Black Hat Europe:世界のデジタルインフラを保護するには法改正が不可欠だ

Black Hat Europe: Laws and regulations need to change to secure world’s digital infrastructure

2021/11/10 DailySwig — 11月10日に開催された Black Hat Europe においては、民主的な制度や価値観に対する侵食を食い止めるためには、デジタル兵器に対する規制を強化し、サイバー・セキュリティの経済学を再考する必要があるとの意見が出された。スタンフォード大学 Cyber Policy Center の International Policy Director である Marietje Schaake は、現在のデジタル・インフラの運用方法が、民主主義の原則を侵食し、サイバー攻撃に対して脆弱になっていると警告した。

Securing the public, who is in charge? と題した基調講演で、この元欧州議会議員は、民主主義の原則が安全保障のガバナンスを導くべきだと主張した。

デジタルという武力の行使

米国政府は 11月初旬に、NSO Group が開発したスパイウェア Pegasus が、米国の国家安全保障や外交政策上の利益に反すると判断し、NSO Group に制裁措置を適用した。それにより、ジャーナリストや人権活動家を監視するツールを販売してきた NSO Group に対して、米国のセキュリティ研究者が脆弱性を売り込むことが困難になる。しかし、NSO Group をはじめとする制裁対象企業は、決して特別なケースではない。

Schaake は、「サイバー空間における傭兵」と表現する企業の台頭を批判している。同氏は、「侵入ツールは、もはや NSA の手中だけに存在するものではない。侵入をサービスとして提供し、標的を絞った監視をサポートする市場が拡大している」と述べている。

政治家から学者に転身した Schaake は、「これらの技術が報道の自由/プライバシー/集会の自由などの人権を損なっている。しかし、民主的とされる政府は、ほとんど行動を起こしていない」と述べている。そして、2010年から2011年にかけて起きた「アラブの春」の時に、欧州のハイテク企業がチュニジアやエジプトの抑圧的な政権に対して、それらを販売したことを批判している。

同氏は、「EU の輸出管理法は、最近になって強化されたが、水増しされた規定では十分とは言えず、輸出を制限する効果もほとんどない。さらに、監視機能のアウトソーシングについては、オープンになっていない」と述べている。

サプライチェーンの安全性

ソフトウェアの安全性が確保できないことは認めつつも、ゼロデイ脆弱性やソフトウェアサプライチェーンへの攻撃による脅威の増大に対処するためには、より効果的にリスクを軽減する必要がある。

Schaake は、「ランサムウェア攻撃は、それ自体がパンデミックのようなものだ。最近、ランサムウェア攻撃の被害者として注目されている、米国のガス供給会社 Colonial Pipeline は、支払われた身代金を税金控除の対象とすることができる可能性がありる。しかし、このようなルールは、サイバー犯罪者への支払いに効果的なインセンティブを与え、拡大する問題に拍車をかける可能性がある。それにより、サイバー犯罪者/攻撃者がパワーを握ることになるが、最高の機能と責任を持つ情報開示プログラムであっても、その規模を削ることはできない」と述べている。

簡単な答えはないことを認めつつも、このディレクターは講演の最後で、サイバー・セキュリティの向上に向けた7つのアクション・プログラムを提示した。政府が成すべきについて、以下のように述べている。

  1. インシデント対応を強化するために、より強固な透明性要件を適用し、情報共有を改善する。
  2. 最悪のシステムを禁止する。最低でも、Pegasus には人権侵害者がアクセスできないようにすべきだ。
  3. ベストプラクティス・ガイドや過失規定を通じて、より安全なソフトウェアを構築するための強いインセンティブを導入する。
  4. パッチの適用や認証管理の改善により、古いシステムの更新を企業に促す
  5. 政府のソフトウェア契約を獲得するためには、セキュリティが必須となる条件をつける。
  6. 公共部門を、より魅力的な職場にするための変更を導入する。
  7. 国境を越えたコラボレーションを改善する。

    最後に Schaake は、より安全なプロダクトやサービスを作るために、コミュニティに協力してほしいと訴え、基調講演を締め括った。

Black Hat Europe のキーノートは、デジタル武力行使とサプライチェーンの安全性という視点を重視しています。前者に関しては、NSO Group の スパイウェア Pegasus を、サイバー空間における傭兵という強い言葉で非難しています。なお、「NSO Group や Positive Technologies など4社が米政府により制裁される」に記されているように、他にも非難されるべき企業があるようです。そして、サプライチェーンの安全性ですが、このブログでも、カテゴリ Supply Chain Attack を作っていますので、よろしければ ご参照ください。なお、Daily Swig の Black Hat はココで参照できます。

%d bloggers like this: