8/01/2016

現実世界のセキュリティとモノのインターネット

ブルース・シュナイアーのエッセイ。モノのインターネットで脆弱性が内在したまま放置されるデバイス数はPCの比ではないだろう。IoT社会になると、物理的戦争よりもサイバー戦争が主流になるのかもしれない。

モノのインターネットが引き起こすディザスターストーリー(大失敗物語)が大流行している。それらは自動車(運転、自動運転の両方)、送電網、ダム、トンネル換気システムを取り上げている。とりわけ、生々しく現実的なものとして、自動車、水道施設、病院、エレベータ、送電網のハッキングが引き起こされたニューヨークでのサイバー攻撃を描いた近未来のフィクションが先月のニューヨークマガジンに掲載された。これらのストーリーで、数千人が死ぬ。大混乱が起きる。これらのシナリオのいくつかは大量破壊を大げさに騒ぎ立てているが、個々のリスクはすべて現実にあり得る。そして、古いコンピュータやネットワークのセキュリティがそれらに取り組む準備を難しくしている。

古典的な情報セキュリティは機密性(C)、完全性(I)、可用性(A)の3つ組からなる。あなたはそれを"CIA"と呼ぶかも知れないし、確かに国の安全保障との関連で混乱させている。しかし、基本的に、私があなたのデータで実行できる3つのことは、それを盗み(機密性)、それを変更し(完全性)、それを手に入れることを防ぐ(可用性)である。

今までのところ、インターネットの脅威は大部分が機密性に関することである。これらはお金がかかる。一つの調査でデータ漏えいは平均380万ドルのコストがかかっていると見積もられている。2014年のAppleのiCloudからセレブの写真が盗まれた事件や2015年のアシュリー・マジソンのデータ漏えいなどは恥ずかしい問題となり得る。2014年の北朝鮮政府がソニーから数万の内部文書を盗んだ事件や同じ2014年にハッカーがJPモルガン・チェースから8300万の顧客のアカウントのデータを盗んだ事件は損害となり得る。2015年のおそらく中国による人事局のデータ漏えい事件では、国の安全保障にさえ影響を与えることができる。

モノのインターネットでは、完全性と可用性の脅威が機密性の脅威に比べてより一層悪化する。誰が自宅にいるのかを知ろうとするのにスマートドアロックが盗聴されるのが一つの問題である。ドアを開けるのを窃盗犯に許すためにハックされる、あるいはドアを開けるのを防ぐのは完全に別の問題である。あなたの自動車を運転できないようにする、あるいは制御を奪い取るハッカーは、あなたの会話を盗聴する、あるいは自動車の位置を追跡するハッカーよりもとても危険である。

モノのインターネットの到来や一般的なサイバーフィジカルシステムで、我々はインターネットに手足を与えられる: 能力は直接的に物理世界に影響がある。データに対する攻撃に使われるものや情報は、肉体、鋼、コンクリートに対する攻撃になる。

今日の脅威はコンピュータネットワークへ侵入し、ハッキングによって飛行機を落とす、遠隔で自動車を何もできないようにする、自動車を止めて駐車させたり、高速道路を減速するようなハッカーをあげられる。我々は選挙投票マシンで数を操作される、ハッキングされたサーモスタットを通じて水道管を凍結させたり、ハッキングされた医療デバイスを通じて遠隔で殺害することを心配している。その可能性は厄介でまさに終わりがない。モノのインターネットは我々がまさに想像できない攻撃を許してしまうだろう。

増大するリスクはシステムのソフトウェア制御、システム間の相互接続、自動化あるいは自律システムの3つのことからやってくる。順々にそれらを見ていくことにしよう。

ソフトウェア制御。モノのインターネットはすべてがコンピュータに変わることのたまものである。これは我々に大きな力と柔軟性を与えるが、危険な状態を我々にもたらす。多くのことがソフトウェア制御の下に入り、我々がコンピュータに対して経験するようなすべての攻撃に脆弱になる。しかし、モノの多くは安価で長持ちするため、コンピュータやスマートフォンで働くパッチやシステム更新の多くは働かないだろう。現時点では、ほとんどのホームルータにパッチを当てる唯一の方法はそれらを捨て去り、新しいものを買うことである。 そして、コンピュータや携帯電話を数年毎に買い換えると言うセキュリティは冷蔵庫やサーモスタットでは働かないだろう: 平均で、前者は15年毎に置き換え、後者は大体置き換えることはない。最近のプリンストンの調査ではインターネット上に50万の安全ではないデバイスが見付かった。その数はまさに爆発的に増えようとしている。

相互接続。これらのシステムが相互接続すると、システムの脆弱性は他に対しての攻撃に通じる。既に、我々はGmailアカウントがサムスンのスマート冷蔵庫の中の脆弱性を通じて漏えい、病院のITネットワークが医療デバイスの脆弱性を通じて漏えいHVACシステムの脆弱性を通じてハックされたTarget社を見ている。システムは予期しない、そして潜在的に有害な問題を持つ他のシステムに影響を及ぼす外在性でいっぱいである。いくつかのシステムを組み合わせると、無害な特定のシステムの設計者が有害になるかも知れない。システムの脆弱性は他のシステムに次々と流れ、その結果が誰も見たことがない、そして誰も修正に責任を負わない脆弱性となる。モノのインターネットは攻撃に利用できる脆弱性が多く見られるようになるだろう。それは単純な数学である。もし、100のシステムがお互いにすべて相互接続しているなら、約5000の相互接続があり、それらの相互接続から5000の潜在的な脆弱性が生じる。もし、300のシステムがお互いにすべて相互接続しているなら、それは45000の相互接続を持つ。1000のシステムなら、1250万の相互接続を持つ。それらのほとんどは無害あるいは興味がないものだろう。しかし、それらのうちいくつかは大きな損害を与えるだろう。

自律性。我々のコンピュータシステムはますます自律性を持つようになっている。それらは株を売買し、炉をオンオフし、送電網を通じて電力の流れを制限し、自動運転車の場合は自動的に数トンの車両を目的地に操縦している。自律性はさまざまな理由で素晴らしいが、セキュリティの見方からは攻撃の影響が即座、自動で、偏在的(ユビキタス)に実施できることを意味している。そのループから人間を取り除こうとすればするほど、より速い攻撃がダメージを与え、手遅れになる前にますます我々は何が悪いかに気づくための知性を信頼する能力を失うのだ。

我々はますますパワフルで便利なシステムを構築している。必然的な副作用がますます危険になっている。2015年、たった一つの脆弱性がクライスラーに140万台の自動車をリコールすることを強いた。ここ10年間は大規模なウィルス感染を考えると、昔は規模でコンピュータが攻撃されていた。しかし、世の中ですべてに起こっているこのことに準備ができていない。

政府は自覚している。昨年、国家情報長官のジェームズ・クラッパーとNSA長官のマイク・ロジャースはこれらの脅威の警告を議会の前に証言した。二人とも我々が脆弱であることを確信している。

ここにどのようにDNIの2015年Worldwide Threat Assessmentで表現されたかを示す: 「サイバー脅威に関する公の議論のほとんどが情報の機密性と可用性にフォーカスしている。サイバー空間の諜報活動が機密性を弱体化させる一方、可用性を弱体化させるサービス無効オペレーションやデータ削除攻撃がある。将来、また一方、我々は電子情報を削除するあるいはそこへのアクセスを破壊する代わりに、その完全性(例えば、正確さや信頼性)を侵害するために電子情報を変更するあるいは操作するたくさんのサイバーオペレーションを目にしてきた。政府高官(民間人や軍人)による政策決定、企業幹部、投資家などは、受けとった情報を信頼できないなら、正常な機能が損なわれるだろう。」

DNIの2016年の脅威アセスメントは同じようなことを含んでいた:「将来のサイバーオペレーションはほとんど確実に、政策決定に影響を与える、システムの信頼性を減少させる、あるいは物理的な悪影響を引き起こす目的でその完全性(例えば、正確さや信頼性)を侵害するためのデータを変更あるいは操作することにますます重点を置くようになるだろう。公益事業や医療のような環境でのIoTデバイスやAIの広範囲な採用は、これらの潜在的な影響を悪化させるだけだろう。」

セキュリティエンジニアはこのリスクの大部分を緩和することができる技術を開発中であるが、多くのソリューションは政府の関与なしにはデプロイされないだろう。これはマーケットが解決できる問題ではない。データの機密性のようなリスクやソリューションはほとんどの人々や企業にとって理解可能な技術的なことであり、企業は顧客、ユーザ、市民から自身のシステムの不安定さの責任を逃れるための動機を与える。相互接続は結果として起こる損害があるデータ侵害に結びつけることができなくなる。そして、企業の利益はしばしば人々の利益とは一致しない

政府は標準化、コンプライアンスの規制、企業やネットワークを超えてソリューションを実行に移すなど、大きな役割を演じる必要がある。そして、ホワイトハウスのサイバーセキュリティ国家行動計画(Cybersecurity National Action Plan)は、正しい行動のいくつかを語ってはいるものの、決して十分ではない。なぜなら、我々の多くが政府が主導するソリューションを恐れているためである。

次期大統領はおそらく多数の人々が死ぬ巨大スケールのインターネット災害に取り組むことに余儀なくされるだろう。私は彼あるいは彼女が政府が業界ができないことを実行し、政治がそれを実現させると言う二つの認識に答えてほしい。

このエッセイはVice Motherboardにすでに載った

BoingBoingの投稿