イベント
コビエロ会長「NSAとは一線を画す」~RSA Conference 2014 基調講演レポート
(2014/2/28 11:47)
「国家が担う防衛には情報収集が必要だ。しかし行き過ぎた情報収集はあってはならず、そこには明確な境界線が引かれている。もしNSAがその踏み込んではならないラインを消し、われわれが作り上げてきたセキュリティコミュニティの信頼を損なう行為に及んだのなら、それはやはり問題だ」――。
2月25日(米国時間)、米国サンフランシスコで開催された「RSA Conference 2014」のオープニングキーノートで、RSA会長のアート・コビエロ(Arthur Coviello)氏はこう発言した。2013年、米国だけでなく世界中を震撼させたエドワード・スノーデン事件は、NSA(米国家安全保障局)と米IT企業の信頼を大きく失墜させた。RSAもまた、NSAとの1000万ドルの秘密契約を報道(RSAは否定)されるなど、少なくない影響を受けてきた経緯がある。
2万5000名という過去最高の参加者数を記録した今回のイベントでは、RSAのトップであるコビエロ会長がNSAについて言及するかどうかが、大きな焦点となっていた。本稿では同氏の基調講演をもとに、RSAというセキュリティベンダーがどういう方向に向かおうとしているのかを、あらためて検証してみたい。
NSAは超えてはならない一線を越えた
現在は米EMCのセキュリティユニットとして存在するRSAだが、すぐれた暗号化技術を武器に創業した20年前から、デジタル世界におけるプライバシーを妨げるものは、たとえ政府機関であろうと、同社にとっては闘うべき存在だった。特に1990年代は、強力な暗号アルゴリズムを搭載した「Cipher Chip」をめぐり、当時の社長であったジム・ビゾス(Jim Bidzos)氏を筆頭に、NSAを始めとする米政府と激しく対立する関係にあった。「RSAはいつの時代も暗号の標準化を図り、セキュリティの強化に努めてきた」とコビエロ氏は振り返る。
では20年後の現在、RSAとNSAの関係はどう変わったのか。RSAは昨年末、ロイターのレポートで「NSAと1000万ドルの秘密契約を結び、バックドアを仕込んだ暗号化システムを製品に組み込んでいる」と報道され、メディアや顧客から強い批判を浴びている。
この件を踏まえ、コビエロ氏は「RSAはNSAとともに仕事をしてきたのか? 答えはYesだ。だが(RSAを批判した)多くの人々はNSAがモノリシックな組織ではないということを忘れている」と訴える。
RSAやその他の主だったセキュリティベンダーは確かにNSAに協力しているが、それはNSA内の一組織であるIAD(Information Assurance Directorate:情報保障局)であり、国家のシステムを保護するための部門であって、盗聴などにかかわる部門ではないという。「IADとともに仕事をすることで、われわれも新たな脅威や脆弱性についての知見を得ることができた。だがIADのすばらしい業績も、事件以来、人々は忘れてしまった」(コビエロ氏)
だが一方でコビエロ氏は、IADの功績いかんにかかわらず、NSAが一線を踏み越えてしまった事実を「問題である」とも指摘。RSAという組織が暗号の標準化やセキュリティの普及を使命としているテクノロジーベンダである以上、「たとえ彼らのモチベーションがなんであっても、また、われわれとの共同作業はそうした行為(盗聴など)が確認されなかったとしても、われわれはNSAとともに仕事をすべきではない」と言い切っている。これはロイターの報道後における、RSAの方針を示す発言として注目される。
現在、NSAは大統領が設置した米特別委員会からIADをスピンオフし、国防総省直轄の組織とする提案を受けている。コビエロ氏はこの提案を「歓迎すべきもの」としており、NSAとは距離を置くことになってもIADとは引き続き協力していきたい意向を示している。
デジタルワールドのルール設定に必要なプリンシパル
「NSAだけを批判するのはあまり良いことだと思わない。世界中のどの国の情報機関もそれぞれのガバナンスにのっとって、サイバー攻撃を防御している」――。コビエロ氏は、NSAの暴走はデジタルワールドが歴史の転換点を迎えている今だからこそ起こった事件だとしている。「物理世界のルールや行動の規範は何世紀にもわたって整備されてきた。デジタルワールドはまだ10年20年の世界であり、ルールは確立していない。デジタルワールドを生き抜くルールを早急に打ち立てること、これはわれわれにとって逃れられない責任。怠れば世界は破滅に向かってしまう」(コビエロ氏)。
ここでコビエロ氏は、デジタルワールドのルールを確立するために、国家から個人まで、今すぐ適用すべきという4つのプリンシパルを挙げている。
・サイバー兵器使用の破棄、展開中の戦争にインターネットを利用することの中止
・サイバー犯罪の調査、検挙、訴追における国家間の協力
・インターネットにおける経済活動の促進と、知的財産に対する尊重の保証
・すべての個人のプライバシーを尊重/保証
なぜこの4つを今すぐ遂行すべきなのか。コビエロ氏は故ケネディ大統領の有名なフレーズを引用して説明する。
「われわれの問題は、人間が作り出したものである。ならば、人間の手で解決できるはずだ。人間は自分が望むだけ大きくなることができる。人間の運命の問題で、人間の力の及ばないものはない。人間はその理性と精神によって、解決不可能に思われた問題をも解決してきた。同じことを再びできるはずだとわれわれは信じている」。
デジタルワールドの課題は今だからこそ、人間の英知をもって解決にあたらなければならない。核兵器と冷戦の危機を国家間の協力で乗り越えてきた人間ならば、デジタルワールドで展開されているサイバー戦争やサイバー犯罪を食い止められる――。
コビエロ氏は「RSAはその実現のために、他のIT企業と協力しながら全力で責務を果たす」としており、同社が得意とするインテリジェンスドリブンなセキュリティがその実現に大きく寄与することになると強調する。現在、RSAは、オバマ大統領直轄のプロジェクトとしてNISTとともに新しいインテリジェンスドリブンモデルのフレームワークを開発中だという。
コビエロ氏のあとに登壇した、米MicrosoftのTrustworthy Computing Groupでバイスプレジデントを務めるスコット・チャーニー(Scott Charney)氏は、「Microsoftは製品にバックドアを仕込むようなことは絶対にしない。セキュリティ、プライバシー、トランスペアレンシー(透明性)はMicrosoftのプリンシパル。ユーザーの信頼を損ねるような行為をわれわれがするはすがない」と強調している。
スノーデン事件で米国の巨大IT企業の信頼は大きく揺らいだが、コビエロ氏やチャーニー氏の発言に見られるように、NSAとは距離を取りつつ、セキュリティやプライバシーの保護者としての立ち位置をあらためて強調する流れができつつあるようだ。基調講演には現VeriSign会長のビゾス氏も登壇しており、RSAのそうした姿勢をより鮮明にしたといえる。
過去最高の参加者/参加企業を集め、オープニングには「Star Trek」シリーズのカーク船長役で大人気を博したウィリアム・シャトナー(William Shatner)氏が登場するなど、かつてない規模で開催されたRSA Conference 2014。イベントの規模の大きさは、そのままセキュリティやプライバシーに対するユーザーの期待と不安の大きさを表している。
会場には「Big Brother(NSA)の監視を許さない」というメッセージを印刷したTシャツを着ている参加者もおり、事件がまだ終わっていないことをあらためて感じさせる。RSAが本当の意味で信頼を回復するためにやるべきことはまだ多い。