ。そして、そこで障害となるものといえば暗号化の問題だけであり、裏口を開けるだけで事が片付くのであれば問題はこれまでと本質的には変わらない。しかし、そこで留まっていることは非常に悲しいことだといえる。

もし、我々がより複雑な現実の問題に立ち向かうのに昔のアプローチに固執するのであれば望みはない。セキュリティ企業は、5年前と比べてだいぶ増えたにも関わらず、セキュリティ事故や攻撃、データ流出も5年前よりもさらに多くなっている。これは何を意味するだろう?

世の中が変化し、手口がより高度化、組織化している今、我々は考え方を変えなければならないということだ。彼らハッカーは完全な統制はもたないものの組織的に動いており、ある意味良いケーススタディだともいえる。彼らはハイパーパラメータによって動いているが、セキュリティコミュニティはそうではない。
そして、「厳格な」セキュリティコミュニティよりもハッカーの方が組織的、集権的、そして効率的な活動を見せているのだ。

では、現在のフレームワークにこだわり続けることで全ては崩壊するのだろうか? 私は人々の問題に対する見方が変わるチャンスがあると考えている。現に、問題の規模感をとらえ、別の角度から解決策を考えようとしている人が増えてきているのだ。

実現するまでにはあと数年はかかるが、全く新しいセキュリティの考え方は必ず登場する。セキュリティ業界には幾つもの定評のある企業が存在するものの、大きい会社ほど同じ考え方に囚われがちで、それがイノベーターのジレンマとなっている。というのも、彼らは問題を捉えることがなく、損失を出していないことから、自分たちが技術的に負けているということに気づいてすらいないのだ。新しいものが見えてくれば、彼らも違う動きを見せ始めるはずである。

我々はまだそこまで辿り着いていないが、そうなる兆候は見え始めている。

ReadWrite Japan編集部

最終更新:6月1日(水)22時30分

ReadWrite Japan