はじめに
コロナ禍でどんどん太り続けていて、11月の健康診断におびえている黒木です。 今回は2021/10/19~20で開催されたCODE BLUEのアラナ・モーリシャス教授の基調講演についてレポートしたいと思います。
※講演の内容は、同時通訳の内容をもとに黒木の理解の範囲内のものとなります。その旨ご了承ください。
CODE BLUE とは
CODE BLUEとは、世界トップクラスの情報セキュリティ専門家による最先端の講演と、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議 *1です。
参加したセッション
今回、わたしはオンラインで参加させていただきました。 英語での講演でしたので、日本語の同時通訳を利用しました。 講演の概要は以下の通りです。
サイバーセキュリティの万華鏡を揺らす - 人間行動とサイバーセキュリティへの没入型調査(アラナ・モーリシャス - Alana Maurushat)
毎年1万件以上の新しいサイバーセキュリティ技術が開発されているが、サイバーセキュリティ関連の脅威が相関的に減少しているとは言えない。これは、サイバーセキュリティが単なるコンピュータサイエンスの問題ではないからである。セキュリティチェーンの中で最も脆弱な部分は人間である。しかし、人間は、サイバーセキュリティの脅威に対抗するための貴重な資産でもある。万華鏡では、パターンは絶えず変化し要素の並びも同様に常に変わり続ける。サイバーの世界では、万華鏡を揺らすかごとく、問題を特定したり解決したりする新しい方法を生み出す必要がある。 今回の講演は、やや異例なものになる。モーリシャスは、混沌から意味を見いだすことを第一の目的として、人間の行動とサイバーセキュリティの糸で物語を紡ぐ。マーズバー(西洋菓子)、ペレストロイカ、ニンジン、トランシルバニア、ロビン・フッド、タリン、麻雀、ワクチン接種反対、モントリオール市長、尻尾とパイナップル、これらがどのようにサイバーセキュリティと関係するのだろうか? モーリシャス教授は、道徳的ハッキング、脆弱性市場、サイバー犯罪の調査、政府や情報機関へのサイバーセキュリティ政策のコンサルティングなど、17年間の経験と研究に基づいて、サイバーセキュリティにおける人間の行動に関する重要な問題を凝縮した講演を行う。
サイバーセキュリティの課題に簡単な答えはない。しかし、行動データ工学、人工知能、行動経済学、進化としての神経多様性(ニューロダイバーシティー)といった新しい分野を通じて、サイバーセキュリティを向上させるために人間の行動の力を利用する方法について考えるきっかけを本講演では提唱する。
セッション内容について
おそらく「内容を完全に理解した!」とは言えないので、今回は私が印象に残っているお話をいくつかピックアップしてご紹介しようと思います。
1:チョコバーのためにユーザー名とパスワードを提供する人が続出した話(2004年)
ある調査によると、ほぼ7割の人がチョコレートバーと交換でネットワークアクセス用のパスワードを教えてしまったというのです。
詳細が気になったので、調べてみると以下の記事を見つけました。
この調査は、ロンドンで開催されたセキュリティ関連の展示会「Infosecurity Europe 2004」の主催者が実施したもの。ロンドンの主要駅の1つリバプールストリート駅で行われたこの調査では、あわせて172人の通勤者に、チョコレートバー1本と交換に勤め先で使用しているパスワードを教えて欲しいともちかけたところ、驚くべきことに37%の人が即座にこれに応じた。(こちらから引用)
2:モーリシャス教授とあるセキュリティ責任者の間で起こった実話
国家(アメリカ、カナダ…?)レベルのサイバーセキュリティの対策会議か何か(詳細は聞き取れず…)に招かれ、あるセキュリティ責任者と出会ったそうです。
その人は、建物などのセキュリティも含めて、すべてのセキュリティに責任を負う立場。その責任者とのやり取りの一部が紹介されました。
モ「あなたは他になにをするのですか?」
責「責任者として、あなたのような方を案内することもあります。そして、いつも私の家族の写真を紹介します。」
モ「どうやって?」
責「USBメモリをパソコンにさしてお見せするのです」
モ「!?」
モーリシャス教授は、セキュリティの責任者でありながら、マルウェアの感染リスクを全く考慮していないことに驚いたそうです。
3:50本のUSBメモリを世界中の空港に置き去りにした話
以下は実際にモーリシャス教授が行った実験のひとつです。
50本のUSBメモリを世界中の空港にあえて置き去りにする
USBメモリの中身は「連絡をください」という内容を記載する
結果、置き去りにしたほとんどのUSBメモリが開封され、連絡がきた
モーリシャス教授はこの実験とともに
人間の行動がセキュリティの穴になる
と伝えてくれました。
4:サプライチェーン企業のセキュリティ意識の話(おそらく2020年、オーストラリア国内)
昨年、モーリシャス教授が学生を通して調査したサプライチェーン企業のセキュリティに関する認識のお話です。
サイバーセキュリティの攻撃対象はサプライチェーンが多いということで、サプライチェーンの30の中小企業に以下の2つの質問をしたようです。
1.サイバーセキュリティについて説明してください
→だれも説明できなかった
2.あなたの企業はセキュリティ対策してますか?
→ひとりしか対策について説明できなかった
モーリシャス教授は
「コロナ禍でサイバー犯罪が大幅に増えたが、セキュリティへの意識は上がっているとは言えない」
と伝えてくれました。
5:Drunk Tank Pinkの話(ドランクタンクピンクー留置所をピンクにする)
以下は、モーリシャス教授の実験ではありませんが、有名な話として紹介されました。
逮捕された泥酔者たちが酔いがさめる迄入れられる留置所をピンクにした結果、ピンク色でない場合と比べて暴力が80%減少したという。
モーリシャス教授は、次のように言っていました。
意識を変えようとするものは機能しない。
しかし、行動データ工学など新しい分野を通じて、サイバーセキュリティを向上させる方法はある。
それは、人間の行動の力を利用すること。
我々は「何が効果的なのか」リサーチを行って小さなステップでも構わないので働きかけることが重要だ。
6:ゼロトラストではなく、サイバーピースを目指して
ゼロトラストとは
「全て信頼しない」という考え方から、セキュリティ対策を行います。
外部はもちろん、内部からのアクセスであっても、全てを疑い制御します。
でも、モーリシャス教授は「そんな世界には住みたくない」と言いました。
そして「サイバーピースはどんな状態なのかを考える必要がある」とも。
「そのためには政府と産業界が連携して変化していく必要がある」と伝えてくれました。
感想
サイバーセキュリティは単なるコンピュータサイエンスの問題ではない
そう言われても、なかなかピンとくる人は多くはないと思います。 しかし、モーリシャス教授が例として挙げた1~3の事例を見てみると、その現実を思い知らされました。
「セキュリティの穴は人間の行動にある」
サイバー犯罪は年々進化していますが、わたしたちのセキュリティ意識の向上は十分とは言えません。
「意識する」と口で言うのは簡単ですが、実行するのは難しいことです。これは、みなさんも実感されているのではないかと思います。
だからこそ、5の事例のように人間の行動原理を把握し、それを利用した対策を考えていくような方針転換が必要なのかもしれません。
(まあ、犯罪者たちは「人間の行動原理」などを大いに利用して詐欺などを働くわけですが…)
サイバーピースを目指す
モーリシャス教授の「そんな(ゼロトラスト)世界には住みたくない」という言葉にハッとしました。
SSTのミッションは「インターネットを安全にする」です。わたしは「サイバーピースを目指す」企業にいると言っても過言ではないと思います。けれど、「サイバーピースは具体的にどんな状態なのか」と問われると、「うーん…」となってしまいました。 脆弱性検査の観点としては「攻撃者はどのような視点で攻撃を行うか」というようなことをよく考えますが、今後は「サイバーピースってどんな状態だろうか?」と社内のメンバーと話してみようと思います。
最後に
今回、初めてのオフライン・オンラインのハイブリット開催ということで、関係者のみなさまは多くのご苦労があっただろうと推測します。 しかし、みなさまのおかげで貴重な講演に参加することができました。ありがとうございます。
※講演の内容は、同時通訳の内容をもとに黒木の理解の範囲内のものとなります。その旨ご了承ください。
*1:欧米の著名な研究者を招へいし、最新の成果を共有するとともに、日本をはじめとするアジア各国の優れた研究者を発掘し、その研究成果を世界へと発信していきます。 医療の世界で使われるCODE BLUEという言葉は、「緊急事態発生」や「関係者招集」を意味します。インターネットの世界においても、IoT(Internet of Things)の時代を迎えるなど、セキュリティ対策の重要性が高まっており、世界各国の研究者を招集し、事態への対処や解決策を共に考える場が必要とされています。 CODE BLUEは国際的なコミュティ形成の場となることを目的にするとともに、CODE(技術)によってBLUE(海)を超えて人と人をつなぎ、よりよいインターネットの世界作りに貢献していきます。