デジタルネイティブ世代がセキュリティにもたらす影響

RSA Conference:ビッグデータが喚起するプライバシー問題

2012/02/29

 米マイクロソフトの副社長兼Trustworthy Computing最高責任者、スコット・チャーニー氏は、RSA Conference 2012の基調講演において、ビル・ゲイツ氏のメモから始まった「Trustworthy Computing(TwC)」という取り組みが10年を迎えたことに触れた。そして、今後は「TwC Next」という形で、セキュリティのみならずプライバシーにも配慮することで、エンドツーエンドの信頼を打ち立てていきたいと述べている。

Windows 8のセキュリティ機能とは

rsa02_01.jpg 米マイクロソフト 副社長兼Trustworthy Computing最高責任者 スコット・チャーニー氏

 マイクロソフトがTwCに取り組むことになったきっかけは、Code RedやSlammerといった、Windowsの脆弱性を狙うワームのまん延だった。これを受けて2002年1月、当時のビル・ゲイツ会長が全社員に向けて送った「セキュリティを最優先とする」というメモが出発点だ。以降、開発段階からセキュリティに留意し、脆弱性の数を減らす取り組みを進めるとともに、デフォルト設定の見直しやAddress space layout randomization(ASLR)といった機能の追加により、Windowsプラットフォームのセキュリティ強化に努めてきた。

 最新の成果となるWindows 8ではそれがさらに推し進められるという。具体的には、署名付きのOS以外は起動しないようにする「セキュアブート」や、アンチマルウェアソフトの早期ロード、リモート認証やダイナミックアクセスコントロールといった機能が搭載される予定だ。

 一方でチャーニー氏は、過去の「便乗型」攻撃に代わり、特定の標的に狙いを絞り、目的を達成するまでしつこく繰り返し侵入を試みる攻撃が増加していることに触れ、境界で防ぎきることは困難であると述べた。「攻撃を『防ぐ』だけでなく、迅速に検知し、影響を最小限に封じ込め、迅速に回復させるという形で、リスクを管理していかなければならない」(同氏)。

ビッグデータが喚起するプライバシー問題

 TwCが登場してからの10年の間に、IT環境は様変わりした。チャーニー氏がいま、可能性とともに懸念を感じているのが「ビッグデータ」だという。

 例えば、位置情報の活用はユニークなサービス、便利なサービスを可能にする一方で、リスクも招く。「ビッグデータは攻撃者にとって格好のターゲットだ」(チャーニー氏)。さらに、プライバシー上の懸念もぬぐいきれない。「プライバシーリスクとメリットのバランスを取ることが重要だ」(同氏)。

 ビッグデータという概念によって、例えばデータはいつまで保存しておくべきかという問題も提起されている。最初は「ずっと使ってもらって構わない」と思って渡したデータについても、後から気が変わるかもしれない。そうしたときにどうやってルールの変更を伝えるか、そしてデータの扱われ方についての透過性を確保するかなど、検討すべき項目は多い。

 この懸念を解消していくために、政府や業界、ユーザーを巻き込む形で、プライバシーデータの適切でフェアな利用に関するコンセンサス作り、どのようにそれを利用し、保護するかについての原則作りが必要だろうという。ただ、「プライバシーに対する感覚は個々人によって異なる。それをどのように表現していくかが課題だ」(同氏)。

 こうした背景から、TwC Nextは、セキュリティに加えてプライバシーや信頼といったテーマを包含した取り組みになるとした。

「デジタルネイティブ」対「デジタル移民」

rsa02_02.jpg 米シマンテック 社長兼CEO エンリケ・セーラム氏

 続いて、米シマンテックのエンリケ・セーラム氏が基調講演に登場した。同氏が取り上げたテーマは、「デジタルネイティブ」世代がセキュリティにもたらすインパクトだ。

 セーラム氏は、1990年代以降に生まれ、当たり前のようにモバイルやソーシャルネットワークを使いこなしている「デジタルネイティブ」が職場に進出してくることによって、ビジネスのあり方が大きく変化するだろうと指摘。それに伴い、これまで「デジタル移民」世代が作り上げてきたセキュリティ習慣も変化を余儀なくされるだろうと述べた。

 デジタル移民世代にとっては、「オンライン」という状態は特別なものであり、利用に当たっては気をつけるのが当たり前だった。しかし、常につながり、さまざまな情報を共有する状態が自然なデジタルネイティブ世代は、インターネット利用に際してそのようなことは考えないとセーラム氏は指摘。仕事としてのインターネットとプライベートのインターネットの間に区別はなく、従ってアイデンティティやセキュリティ保護についてもそれほど気に掛けないという。

 そうした世代が徐々に就職し始めている中で、「どのようにIDを管理するか」「どのように情報を保護するか」「どうやって大量のオンライン上の活動を追跡するか」が課題だという。

 これは、単純に「禁止」してしまえばすむ話ではないと同氏は指摘する。セキュリティ上の問題は解決できるかもしれないが、代わりに創造性や生産性が損なわれてしまう。「次世代のワークプレイスは、ネットワークにつながった、ソーシャルな場でなくてはならない。いわゆるソーシャルエンタープライズだ」(同氏)。

 セーラム氏は、禁止する代わりに、この環境を保護するための新しいレイヤが必要だという。具体的には、認証、認可、監査といった機能を提供する、フレキシブルなアイデンティティ管理や、外部に出ていく情報のコントロールが可能な新しいコンセプトのファイアウォールといった要素を挙げた。

 さらに、APT(Advanced Persistent Threat)に対して、早期警戒の仕組みや迅速な回復といった機能を盛り込んだ「APP(Advanced Persistent Protection)」というビジョンを提案している。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間