(注意:本稿の全文は 8,147 文字あります)
「セキュリティ貧困ライン( security poverty line )」という言葉の提唱者が登壇するパネルディスカッションが RSAC2025 で行われたのでこれは是非取材しなければと会場に向かった。2025 年の春のことだ。1 年も前の記事を読ませるなよと言われそうだし実際そうなんですが大丈夫です。読めばわかります。通常これだけ日が経つと記事にしないんですがこれはこのまえのニコール・パールロスの記事と同様「これは出しておかねば」というものです。もう来月 RSAC2026 が開催されるのでさすがにそれを過ぎるとマズいだろうという保身もあります。まあ取材から 1 年近く経っている時点で保身も何もないのですが。
ScanNetSecurity 編集部はそもそもいろいろな条件が貧困ライン以下なので、アメリカの街中を、ホテルからカンファレンスの会場などへ時に 2 キロも 3 キロも徒歩で移動するという危険極まりないことを平気でしているが、おかげで赤信号でも車が少ないと走って渡る習慣がすっかり身についてしまった。海外、少なくともアメリカ合衆国ではそもそも徒歩自体危険だし、あまつさえ信号にせよ道で立ち止まっているとはっきり身の危険をフィジカルに感じるからだ。
RSAC の会場である Moscone Center に向かって猛烈な早足でサンフランシスコの街を歩いていると 1 ブロックで最低 5 人ぐらいはホームレスの人と出会う。壊れた大きな傘のように不安定に歩きながら、素晴らしく晴れた青い朝の空に向かって絶叫しているような人に 1 日に 1 人か 2 人は必ず会う。開期は月木なのでつまり 4 往復、計 8 回、その声なりを聞きながら歩く歩く歩く。日本と違って女性や、比較的若い見た目の白人男性や、中年のアジア人の女性のホームレスの人も稀に見かける。
企業のセキュリティ対策の世界もこの風景と似ていて、基本金がない企業は、十分なセキュリティ対策をすることが多くの場合できない。セキュリティ製品の高い品質は高い利用料とセットになっていてこの前提は疑われることがない。というかそれを疑うと産業が成り立たない。イノベーションの動機もなくなる。
これに挑戦しようとした一人が、本誌で記事にしたことのある「脆弱性診断を盗んだ男」こと松野真一で、彼は脆弱性管理のソフトウェアを無償( FREE FOREVER )で提供するプロジェクトを立ち上げた。
かといって、無償なら即セキュリティ対策をするのかというと、そういうことは必ずしもなく、一度松野本人と話をしたことがあるのだが、たとえば SKYSEA Client View のような超優秀なセキュリティ管理のソフトウェアをあくまで仮想の話だが政府が一括で買い上げて、それを希望する日本中の企業に無償で配布することにしたら、無償配布を希望してくるのはきっと以前から SKYSEA Client View を既に使っていた企業だけに限られるのではないか。その他の企業は月に 10 万円もらっても使いたくないのではないか。要は誰が運用するんだという話である。問題は単純ではない。
--
2025 年 4 月、サンフランシスコで開催された RSA Conference 2025 で『Bridging the Cyber Poverty Gap(サイバー貧困ギャップを埋める)』と題したパネルディスカッションが行われた。
モデレーターを務めたのは Bitsight社のプリンシパル・リサーチ・サイエンティスト、ベン・エドワーズ(Ben Edwards:写真左端)。パネリストには、1Password社 シニア・リサーチ・イニシアチブ・ディレクターのウェンディ・ナザー(Wendy Nather:写真左から 2 番目)、公共政策コンサルティング会社 Advocacy Blueprints社の創設者で弁護士のニコール・ティスデール(Nicole Tisdale:写真左から 3 番目)、そしてサイバー保険会社 Coalition社の VP であるセザンヌ・シーモア(Sezaneh Seymour:写真 右端)が名を連ねた。
中でも注目すべきはウェンディ・ナザーで、彼女は 2011 年に「セキュリティ貧困ライン(Security Poverty Line)」という用語を作った人物であり、公共と民間の両セクターの組織で CISO を務めた経験を持つ。
ニコール・ティスデールはホワイトハウス国家安全保障会議と米国下院国土安全保障委員会での勤務経験があり、セザンヌ・シーモアはホワイトハウス、財務省、国務省で計 20 年の政府職員の経験を持つ。政策、保険、そしてセキュリティの現場を知る専門家が一堂に会したパネルとなった。
● 5,000 万ドルからゼロへ「セキュリティ貧困ライン」はこうして生まれた
ウェンディ・ナザーは「セキュリティ貧困ライン」という用語を生み出した背景を語った。
彼女はかつてスイス銀行で働いており、その当時のセキュリティ予算は約 5,000 万ドルだったという。その後、テキサス州政府に転職した初日、上司から「今日中に予算要求を出せ」と言われた。彼女はログサーバーと数冊の本のために 2,000 ドルを要求したところ上司はそれを却下し「ここを民間企業だとでも思っているのか」と言ったという。
後にアナリストとなった彼女は、セキュリティ研究者たちが「なぜパッチを当てないのか、怠慢だ、愚かだ」とユーザー企業を批判するのをくり返し聞いた。しかし現実はそれほど単純ではないと考えた彼女は、「セキュリティ貧困ライン」という概念を提唱して、その複雑さを説明しようとした。
ナザーによれば、組織がセキュリティ貧困ライン以下に陥る要因は 4 つある。
第一に「予算」。たとえば小売業界のコンビニエンスストアチェーンの利益率は約 1 %だが、テック企業は約 12 %である。利益率 1 %の企業がセキュリティに投資する余裕はほとんどない。
第二に「専門知識」。経験豊富なセキュリティ人材を確保しようとしても、より高い給与を支払える企業との人材獲得競争に勝ち目はない。
第三に「環境制約」。たとえば医療現場では、システム障害時にアクセスを遮断する「フェイルクローズド」という設計思想を採用できない。認証システムが故障したからといって、医師が患者情報にアクセスできなくなれば、患者の命に関わるからだ。セキュリティの理想と現場の制約は常に衝突する。
第四に「影響力」。小規模組織は、自社が利用するソフトウェアや機器のベンダーに対して、サポート延長や自社環境への対応を求めても、聞いてもらえる可能性がほとんどない。発注額が大きい大企業なら交渉力があるが、小規模組織にはそんな影響力はない。自身の顧客への影響も限定的である。
これらの要因が複合的に絡み合い、少なくとも 90 %、つまり世に存在するほとんどの組織にとってセキュリティは「簡単ではない」とナザーは指摘した。
