複雑さによりサイバーセキュリティは崩壊しましたが、コンピューターサイエンスを再評価することで安全を確保できます。
オーストリアのグラーツ工科大学セキュアシステムグループの助教授、ダニエル・グルス氏はそう語る。グルス氏と彼の同僚たちは、MeltdownとSpectreマイクロプロセッサの設計上の欠陥、実際に機能するRowhammerエクスプロイト、Plundervoltを含むIntel SGXへの攻撃など、近年のセキュリティ上の大きな問題のいくつかを発見した。
シンガポール時間で金曜日にバーチャル開催されたBlack Hat Asiaカンファレンスで講演したグルース氏は、システムを証明可能なほど安全にすることは(多大な努力をすれば)可能だが、実運用環境でそれが実現されることは稀だという自身の考えを述べた。いずれにせよ、世界は相互にリンクされ、実証されておらず、多くの場合公開文書化されていないシステムの迷路のような構造に慣れてしまっている、と彼は主張した。
セキュリティ分析に携わるすべての人の雇用が保障されるでしょう。それは良いことだと思います。
結果として生じる複雑さにより、システムのすべての部分が安全であるとは言い難くなります。なぜなら、チェックやセキュリティ保護が不可能なサブシステムや相互作用が多数存在するからです。たとえ、システムの密集した中に埋もれた設計上の欠陥を、Gruss氏らが巧妙なサイドチャネルデータ漏洩の検出に用いてきたような巧妙な調査によって突き止める必要があったとしても、依然として安全性の低さは変わりません。
助教授はまた、ムーアの法則が限界を迎えるにつれて、ますます多くのプロセッサとアクセラレータコアが相互に連携するシステムがますます増え、セキュリティリスクがさらに高まるという理論を展開した。人類が今や普遍的な高性能コンピューティングを期待しているため、よりシンプルなシステムを構築することは選択肢ではないと彼は考えている。
その結果、個々のシステムに欠陥があり、システム間のやり取りを保護できず、リスクが増大するだけだとわかっていても、毎日より多くのコンピューターを構築してリンクし、変化することができない、あるいは変化しようとしない世界に陥っています。
幸いなことに、グルス氏は、矛盾の混乱が破滅的な結果をもたらすのを止める方法があると考えています。
彼の最初の提案は、コンピュータサイエンスは自らを見直す必要があるというものだ。彼によると、今日、この分野は正式な科学とみなされている。グルース氏は、2つの理由から、この状況を変える必要があると述べた。
まず第一に、コンピュータとネットワークの複雑さは、生物学で見られる構造、生物、そして集団の複雑さに近づいていると彼は述べた。もう一つの理由は、経験的手法を採用することが、システムとその相互作用をテストするより良い方法であることだ。
「私たちのシステムはますます複雑になってきているので、自然と同じように、それを研究するためにますます多くの時間を費やす必要がある」と彼は語った。
Gruss 氏の Black Hat Asia 講演から得られた 3 つのポイント... クリックして拡大
グルース氏は、これはセキュリティ専門家にとって良いニュースかもしれないと考えている。なぜなら、世界は明らかにセキュリティ専門家をもっと必要としており、多くの人が新しいスキルを習得する必要があるからだ。「30年後には、システムを研究・分析する人が増え、セキュリティ関連の職種も多様化するだろうと予想しています」と、同氏はオンラインイベントで語った。
彼はまた、将来どのような観点から安全保障を評価する必要があるかを予測することはまだ不可能だと述べて、少し言葉を濁した。
やったー!Meltdown CPUの修正プログラムがリリースされました。Spectreの脆弱性は今後何年もテクノロジー業界を悩ませ続けるでしょう。
続きを読む
「インターネットがなければ、ランサムウェアはこれほど蔓延することはなかっただろう」と同氏は述べ、使用パターンの変化がいかにして全く予期せぬ問題を引き起こす可能性があるかを示した。
彼はまた、経験的手法によってより多くのリスクが明らかになる可能性があるため、保険会社の役割が拡大するだろうと示唆した。保険会社はリスクを軽減する商品を設計することに熱心である。もちろん、保険は警戒の必要性を軽減することはできないし、犯罪を助長するという議論もある。
「セキュリティ分析に携わる全ての人の雇用が保障されることになる」とグラス氏は述べた。「それは良いことだと思う。」®
