暗号界の天才児、セキュリティを語る

　Cryptography Research社長兼チーフ・サイエンティストのPaul Kocherは、暗号解読で名をはせた人物だ。

　1998年、同社はスマートカードの内蔵マイクロプロセッサが消費する電力量をモニターして、そのセキュリティを破ることに成功した。Kocherはまた、暗号化された文書を解読する専用マシン「Deep Crack」に搭載されているソフトウェアも開発した。

　もちろん、Kocherは守る側でも活躍している。同氏はここ数年で、知的財産の保護を目指す金融業界や映画会社から厚い信頼を寄せられるテクノロジストの1人となった。先頃、CNET News.comはKocherにインタビューを行い、プライバシー、著作権侵害、情報盗難の現状について話を聞いた。

---暗号の分野で、最も重要な議題は何ですか。

　その前に、重要でない議題がどのようなものであるかを申し上げておきましょう。どの暗号アルゴリズムを使うか、鍵のサイズはどうするかといったことは、もはや議題ではありません。これらの問題について、あれこれ考える必要はありません。これらは単純な問題です。

　技術の観点からいうと、複雑さにどう対処するかが大きな課題です。システムは複雑化の一途をたどっており、バグを根絶する方法は誰にも分かりません。

---それはソフトウェアの話ですか、それともハードウェアの話ですか。

　ソフトウェアもそうですし、ハードウェアもそうです。ネットワークや個人用PC、各種デバイス、マイクロプロセッサ--どれも昔に比べるとはるかに複雑になっている。機能を追加する者はあっても、削除する者はいません。セキュリティの観点からいえば、古い機能には必ずセキュリティ上のリスクが存在します。

　コンポーネントが1つしかなく、しかもその中身を知り尽くしているのであれば、管理をするのは簡単です。しかし、コンポーネントが600あり、それらがすべて相互にデータを交換している場合はどうでしょうか。心配の種が600倍になるだけでなく、コンポーネント相互の関係にも配慮しなければなりません。

　この場合は36万のインタラクションが存在するわけですから大変です。もちろん、1人ですべてを理解することはできない--デバッグにとりかかることすらできないでしょう。何人かで分担して、個々に対応すればいいと思うかもしれませんが、大勢が別々の視点からことに取り組めば、全体像を見落とすことになりかねません。

　このようなケースでは、まずは物事を単純化するようにしています。当社のソリューションを見ていただいて、内容を理解していただくと、それが他のものに比べて単純だと感じられるはずです。そうすることで、見落としをなくすようにしているのです。

---Cryptography Researchの事業を簡単に説明してください。

　大まかにいえば、最新の技術手法を用いて、複雑なセキュリティ上の課題を解決することです。どんな新しい技術にも、その使い方を誤れば大きな損害をもたらす可能性があります。これまで取り組んだなかで最も成功を収めたのは、主にクレジットカード会社など、金融機関のセキュリティ問題です。最近は著作権侵害防止の分野にも力を入れています。またワイヤレスのインフラシステム関連の問題にも積極的に取り組んでいます。

　収益の柱は技術ライセンスですが、最も時間をかけているのはサービスですね。

---プライバシーに関する状況は悪化していますか。

　センサーやデータ収集技術はムーアの法則に従って進化していますから、プライバシーの問題は時間の経過とともにますます大きくなっていくでしょう。データを集めている人々は、集めたデータで何をするかや、それをどう廃棄するかまでは考えていませんから、結局大量のデータが蓄積されることになる。プライバシーの面からいうと、これは深刻なリスクです。

　私たちは今、一生分にも相当する音楽ファイルを保存することができます。数年もたてば、動画ファイルでも同じことが可能になるでしょう。位置追跡用チップもどんどん小型化しています。私の携帯電話にもそうしたチップが入っているので、知識のある人なら、私の居場所を特定することができるはずです。「情報は概して有害なものだが、それを必要としている人にとっては宝だ」という考え方があります。この問題には多くの人が強い違和感を持っているでしょうが、私にもその違和感を解く方法は分かりません。

　著作権侵害の状況は相変わらず深刻です。映画会社は機器メーカーを責め、機器メーカーは映画会社に責任を押しつけようとしています。

---決着はつくのでしょうか。

　映画会社の主張、つまり機器メーカーは自社製品のセキュリティ強化に十分な投資をしていないという言い分はもっともです。しかし、あなたの家を守るのは私の役目でしょうか。私は映画会社が何らかのセキュリティコードをディスクに埋め込むべきだと考えています。そして機器メーカーはそのコードを実行できるプレイヤーを開発するべきです。

---映画会社にとって、コンテンツの保護は至上命令です。それにも関わらず、こうしたシステムがいまだに実現していないのはなぜでしょうか。

　このシステムを実現するためには、技術的な難問をいくつもクリアしなければなりません。また、技術者はコストを度外視して問題解決にあたる傾向があります。ほとんどの人は、安全か否かの二極論でセキュリティを捉えています。このような考え方では、リスクの分散という考えを理解することもかなわないでしょう。

　クレジットカード業界での豊富な経験は、当社の研究部門が持つ強みの１つです。リスクの概念を持つ業界での仕事は、貴重な見識を与えてくれます。一般的なクレジットカードは、ビデオテープとアイロンがあれば偽造することができます。クレジットカードは安全とはほど遠い技術であり、被害にあう可能性は常にあります。

　しかし、問題は偽造の有無ではなく、偽造が発生する確率です。Visaはこの確率を0.07％から0.08％と発表しました。つまり、ほとんどの人にとってカードは有益だというわけです。この確率があと10ポイント高ければ、そうではなくなるでしょう。

　この考え方はスパム、PCのセキュリティ、著作権侵害といった他の未解決の問題にも適用されるべきです。問題の発生率を下げることも重要ですが、著作権侵害やスパムを完全になくすことはできないと理解することも重要です。著作権侵害による損害が収益の1％未満なら、事業コストと捉えることができます。

---エンターテインメント業界はリスクをどう捉えているのでしょうか。

　われわれは日本に音楽会社を担当するスタッフを１名置いています。これまでも日本とロサンゼルスには必ず誰かを常駐させるようにしてきました。現在、私はスケジュールの半分を映画会社の仕事にあてています。声高にアピールすることはありませんが、多くの映画会社は当社の業務を非公式に、しかし強力に支援しています。

　映画会社のなかには、社の著作権侵害問題を一手に引き受ける専任の担当者を置いているところもあります。その他の企業も、ある程度技術の分かる人材を揃えています。

---音楽会社と映画会社、リスクが高いのはどちらですか。

　映画業界は突然、危機的状況に直面することになるでしょう。一般の人が映画の違法コピーを手軽に、安価に入手できるときが必ず来ます。音楽業界はすでにこの段階に達しており、違法コピーは音楽業界に壊滅的なダメージを与えています。

　映画が音楽と大きく違うのは、データのサイズが桁違いに大きく、ダウンロードに時間がかかることです。メガバイトではなく、ギガバイトの世界ですからね。しかしムーアの法則に従えば、この状況は変わるでしょう。そうなれば、著作権侵害の発生率は飛躍的に高まります。ハードディスクのサイズは約12カ月ごとに倍増しています。2013年、遅くとも2015年には、80ドルのハードディスクにすべてのハリウッド大作を高解像度で格納できるようになるでしょう。そうなれば、映画の違法コピーや格納のブレーキとなってきた技術的な障壁は消えてなくなります。

---なぜ暗号の仕事に関わるようになったのですか。

　オレゴンで運転免許も持たずに育ち、家の中にPCがあった・・・これも理由の1つでしょう。スタンフォード大学では生物学を専攻したので、学歴的には何の関係もないのですが、在学中にMartin Hellman（Public Key Cryptographyの共同開発者）のところでアルバイトをしました。私が卒業した年にHellmanも引退し、コンサルティングの仕事を回してくれるようになったのです。

　暗号のおもしろいところは、社会のあらゆるものと何かしらの関わりがあることです。政治、スパイ活動、軍事はもちろん、個人の自由や選挙も例外ではありません。暗号と縁のない問題を見つける方が難しいのです。