サイバーセキュリティは (依然として) 共同責任

Timo Sachse

この記事は、私が3年前に書いたブログ記事の内容を一部更新したものです。3年前に書いた内容の大半が今でも通用します。これはサイバーセキュリティが、今後も続いていく問題であることを示しています。

過去数年間に同僚が書いたサイバーセキュリティに関するブログ記事の数を見ても、サイバー犯罪者の「攻撃進路」とそれに対する反撃の両方が進化し続けていることが分かります。

人間の作るもので、100%安全なものはありません。プログラミングのミスを完全に避けることはできません。人に頼る部分があるプロセスであれば、当然欠陥があります。なぜなら、人間は完璧ではないからです。

サイバーセキュリティは共同責任であると言えます。サイバーセキュリティ市場の関係者は、誰一人として単独ではサイバー犯罪に立ち向かうことができません。すべての関係者が力を合わせて、犯罪を目論む者たちに先んずる必要があります。

サイバーセキュリティは、最も弱い部分に合わせて、その脆弱性が決まります。サイバーセキュリティーの関係者それぞれの責任について、考えてみましょう。

 

ユーザー

ユーザーは、ソリューション実行に責任を負います。サイバーセキュリティにおけるユーザーの主な責任は、サイバーセキュリティに対して適切な額の投資を行うことです。企業や団体のIT部門が自ら対策を適用する「DIY」方式で行うか、インテグレーターや設置業者にシステムのメンテナンスを有償で依頼します。システムは10年、15年の長期にわたって利用されます。その間、何もしなくてもシステムが良好な状態に保たれると思うのは近視眼的であり、非常に甘い考えと言わざるを得ません。

 

インテグレーター、設置業者

サイバーセキュリティで基本的な役割を果たすのがインテグレーターと設置業者です。自社で使用するデバイス、ノートPC、モバイルデバイスなどにOSの最新パッチを適用し、先進的なウイルススキャンソフトウェアを実行する必要があります。

パスワードは、少なくとも顧客別、現場別に、十分に複雑なものを選ぶ必要があります。デバイスの修理が簡単にできるように1つのマスターパスワードを使い回すことは、避けなければなりません。設置先へのリモートアクセスを制限し、顧客システムに接続するすべてのデバイスについて、ウイルスが潜んでいないか慎重にチェックして、あらゆる感染を防ぐ必要があります。

ビデオ監視ソフトウェアと、ハードウェアのメンテナンスは、めったに行われないのが現状です。一般に、システムの導入後、デバイスを増設するか、追加機能の要求があった場合にしかアップデートされません。

定期的にメンテナンスを行わないと、時間の経過とともにサイバーセキュリティが低下します。システムのコンテキスト、すなわち、OS、ソフトウェア、ハードウェアの脆弱性が発見される確率は、ほぼ100%です。リスクが小さいように見えても、既知のすべての脆弱性について、対策を適用する必要があります。ほとんどの場合、直ちに対策を適用する必要はありませんが、半年ごとにシステム全体のアップデートを行うことを強く推奨します。

インテグレーターは、この手順について顧客に情報を提供する義務があります。ITマインドに疎いセキュリティ業界では、この手順が依然として、あまり認識されていません。

 

コンサルタント

セキュリティシステムのコンポーネントを指定するコンサルタントも、基本的な役割を果たします。

コンサルタントは適正な製品機能や特性だけでなくシステムの寿命全体を通じて、必要なメンテナンス作業についても明らかにする責任があります。これによって、システムを常に最新の状態に保つことが重要であることが強調されます。同時に、メンテナンスに必要なコストについても透明性がもたらされます。

OEM/ODMデバイスを導入する場合、こうしたメンテナンスの側面について保証するのは非常に難しくなります。メンテナンスが運任せになるようなシステムは、ほとんどの顧客が積極的に購入する気にならないでしょう。

 

ディストリビューター

純粋なディストリビューターの場合、サイバーセキュリティは非常に単純です。ディストリビューターは製品の手配を行うだけで、製品そのものにはタッチしません。一方、バリューアッド・ディストリビューターは、前述のように、インテグレーターや設置業者が考慮する側面について、考慮する必要があります。

メーカーから購入した製品に独自のブランド名を付けたOEM/ODMデバイスを再販するディストリビューターには、まったく異なるルールが適用されます。

何よりも重要なのは透明性です。OEM/ODMデバイスを再販するディストリビューターは、顧客に、購入しようとしているものが何なのかを知らせる必要があります。この透明性がなければ、顧客の購入判断に最も大きく影響するのは価格ということになります。

供給元のメーカーの脆弱性が発見された場合に、ファームウェアアップグレードの提供を保証する必要もあります。業界の慣習を見るかぎり、供給元のメーカー製のデバイスに脆弱性が検出されても、OEMパートナーが再販するデバイスの大半が対策されないのが一般的です。

 

メーカー

サイバーセキュリティにおけるメーカーの責任は、比較的単純です。

  • バックドアやハードコードパスワードなど、問題のある設計を意図的に行わない。
  • デバイスのサイバーセキュリティ管理をできるだけ簡単に、低コストで行える、適切なツールを提供する。
  • リスクとその回避策について、社内外に教育を行う。
  • 強化ガイドなどの資料に関連事項を記載する。
  • 標準的なメカニズムを使用して、デバイスをできるだけ安全な状態に保てるようにする。
  • 脆弱性と使用可能なパッチについて、パートナーとチャネルに情報を提供する。

 

研究者

研究者は、ハッカー以上に、脆弱性を非常に高い頻度で発見しています。脆弱性を発見した研究者は、脆弱性のタイプに応じて、次のステップを決定します。脆弱性が意図的なものでなければ、脆弱性を公開する前にメーカーに連絡し、脆弱性を対策する時間を与えます。バックドアのような、意図的な性質を帯びた重大な脆弱性の場合には、直ちに情報を公開し、該当製品のユーザーに注意を喚起します。

 

消費者

私たち自身の行動も、サイバーセキュリティに対する成熟した考え方を形成する重要な側面です。ルーターのパスワードは、どれくらいの頻度で変更していますか? 使用しているパスワードは、どれくらい複雑ですか? アプリケーションごとに異なるパスワードを使用していますか? それとも、大部分のアプリケーションやオンラインサービスで同じ「マスター」パスワードを使い回していますか? ユーザーの怠惰な行動が、依然としてハッカーに絶好のチャンスを与えています。パスワードが簡単に推測できる場合や、すべてのログインで同じパスワードを使用している場合、アカウントが乗っ取られるリスクを避けることはできません。

このように、どの関係者が欠けても、システムのサイバーセキュリティを確保し続けるという使命は達成できません。すべての関係者が責任を持ってデータを安全に保つことによって初めて、サイバー犯罪に打ち勝つことができます。

サイバーセキュリティに関する新たな知識やアイデアについては、Axisサイバーセキュリティeマガジンをご覧ください。

Axisサイバーセキュリティeマガジン