【RSA Conference US 2015】元米国海軍Mike Brown氏に聞く2020年の東京オリンピックとセキュリティ

毎年サンフランシスコで開催されている「RSA Conference」は、情報セキュリティ業界で最も認知度の高いイベントのひとつ。暗号学者たちによる意見交換をメインとした催しとして発足した1991年から、情報セキュリティの需要が高まるにつれ、その規模も内容も拡大してきた。

そしてRSA Conferenceの成長とともに、情報セキュリティ界の話題も複雑化し、深刻化した。とりわけ、この数年の米国では国家レベルのサイバー戦、国際的な産業スパイによるインシデント、ネット市民のプライバシーなどの話題が大きく取り上げられるようになった。

米国海軍のセキュリティに従事していた経験を持つRSA Global Public SectorのVPでありGMでもあるMike Brown氏は、業界の動向をどのように見ているのだろうか。米国の情報セキュリティに取り組む政府と民間企業の関係、2020年に開催される東京オリンピックにおけるセキュリティについて聞いた。

――現在は、RSAで国際公共部門を担当されていますが、それ以前のあなたは海軍少将として米国を守るためのサイバーセキュリティに取り組んでいらっしゃいました。RSAに至った理由を教えてください。

RSAへ来た時の私には明確な目的がありました。それまでの私は、米国政府の内部で国を防衛するために働いていましたが、その際には国の重要なインフラを扱う企業など、米国の様々な民間企業と協働しただけでなく、日本の政府や企業を含めた様々な他国の政府と共に働いていました。その私の経験を、RSAが議案として提示している「インテリジェンス主導型のセキュリティモデル」の戦略の中に活かしたかったのです。

――Brown氏の経験をRSAで活かしたいと思われた理由についてお伺いさせてください。

海軍の幹部として、そして暗号学者として、私が軍事の視点から行ってきたことは、自身の可能性を知り、自身にとって何が重要なのか、自身の敵が誰なのか、何をしなければならないのかを知ること。そして「自分の敵の可能性を知り、彼らにとって何が重要なのかを知ること」に繋がっています。

RSAの掲げるインテリジェンス主導型のセキュリティモデルは、私が自分の経験の中で必要だと感じたこと、つまり「今、そこに存在している悪質な活動に対し、インテリジェンスを蓄えたコミュニティとして打ち勝つこと」と同じライン上にあると感じたためです。

――RSA入社後の現状はいかがでしょうか。

情報セキュリティにおける問題理解を促進するために、私はRSAで非常に素晴らしい時間を過ごしています。米国海軍が行ってきたような「国際的な協力」、つまり他国との協力といったこともRSAのリーダーたちに届けることができていると感じています。RSAの技術だけでなく、製品、ビジョン、サービス、戦略開発といった多方面において、これまでの私の経験と共通している部分が多いと感じています。

――官民の情報セキュリティ事情を熟知していらっしゃると思うのですが、米国の民間企業と公共事業の温度差、あるいは両社の関係性について何かお気づきになることはありますか。

いくつか重要だと感じていることがあります。現在米国の民間企業が政府に強く求めているのは、民間と政府間の信頼関係の確立です。それは国際社会における米国の責任や役割の理解など、様々な場面で表面化する問題なのですが、民間企業は政府によるプライベートデータの扱いを疑問視しています。政府が企業のデータを、そして大切な顧客のデータを正しく扱っているのかどうか、プライバシーは守られているのかが明確ではないと民間企業は感じています。

また一部の民間企業は議員に対して非常に熱心に、いくつかの法の成立を求めています。まずは情報シェアリングの問題でしょう。政府は民間企業から多くのデータを所有しようとしますが、彼らは民間企業とデータをシェアしません。それが協働を行ううえでの信頼関係を損ねていると感じています。

もう一つ述べておきたいのは、米国の50州に存在する多くの政府機関には、それぞれのテリトリーがあり、州法があり、それが問題を複雑化しているということです。民間企業は政府に対してひとつのスタンダードを求めています。誰が何の責任を取るのか、誰が何をいつ通知するべきなのか、誰がどのような行動を起こすべきなのかなど。それらの様々な要素、つまり情報の共有、信頼関係の構築、官民を超えた通知、これらに対する民間企業の懸念が、官民の協働を妨げていると私は考えています。

――ありがとうございます。これも「政府と民間の協働」に関連した話になると思うのですが、日本では2020年にオリンピックが開催されます。この一大イベントに向けて、日本の組織がサイバーセキュリティの手段を構築するため、何かアドバイスをいただけないでしょうか。

まさに、大きなイベントにおけるサイバーセキュリティは非常に重要な課題です。イベントを妨げる試み、あるいはイベントに乗じて財産や個人情報を盗もうとする試みなど、そこで起こりえる悪質な行動は多様です。

実際、このようなイベントが開催されるたびに悪意ある人々は成功を阻止しよう、あるいは破壊しようとする傾向が過去の例にも見られています。そのような攻撃者の悪事から、重要なインフラを、そして参加者やファンを守るためには、これまでRSAが語ってきたような戦略が必要なのです。

まずは「普通の状態」、つまり「あるべき状態」を良く理解する必要があります。「あるべき状態」を理解して初めて「普通ではない状態」が分かるもので、適切な可視化、脅威の検出、そしてそれらに反応する一連の能力が求められます。5年後の世界は現状とは大きく異なり、そこではアイデンティティ、アクセスの管理と制御が非常に重要になると考えています。

――IoTを含め、IT技術の発展とともに2020年にオリンピックを控えた日本に求められる対策は大きいと感じています。

2020年までには、IoTやウェアラブルデバイスの技術は更に進んだものになるでしょう。今から、その課題に向けて備えるべきです。私たちは、ウェアラブルの技術を悪事に使われる側ではなく、それを防御のツールとして利用する側、チームプレイで協力しあってイベントを成功させる側でなければなりません。

――2020年の日本は、それらを成し遂げることができると思いますか。

人生とはリスクを理解することであり、完璧なものなど存在しません。しかし、このエキサイティングな、世界中を魅了するイベントを成功させる戦略の実行について考えなければいけません。ゴールは2020年と明確ですので、2019年まで待つことはできません。今は、必要な対策に取り組むべき時です。

ただ、それらの対策は現在2024年にマサチューセッツでオリンピックが開催される米国が取り組んでいることでもあります。ロードマップを開始するためには、悪意ある人々による脅威の情報を継続的に更新し、インフラやベンダーなどの関係者たちとサイバーセキュリティ上での協働を行い、リスクを軽減していかなければならないでしょう。

――ありがとうございました。