分析34社のテクノロジー企業が火曜日に「サイバーセキュリティ技術協定」に署名した。彼らは、協定は「オンライン上の一般市民を保護し、その力を強化し、サイバースペースのセキュリティ、安定性、回復力を向上させるという公約」を表すものだと述べた。
34社のベンダーには、シスコ、SAP、HP両社、マイクロソフト、オラクル、ジュニパーネットワークス、デル、BT、VMware、Arm、GitHubなど、多くの主要エンタープライズITサプライヤーが含まれています。しかし、Apple、Lenovo、主要SaaS企業、AWS、Google、IBMの姿は見当たりません。
レジスターは同グループの基礎文書を読んだが、そこには同グループがどのように、いつ行動するかについての詳細が記されていないと報告できる。また、参加者が進捗状況や成功度を測るために用いる詳細や指標も示されていない。34のグループが、セキュリティ計画の基礎となるリスク、適切な対応、利用可能なリソースについて検討したという兆候は全く示されていない。
協定では「この協定を推進するために我々が取り組む協力活動を引き続き定義する」としているものの、そのための期限や「これらの目標の達成に向けた進捗状況を公に報告する」計画は示されていない。
それでも、飛び込んでみましょう。
同グループの第一原則は、「セキュリティ、プライバシー、完全性、信頼性を優先し、脆弱性の発生可能性、頻度、悪用可能性、深刻度を低減する製品とサービスを設計、開発、提供する」努力を通じて、「あらゆる場所のすべてのユーザーと顧客を保護する」ことである。
素晴らしい言葉ですね。しかし、34社のうち、安全で信頼性の高い製品を提供しようとしなかった企業がいつあったでしょうか? 署名企業の中には、個人データを搾取するために存在し、データ漏洩や長年にわたる無制限のプロフィールスクレイピングによってユーザーのプライバシー保護に明らかに失敗したLinkedInとFacebookが含まれているのに、プライバシー保護に尽力するという誓約を、私たちはどれほど真剣に受け止めることができるでしょうか?
ジェダイの知恵
ここにも言葉の移り変わりがあります。原則では署名者は私たち全員を「保護する」と述べられていますが、意図を説明する箇条書きに至った時点で「努力する」に変わっています。
ヨーダ師の言葉を歪曲して分析することをお許しください。「やるか、やらないか。努力は不要だ。」
外交官とネットのベテランが米国、中国、ロシアのサイバー兵器の無力化に取り組む
続きを読む
同団体の2番目の原則は「どこからでも罪のない国民や企業へのサイバー攻撃に反対する」ことであり、「我々は政府がどこからでも罪のない国民や企業に対してサイバー攻撃を仕掛けるのを支援しない」という宣言を伴っている。
レジスター紙は、どこかのプロデューサーがすでに、CEO たちが「サイバー戦争:それは何の役に立つのか?」と合唱し、協定へのサイバー戦争反対を印象づけようとしていることを想像しているだろう。
署名者らは、「技術製品やサービスの開発、設計、流通、使用の過程での改ざんや不正利用を防ぐ」取り組みによって、政府によるサイバー空間での不正行為を阻止すると述べている。
しかし、署名国が改ざん防止のためにどのような措置を講じるのか、また「使用」の定義については説明がありません。また、署名国がどのように有罪を判断するかについては言及されていないものの、文言は、無実ではないと判断された標的へのサイバー攻撃を支援する可能性を示唆しています。
では、「エクスプロイト」とは一体何なのでしょうか? Cisco 社が Smart Install で現在も抱えている問題が示すように、ある開発者のリモート導入ツールは、別の開発者にとっては攻撃ベクトルとなるのです。
NSA が攻撃を挿入できるようにキットを傍受していることが知られており、政府がゼロデイを蓄積していることも知られていることを考えると、その改ざん防止計画もうまくいくことを祈っています。
エンパワーメント万歳!
協定の3番目の原則は、「ユーザー、顧客、開発者がサイバーセキュリティ保護を強化できるように支援する」ことです。
そのために、署名機関は「ユーザー、顧客、そしてより広範な開発者エコシステムに対し、現在および将来の脅威を理解し、それらから身を守るための情報とツールを提供する」。また、34か国は「サイバー空間におけるセキュリティの向上と、先進国および新興国におけるサイバーセキュリティ能力の構築に向けた民間社会、政府、国際機関の取り組みを支援する」。
これらは高潔な意図であり、反対するのは難しい。しかし、このグループはメンバーが何をするのか、あるいはそれが新たな活動なのか、それとも既存のプログラムをアコード活動として再定義するのかについて説明していない。
レジスター紙は、協定署名者の「参加しました!」というブログ投稿に目を通しましたが、新たな行動、新たなコミットメント、新たな支出、あるいは何か新しいことに関する言及は見つかりませんでした。多くの投稿では、本日の発表は…どこかへの道の第一歩だと表現されています。
おい、政府のハッカー野郎。何かひどいマルウェアでも作ったのか?また襲われても気にするなよ
続きを読む
協定の4番目の原則は、「サイバーセキュリティを強化するために、互いに、また同じ考えを持つグループと提携する」ことである。
複雑なエコシステム全体でのコラボレーションを改善の手段として?ついに誰かがそれを考えてくれたことを嬉しく思います!
4 番目の原則を追求するために、同グループは「独自の技術とオープンソース技術のすべてにわたって、業界、民間社会、セキュリティ研究者との正式および非公式のパートナーシップを確立し、技術的なコラボレーション、脆弱性の協調的な開示、脅威の共有を改善し、サイバースペースに持ち込まれる悪意のあるコードのレベルを最小限に抑える」ことを目指しています。
上記の段落の内容は特に目新しいものではないが、マイクロソフトが支援するサイバースペースの安定性に関する世界委員会が米国、ロシア、中国を外交的に迂回しようと試みているような、興味深い取り組みを示唆している可能性がある。具体的な協力やパートナーシップの種類については言及されていないが、これはテクノロジー業界が通常通りの対応を続けると表明しているように思える。
また、「サイバー攻撃を特定、防止、検知、対応、回復するための世界的な情報共有と民間の取り組みを奨励し、より広範な世界的技術エコシステムのセキュリティに対する柔軟な対応を確保する」という誓約もある。
ベンダーの皆様、ありがとうございます。こういうことを奨励していただけるなんて素晴らしいですね。マールスクのような企業も、きっと気分が良くなっていることでしょう(NotPetyaの対策に3億3100万ドルを費やした後ですから)。
協定から漏れている点も言及に値する。マイクロソフトは、アイルランドに保存されている電子メールへの米国政府によるアクセスに対抗するため、長年懸命に闘ってきた。しかし、クラウド法によってその抵抗が打ち消された今、同社は屈服したようだ。セキュリティとプライバシーを専門とする組織であれば、このような措置にも反対し、ユーザーのためにロビー活動を行うのは当然ではないだろうか。
もっと詳しく書くこともできますが、要するに、この協定が実際に何をするのかについての情報がないまま、これは善意に基づいた内容で、素敵な会議の開催やダウンロード可能な素敵なホワイトペーパーの配布につながるような内容に思えます。しかし、署名国に新たな活動への新たな資金支出を要求しない限り、ホワイトペーパーに協定のロゴを入れたり、34署名国すべてのロゴをスライドウェアに載せる方法を模索したりするグラフィックデザイナー以外には、大きな違いはないでしょう。
協定の加盟国がセキュリティの向上に真剣に取り組み、その取り組みを実行するスキルを持っていることを示す取り組みとしては、これは不十分だ。®
