サイバーセキュリティは共同責任
誰もが重要と考えるサイバーセキュリティは、継続的なプロセスでもあります。
人間の作るもので、100%安全なものはありません。意図的にバックドアを設けるのは悪質な設計であり、安全なサイバー空間についての理解が著しく欠けていることを示します。また、プログラミングのミスを完全に避けることはできません。
サイバーセキュリティは共同責任であると言えます。サイバーセキュリティ市場の関係者は、誰一人として単独ではサイバー犯罪に立ち向かうことができません。すべての関係者が力を合わせて、サイバーゲームを戦い抜く必要があります。
ではここで、関係者それぞれの責任について、考えてみましょう。
ユーザー
ユーザーの主な責任は、サイバーセキュリティ対策の代価を支払うことです。企業や団体のIT部門が自らフィックスを適用する「DIY」方式で行うか、インテグレーターや設置業者に有償でメンテナンスを依頼します。
システムは10年、15年という長期にわたって利用されます。何もしなくてもシステムが良好な状態に保たれると思うのは、近視眼的と言わざるを得ません。
インテグレーター、設置業者
サイバーゲームで基本的な役割を果たすのがインテグレーターと設置業者です。自社で使用するデバイス、ノートPC、モバイルデバイスなどにOSの最新のパッチを確実に適用し、先進的なウイルススキャンソフトウェアを実行する必要があります。パスワードは、少なくとも顧客別、現場別に、十分に複雑なものを選ぶ必要があります。デバイスの修理が簡単にできるように1つのマスターパスワードを使い回すことは、避けなければなりません。設置先へのリモートアクセスを制限し、顧客のシステムに接続するすべてのデバイスについて、ウイルスが潜んでいないか慎重にチェックして、あらゆる感染を防ぐ必要があります。
ビデオ監視ソフトウェアと、接続されているハードウェアのメンテナンスは、めったに行われないのが現状です。一般に、システムの導入後、デバイスを増設するか、ユーザーから追加機能の要求があった場合にしかアップデートされません。
メンテナンスを行っていない状態では、時間の経過とともにサイバーセキュリティが低下するおそれが非常に高まります。システムのコンテキスト、すなわち、OS、ソフトウェア、ハードウェアの脆弱性が発見される確率は、ほぼ100%です。リスクが小さいように見えても、既知のすべての脆弱性について、フィックスを適用する必要があります。ほとんどの場合、直ちにフィックスを適用する必要はありませんが、半年ごとにシステム全体のアップデートを行うことを強く推奨します。
インテグレーターは、この手順について顧客に情報を提供する義務があります。ITマインドに疎いセキュリティ業界では、この手順があまり認識されていません。
コンサルタント
セキュリティシステムのコンポーネントを指定するコンサルタントも、基本的な役割を果たします。
コンサルタントは適正な製品機能や特性だけでなく、システムの寿命全体を通じて必要なメンテナンス作業についても明らかにする責任があります。これによって、システムを常に最新の状態に保つことがきわめて重要であることが強調されます。同時に、メンテナンスに必要なコストについても透明性がもたらされます。
OEM/ODMデバイスを導入する場合、こうしたメンテナンスの側面について保証するのは非常に難しくなります。メンテナンスが運任せになるようなシステムは、ほとんどの顧客が積極的に購入する気にならないでしょう。
ディストリビューター
純粋なディストリビューターの場合、サイバーセキュリティは非常に単純な話です。ディストリビューターは製品の手配を行うだけで、製品そのものにはタッチしません。
一方、付加価値ディストリビューターは、インテグレーターや設置業者が考慮する側面について、考慮する必要があります (上記参照)。
メーカーから購入した製品に独自のブランド名を付けたOEM/ODMデバイスを再販するディストリビューターには、まったく異なるルールが適用されます。
何よりも重要なのは透明性です。OEM/ODMデバイスを再販するディストリビューターは、顧客に、購入しようとしているものが何なのかを知らせる必要があります。この透明性がなければ、顧客の購入判断に最も大きく影響するのは価格ということになります。
供給元のメーカーの脆弱性が発見された場合に、ファームウェアアップグレードの提供を保証する必要もあります。業界の慣習を見るかぎり、供給元のメーカー製のデバイスに脆弱性が検出されても、OEMパートナーが再販するデバイスの大半がフィックスされないのが一般的です。
メーカー
メーカーの責任は、比較的単純です。
- バックドアやハードコードパスワードなど、問題のある設計を意図的に行わない。
- デバイスのサイバーセキュリティ管理をできるだけ簡単に、低コストで行える、適切なツールを提供する。
- リスクとその回避策について、社内外に教育を行う。
- 強化ガイドなどの資料に関連事項を記載する。
- 標準的なメカニズムを使用して、デバイスをできるだけ安全な状態に保てるようにする。
- 脆弱性と使用可能なパッチについて、パートナーとチャネルに情報を提供する。
研究者
脆弱性を非常に高い頻度で発見しているのは、ハッカーではなく研究者です。脆弱性を発見した研究者は、脆弱性のタイプに応じて、次のステップを決定します。脆弱性が意図的なものでなければ、脆弱性を公開する前にメーカーに連絡し、脆弱性をフィックスする時間を与えます。バックドアのような、意図的な性質を帯びた重大な脆弱性の場合には、直ちに情報を公開し、該当製品のユーザーに注意を喚起します。
消費者
私たち自身の行動も、サイバーセキュリティに対する成熟した考え方を形成する重要な側面です。ルーターのパスワードは、どれくらいの頻度で変更していますか? 使用しているパスワードは、どれくらい複雑ですか? アプリケーションごとに異なるパスワードを使用していますか? それとも、大部分のアプリケーションで同じ「マスター」パスワードを使い回していますか? ユーザーの怠惰な行動が、依然としてハッカーに絶好のチャンスを与えています。パスワードが簡単に推測できる場合や、すべてのログインで同じパスワードを使用している場合、アカウントが乗っ取られるリスクを避けることはできません。
このように、どの関係者が欠けても、システムのサイバーセキュリティを確保し続けるという使命は達成できません。すべての関係者が責任を持ってデータを安全に保つことによって初めて、サイバー犯罪に打ち勝つことができます。
サイバーセキュリティに関する別の角度からの解説については、Secure Insightsのサイバーセキュリティに関する最新のブログ記事をご覧ください。