.jpg)
~米国で開催される世界最大の情報セキュリティカンファレンス~
RSA CONFERENCEとは
楽天やAmazonなどのネットショッピングや、オンラインバンキングといったインターネット上での決済を伴う取引を多くの人が使う時代になりました。誰が盗み見ているかわからないインターネットで安全に取引を行うためには、暗号技術が欠かせません。暗号を使えば、クレジットカード番号やパスワードなどを他人に知られることなく正しい相手に伝えることができます。今回私が参加した情報セキュリティカンファレンス(開催の場所はサンフランシスコ、会期は2/24~2/28)の名前についている「RSA」(そのままアール・エス・エーと読みます)は、そういった暗号技術の一つで、今日のインターネット上の商取引はこの技術無しには成り立たないと言っても過言ではありません。 このRSA CONFERENCEが始まったのは1993年です(当時は、RSA DATA SECURITY CONFERENCEという名称でした)。最初の頃は暗号学者だけの大会で、参加者数も2000人程度、最新の暗号や、暗号の使い方について発表する場でした。その後インターネットが普及していくにつれて参加者数が増え、取り扱うテーマも広がっていき、今年は参加者数が28,400人と非常に大規模なものとなりました。
今年のトピックは? 今年のRSA CONFERENCEでは、全部で400を超えるプレゼンテーションが、26種類のトラックに分かれて同時に行われました。トラックには、サイバー攻撃に関するもの、暗号学に関するもの、または法律に関するものなどさまざまなものがあります。そんな中でトピックを選ぶのは非常に難しいのですが、敢えて独断で重要なものを選ぶとすると、以下の3つでしょうか。 (1) サイバー戦争に対する危機感 (2) 振る舞い分析による不正検出 (3) セキュリティ教育の重要性の再認識 ネタの新鮮さで言うとビットコインなども入れたいところなのですが、プレゼンテーションは数か月前に申し込みが締め切られるため、今回関連する発表は1つしかありませんでした。ただ、そのタイトルが「How to Become a Successful Bitcoin Thief!!! (ビットコイン泥棒として成功するには!!!)」で、発表が行われたのが27日、ビットコイン取引所であるMt.Goxが民事再生法の適用を申請したのが28日ですから、なかなか興味深いです。 サイバー戦争に対する危機感 スノーデン氏がNSA(アメリカ国家安全保障局)の秘密を暴露した事件は日本でも話題になりましたが、米国ではそれ以上に深刻な問題として受け止められています。政府が国民や他国の通信を盗聴していたのではないか、また、それに米国のセキュリティ企業が加担していたのではないかという疑惑が持たれています。 長らく米国政府とセキュリティ業界は対立関係にありました。先に述べた暗号技術がテロ組織に使われてしまうことを恐れ、米政府は暗号技術を「兵器」と見做し、輸出規制をかけていたのです。そのため、米国のセキュリティ業界はビジネスの領域を制限され、結果として無料で使えるオープンソースの暗号製品が世界で普及してしまいました。そういった状況の中で、RSA社はNSAから巨額のビジネスを獲得していたことが明らかになり、「裏切り者」と揶揄されています。RSA社のCoviello会長が冒頭に行ったスピーチでは、この疑惑に対して「諜報活動に関連するビジネスではない」と否定するとともに、「サイバー兵器を放棄しよう」と呼びかけました。
2011年、米政府はサイバー領域を陸・海・空・宇宙空間に続く第5の戦場として定義しました。このニュースを聞いた方は「大げさだな」と思われたかもしれません。しかし、ITシステムが日常の生活に欠かせなくなった今、このITシステムを破壊するサイバー攻撃は国家における大きな脅威であり、また、その攻撃を高度な技術で組織的に実行する「サイバー兵器」が登場し始めてきている現状があります。 Coviello会長は、核兵器が広まったことによって世界中が核戦争の恐怖にさらされてしまった過ちを繰り返してはいけないとし、今こそサイバー兵器を放棄すべきだと訴えます。 ふるまい分析による不正検出 今年、展示会場で目を引いたのが「ふるまい(behavior)分析」による不正検出ソリューションです。インターネットを使った電子商取引が広まっていくに伴い、その上での詐欺や不正行為も増加してきています。ここ数年、ID/パスワードやクレジットカード情報の大規模漏えいが相次ぎ、それらの情報を悪用した不正アクセスが後を絶ちません。数年前は「不正アクセス」といっても、Webサイトを改ざんするような愉快犯的な犯罪が中心で、限られた人間しか関わっていませんでしたが、最近はインターネット上のサービスから金銭を窃取することが多くの悪者の関心を集めてしまっています。
こういった不正を防ぐためのソリューションの一つが「ふるまい分析による不正検出」です。インターネットのサービスで詐欺や不正を働いたとき、通常の利用者とはやはりどこか違う振る舞いがあるものです。そういった特徴を見つけ、警告を上げる機能を持ったソリューションがいくつも展示されていました。「Webサイトの改ざんを防ぐ」というよりも、「詐欺被害を防止する」という方が金銭換算しやすく、売りやすいせいか、セールストークには勢いを感じました。
セキュリティ教育の重要性の再認識
最近、「フィッシング」という言葉を聞いたことはないでしょうか? これは、偽のメールを送り付けたりすることで、人を騙してIDとパスワードを入力させ、不正を働くことを言います。前に述べた「振る舞い分析」は既にIDやパスワードが盗まれた後に、インターネットサービス提供側で不正を防止するためのソリューションですが、IDやパスワードが盗まれてしまうことも防がなければなりません。ところがこのフィッシング、手口が非常に多岐にわたり、機械的に検出することが非常に困難です。そこで、結局は人間自身が騙されないようにするしかない、ということで、教育が再び注目を浴びています。セキュリティにおける教育の重要性は今に始まったことではありませんが、ややもするとテクノロジーに偏りがちな中、再認識されています。
海外カンファレンスに参加するということ
私が初めてRSA CONFERENCEに参加したのは17年前になります。当時は現地に行かないと何も情報を得ることができなかったのに比べ、今ではキーノートスピーチは世界のどこにいても視聴できるし、プレゼンテーション資料も無料で見ることができます。高いお金をかけ、時差ボケを耐えてまで現地に行く意味があるのか、と思ったりもしますが、やはりビジネスは人と人の交流の中から生まれるものですし、インターネットビジネスの中心はやはり米国ですから、これからも参加し続けたいと思います。来年、サンフランシスコでお会いしましょう!! 小熊