政府のサイバーセキュリティは善か悪か
国家が関与するハッキングが今年は大きな注目を集め、ロシアによるイギリスの EU 離脱の妨害、中国の関与が疑われている不正マイクロチップの米国企業が使用するサーバへのインストール、北朝鮮の APT38 による金融機関のハッキングなどの多くの事件が報道されました。世界中のさまざまな国が法規制の強化に取り組み、U.S. Cyber Command(アメリカサイバー軍)や英国で新設されたサイバー部隊のようなサイバーセキュリティ専門の組織を政府が設立する例もあります。政府主導のこのようなサイバーセキュリティ部隊は、果たして善あるいは悪のどちらなのでしょうか。
ウォッチガードのシニアテクニカルプロダクトマネージャである Ricardo Arroyo がGeekWire の最近の記事で、政府主導のこのような取り組みを取り上げ、有効な手段となるのか、あるいは、官僚主義的で実効力は期待できないのかを検証しています。
彼はこの記事で、資本主義経済においては、財政的あるいは法的な明確な動機がなければ、サイバーセキュリティが最優先課題になることはほとんどないと説明しています。GDPR、カリフォルニア州消費者プライバシー法(California Consumer Privacy Action of 2018)、さらには政府のサイバー部隊の新設を見れば、世界がセキュリティ重視の方向へと向かっているのは明らかです。もちろん、問題がないわけではありませんが、政府主導のサイバー部隊は、外部の脅威による不正行為からの防御と対応の有効な戦略となるでしょう。Ricardo はさらに、このような部隊は、セキュリティを表舞台に登場させキュリティの技術革新や専門知識を推進する手段となると指摘しています。
しかしながら、良いことばかりではありません。Arroyo はこの記事で、政府のサイバーセキュリティ部隊の活動を解説し、エクスプロイトを非公開のまま溜め込み、使用することで、どのような影響がもたらされるかについても言及しています。最終的には、これらのプラクティスによって、公的および民間の組織が危険にさらされる恐れがあります。Arroyo は記事の中で、この点を次のように説明しています。
「政府のサイバー部隊の問題を考えるにあたり、これらの組織の最終目標が何で、どのような手段でその達成に取り組むのかを理解することが重要です。U.S. Military Joint Publication 3-13 による定義では、サイバー戦争(別名:コンピュータネットワーク攻撃、CNA)は「コンピュータネットワーク経由でコンピュータおよびコンピュータネットワークの内部の情報を中断、拒否、劣化、または破壊する行為」であり、サイバーインテリジェンス収集(別名:コンピュータネットワークエクスプロイテーション、CNE)は「標的または敵の情報システムやネットワークから収集したデータの悪用を目的とする、コンピュータネットワーク経由の情報収集」であるとされています。これらの行為を成功させるには、大前提として、標的のコンピュータまたはネットワークへのアクセスを手に入れる必要があります。」
政府のサイバー部隊は結局のところ、善、悪、あるいは官僚主義的で役に立たない組織なのでしょうか。GeekWire の記事全文(英文)で詳細をご確認ください。