事故回避の責任は開発者側へ移行を、アラン・パーラー氏

　2日目の10時から「情報セキュリティリスク、脅威、脆弱性の最新動向」の講演に立ったアラン・パーラー氏はSANS調査研究部門のディレクターで代表の立場。今イベントの総責任者的な人物だ。講演では、Webに攻撃を仕掛けるグループの動向と巧みな手口を紹介した。

　例えば、この1月にWebサイトが攻撃されたケースは全世界で8万7000件だったが、5月には150万件に拡大。ほとんどがフラッシュやアドオン、JAVAスクリプトの脆弱性を突いたもの。これらは国際的な詐偽集団によるもので、目的は金銭を盗むことだ。彼らと同じ手口で金を盗んでいるのがテロリストで、パーラー氏は「米国はまずいセキュリティでテロリストたちに武器を与えている」と指摘した。

講演するSANS代表のアラン・パーラー氏

　そして、詐偽集団とテロリストに並んでサイバー攻撃を仕掛ける3つ目のグループが「政府」なのだという。ロシア、中国、イスラエル、フランスなど25カ国に上り、ある国の政府は20のワークステーションを24時間稼働させ、世界の4つの軍事施設に侵入して重要なデータを盗み出していたのだという。しかもこれらは事件の性格上、ほとんど公にされることがない。衝撃の内容に驚かされるばかりだ。

　ではアタッカーを止めるにはどうしたらいいのか。パーラー氏は「彼らの侵入は防げない。止めるのでなく、侵入されたときに素早く見つけ、排除することだ」と話す。

　米空軍がサイバー攻撃を受けたとき、米空軍はマイクロソフトに「FDCCを安全にせよ」と交渉した。その結果、50万台のコンピュータで57日間かかっていたパッチ作業が7時間で完了し、ローコストで安全性も向上したという。

　「ユーザ側が安全にしなければならないという従来の考え方は捨てるべきだ。開発側にやらせればローコストで安全。この事例は大きな変革であり、効果はすばらしかった」（パーラー氏）

　こうした結果を踏まえ、ビジネスの現場にも役立ついくつかの防御策を紹介してくれた。そのポイントは、これまでユーザの肩にかかっていたセキュリティリスクをソフト周り（メーカーやベンダー）の肩に移すことだという。

　例えば、事故をユーザの責任にするのではなく、ベンダーが、売る前にセキュリティをかけることだ。コンピュータを購入する際、セキュリティのかかったもの以外は受け入れないようにする。こうすれば、ユーザとベンダーがポジティブな関係になり、結果的にコストも安く上がると強調していた。