IoTセキュリティの残念な実態(Part1)
ハディ・ナハリ氏は、Brocade Systemsのセキュリティ部門副社長でありCTOだ。
彼は、イベントにおいて、最新のセキュリティ問題についてとIoTにおけるセキュリティが悪化している点について業界に注意を喚起し続けている。
今回、我々はハディ氏と今日のテクノロジー業界におけるセキュリティについて幅広く話を聞いた。これは2部構成の記事の第1部に当たる。
ハディ・ナハリ氏(以下HN): 私はこれまで25年間セキュリティに携わってきたが、7年前は自分の仕事内容とその意味を説明しなければいけないほど世の中のセキュリティに対する考えが甘かった。だが、今はハッカーらのおかげで問題が顕在化され、人々はその問題に対しての早急な解決策を求めている。このような大きな変化を必要とするものは時間がかかるため、ここ10年の取り組みとなっている。
RW: つながる世界におけるIoTのセキュリティは、自分たちだけで守れるものではなく、パートナーからの影響も少なからずあると思うが、いかがだろう。
HN: それは重要な点だ。現在セキュリティの問題を抱えていない人は、“今は問題が無い”という意味でラッキーと言えるが、知らぬ間に問題を抱えている人に足を引っ張られる形で巻き込まれることも考えられる。
RW: たとえば、自分自身がセキュリティに万全の注意を払っていたとしても、子どもが脆弱性を抱えたWi-Fiバービーを家に持ち込んですべてが台無しになるようなケースなどだろうか。
HN: ええ。そういった皮肉なことが起こり得るのもセキュリティに携わる上で面白いところだ。しかし、データとセキュリティの根本的な性質が世界中で変わろうとしているなか、その備えができている人はいないといえる。この現状にビジネスやソリューションの焦点が集まる動きは特に悪いことだとも思わない。そして、問題を解決してお金を儲けることに異議を挟むつもりもない。
しかし、杜撰(ずさん)なセキュリティ対策、つまり本当に安全ではないものの不完全なセキュリティ部分につけ込む問題や、暗号化などにまつわる多くの問題があり、これらを理解することができなければ現状は極めてややこしい状態であるといえる。
ゆえに、あなた方のように、問題解決策を求めるニーズに対して投資し、この混乱を解決するために何かをしようとする人たちと力をあわせることは私のモチベーションに繋がっているのだ。
IoTという分野にセキュリティのプロはいない
RW:これまでで一番上手くいっていないと感じる点は何だろうか。
HN: 一つだけを取り上げることは難しいが、私が心配していることは、問題のスケールと複雑さが考えも付かないレベルになりつつあるというのに、多くの人(ひょっとすると技術者ですら)がその事実を大きく受け止めていないという点だ。
ポイントは、テクノロジーやセキュリティについての知見においても同じことが言えるということだ。複雑なセキュリティやテクノロジーを考える上で、我々の周りにある判断材料となるサンプルの数は限られたものだ。この点は、人々にこれが深刻な問題だということを伝えるためのデータや論拠などを提示する上で懸念されるものだ。
また、限られた知見しか持たない人々は、自分たちのことを正当化しややこしいことから目を背けようとしますが、その道を提供しているのは当の技術者だったりする。これも私の懸念点の一つだ。技術者の雇用安定の意味もあるという人もいるかもしれないが、私はこの現状を良いことだとは思わない。
システムがカオスに陥っている今、セキュリティを確保することは当たり前だと伝えても人々は、私が専門家だから気にしているだけだという。しかしそう言っている間に、この問題は何も手が付けられないほどに大きくなってしまうだろう。
(ReadWrite Japan編集部)
ReadWrite Japan編集部
[原文]