「マトリックスの悲劇を起こすな」：元ホワイトハウス特別補佐官のリチャード・クラーク氏が講演

　シマンテックは11月11日、同社のセキュリティ製品を紹介するカンファレンス「Symantec SecureXchange 2003」を開幕した。基調講演には元ホワイトハウス サイバースペースセキュリティ担当特別補佐官のリチャード・クラーク氏が登場し、今セキュリティの分野で起きている変化について警鐘を鳴らすと共に、対策の必要性を訴えた。

　クラーク氏によると、現在セキュリティの問題は様々な面で変化を迎えており、新たな対策が必要だという。「我々はすでに曲がり角を曲がってしまい、新たな側面に入っているのだ」（クラーク氏）

　クラーク氏はまず、被害の起こる頻度が高まっており、感染の広まりも加速していると指摘する。かつてソフトウェアの脆弱性が発見されるのは1カ月に1、2件程度だったが、今では毎月平均で30件が見つかるという。さらに、脆弱性が見つかってから、それを悪用した攻撃が起こるまでの時間も短くなっているという。「従来は6カ月程度の間隔があったが、今ではたった6時間しかない」（クラーク氏）。「ここまで期間が短くてはすぐに対応が間に合わない」（クラーク氏）

元ホワイトハウス サイバースペースセキュリティ担当特別補佐官、リチャード・クラーク氏

　これらの問題に対し、企業はファイアウォールなどの防御壁を自社のネットワークに張ることでセキュリティを守るのが一般的だ。しかしクラーク氏は、この防御壁も壊されていて役に立たないと指摘する。しかもこの壁を壊しているのは従業員自身だというのだ。例えば従業員が遠隔地からVPNを通じて社内網にアクセスする。もしこのPCがウイルスに感染していれば、VPNを通じてウイルスを社内に入り込ませてしまう。他にも従業員が勝手に設置した無線LANやインスタントメッセンジャー（IM）を通じて侵入される場合があるとクラーク氏は警告した。

　企業の被害額とセキュリティコストも以前に比べ増加している。世界全体における2002年のワームやウイルス対策のコストは450億ドルだった。しかしMSBlastの被害が起こった2003年8月には、1カ月間だけで380億ドルのコストが費やされたという。わずか1カ月で前年に匹敵する額が使われたことになる。

　これに伴い、セキュリティコストも増加している。企業は今まで、自社のIT投資額の1〜3％をセキュリティに投資していた。しかし今年度のホワイトハウスのセキュリティ投資額は年間IT予算の8％に当たるといい、一般企業も同様の動きを見せているという。

セキュリティ環境の変化に対応した対策を

　クラーク氏はこれらの変化を紹介した上で、環境に応じて対策を変えていく必要があると指摘する。クラーク氏は対策方法として、IDSのような早期警戒サービスを利用する、ネットワークだけでなくホストにも侵入検知システムを導入する、脆弱性の有無やセキュリティポリシーの準拠に関して自動監査を行う、認証や暗号化を取り入れる、自社で全てのセキュリティ対策を行うのではなくアウトソースも考える、従業員に対してセキュリティの認識を向上させるプログラムを取り入れるといった方法を紹介し、これらの対策が必要だと訴えた。

　クラーク氏は映画「マトリックス」の最新版が11月初頭に公開されたことに触れ、前作の「マトリックス リローデッド」の台詞を引用する。「『マトリックスの世界はコンピュータで動いているが、誰もインフラのことなど気にも留めない。コンピュータが動かなくなるまでは』---このメッセージを企業の幹部に送りたい。誰もコンピュータセキュリティなど気に留めない。物事が動かなくなるまでは」（クラーク氏）