11/15/2016

モノのインターネットへの規制

シュナイアーのブログより

先月後半、Twitter、Pinterest、Reddit、PayPalのような人気のウェブサイトはほとんど1日中ダウンした。機能停止を引き越した分散サービス不能攻撃と攻撃を可能とする脆弱性は市場主義の失敗と同じで、テクノロジーで作ったポリシーだった。我々はますますコンピュータ化し、ネット接続された世界を守りたいのであれば、もっと政府が「モノのインターネット」のセキュリティへの関与し、何が重大で生命を脅かすテクノロジーなのかの規制を強化することが必要である。それは、「もし」という問題ではなく、「いつ」という問題である。

はじめに、事実。それらのドメイン名プロバイダであるDynという名前の企業がオフラインにさせられたため、それらのウェブサイトが停止した。我々は誰が攻撃を実行したかは分からないが、一匹狼のハッカーでも簡単に行える。大量の(数百万の可能性がある)ウェブカメラやデジタルビデオレコーダのようなモノのインターネットデバイスの脆弱性をエクスプロイトすることで、Dynに対して分散サービス不能攻撃を仕掛けた人物は、ボットネットの中に取り込んだ。ボットネットは大量のトラフィックでDynを攻撃したため、システムダウンが起こった。そして、システムダウンが起きると、何十ものウェブサイトがダウンした。

インターネット上のセキュリティは、セキュリティを気にしない消費者が耳にしたことがない企業によって設計・販売されている数百万ものインターネットが利用可能なデバイスのセキュリティ次第である。

これらのデバイスが安全ではない技術的理由は複雑である。しかし、会社には市場の失敗がある。モノのインターネットは世界中の数千万ものデバイスにコンピュータ化と接続性をもたらした。これらのデバイスは、車、ホームアプライアンス、サーモスタット、電球、フィットネストラッカー、医療機器、スマート街灯、歩道のようなものがあるため、我々の人生のあらゆる側面に影響するだろう。これらのデバイスの多くが低価格で、オフショアで設計・製作され、ブランド変更され、再販売される。これらのデバイスを作るチームは、単にマーケットが必要とする追加コストを払いたくないため、主要なコンピュータやスマートフォンメーカに期待されるようなセキュリティの専門知識を持っていない。これらのデバイスはより高価なコンピュータのようにセキュリティアップデートがないし、パッチを当てる方法もない。そして、コンピュータやスマートフォンと違って、それらは何年も十数年もそのまま存在し続ける。

Dynへの攻撃によって示された追加的な市場の失敗は、それらのデバイスの売り手も買い手もどちらも脆弱性を修正する気がないことである。それらのデバイスの所有者も気にしない。彼らは素晴らしい機能と、手頃な価格のウェブカメラ、サーモスタット、冷蔵庫が欲しいだけだ。それらがこのボットネットにリクルートされた後も、それらはまだ正常に動作する。そして、攻撃に使われることを知ることもない。それらのデバイスの売り手は気にしない: 彼らはとっくにより新しい、よりよいモデルを売ることに移っている。不安感が最初に他の人々に影響するので、マーケットの解決策はない。それは見えない公害の一種である。

そして、公害のように唯一の解決策は規制することである。政府がIoTメーカーに最小限のセキュリティ基準を負わすことで、ユーザは気にしなくてもデバイスを安全に保つことができる。政府は製造メーカに法的責任を負わせ、デバイスがDDoS攻撃に使われた場合、Dynのような企業は彼らを訴えることができる。詳細は慎重に検討する必要はあるが、これらのオプションが不安へのコストを上げ、デバイスの安全性にコストを掛けるインセンティブを企業に与える。

確かにこれは国際的な問題への国内の解決策であり、影響するアメリカの規制はない。そういえば、アジア製の製品は南アフリカで販売され、その製品がアメリカのウェブサイトを停止するのに使われている。しかし、ソフトウェアを作る主なコストは開発からは生まれない。もし、アメリカや他の主要なマーケットがIoTデバイスへの強固なインターネットセキュリティの規制を実行するなら、製造メーカーはそれらのマーケットで販売したいなら、セキュリティをアップグレードせざるを得ない。そして、単純に2つの異なるソフトウェアのバージョンを維持することに意味はないので、ソフトウェア開発の向上がどこで製品が販売されようとも利用可能になるだろう。これは本当にいくつかの国の行動が世界的な変化を推進できる分野である。

あなたが規制と市場による解決について検討したとしても、私は選択肢はないと確信する。リスクが非常に大きく、危険の度合いがとても高くなっているため、政府はIoTに関与するだろう。コンピュータは今や直接そして物理的な方法で世界に影響を与えることができる。

セキュリティ研究者はインターネットが利用可能な車をリモートに制御できることをはっきり示している。彼らは家のサーモスタットに対するランサムウェアや埋め込み型医療機器の脆弱性の露出もはっきり示している。彼らは自動投票機発電所をハッキングした。最新の論文の一つに、研究者はスマート電球の脆弱性が連鎖反応を引き起こし、その結果全てが攻撃者によって制御されることを示した。これらのモノのセキュリティ上の欠陥の生で人が死んだり、所有物が破壊されることが起こるかも知れない。

アメリカ政府を怖がらせるつもりはない。2001年を覚えているだろうか? 小さな政府の共和党大統領は9.11のテロリスト攻撃の結果として国土安全保障省を創設した: それは我々が10年以上にわたって検討すべき決定は大急ぎかつ検討不足であった。致命的なIoT災害は同じように政府を行動に駆り立て、熟慮とよく考えられた行動になりそうにない。我々の選択は政府関与と政府不関与の間にはない。我々の選択は賢い政府の関与と愚かな政府の関与の間にある。我々は今このことについて検討を始めるべきだ。規制は必要だし、重要で複雑である。そして、それらは成功の見込みはある。手遅れになるまで、我々はこれらの問題を無視する余裕はない。

一般に、ソフトウェア市場は製品が迅速かつ安価で、セキュリティは二の次のであることを求めている。それはソフトウェアが問題にならない場合は大丈夫だった。スプレッドシートがたまにクラッシュするのは大丈夫だった。しかし、あなたの車が故障するソフトウェアバグは全く別次元の問題である。モノのインターネットのセキュリティ脆弱性は深く蔓延しており、それらはマーケットが自身で片付けないまま放置し続けるなら解決されない。我々は適した規制解決策を積極的に議論する必要がある。そうしないと、災害が我々に最悪のものをもたらすだろう。

このエッセイはワシントンポストに以前掲載したものだ。