新たな脅威を未然に防ぐために――マカフィーコンシューマー事業部門トップインタビュー：FOCUS JAPAN 2013

[後藤治，ITmedia]

　マカフィー主催の情報セキュリティカンファレンス「FOCUS JAPAN 2013」が10月31日に開かれた。同イベントのために来日した、コンシューマー事業部門のトップを務めるGary Davis（ギャリー・デイビス）氏と、コンシューマー製品管理を担当するAlan Lefort（アラン・ルフォール）氏に、セキュリティ脅威の現状やトレンド、コンシューマー市場で同社が注力していくべき方向性などを聞いた。

――　コンシューマー分野におけるインターネット上の脅威について、最近のトレンドを教えてください。

Gary Davis（ギャリー・デイビス）氏（Vice President Global Consumer Marketing）

Davis　ご想像の通り、いくつかのトレンドはあるが、興味深いものの1つとして、ランサムウェアが増加が挙げられる。これはデバイスをロックして“身代金”を要求するものだが、従来のPC向けだけでなく、モバイルデバイス向けのものも存在する。

　ほかにも、Androidを搭載するモバイルデバイスをターゲットにしたマルウェアが増加傾向にあるのは共通している。SpyEyeやZeusに代表される、金融を狙ったトロイ系のマルウェアも顕著だ。

Lefort　この背景にはモバイルコマースの台頭がある。調査機関のリポートによると、モバイルデバイスを使った商取引は2015年に7000億ドルへ達すると試算されており、これにあわせて脅威も増えてくると考えられる。今後はモバイルデバイス上でのID管理を重視する必要があるだろう。弊社のコンシューマー向け製品ではこうした部分にフォーカスして、新たな脅威が本格的に消費者へ影響を及ぼす前に、未然に防いでいきたい。

Davis　現在の問題点の1つとして、PCほどにはモバイルデバイスは守られていないという現状がある。この部分でのセキュリティ意識を消費者に啓蒙していくこともマカフィーの使命だと感じている。

――　ID管理に関係しますが、多くのインターネットユーザーは、パスワードの管理を煩雑だと感じています。ショッピング、銀行、ソーシャルネットワークなど、多数のサービスそれぞれに対して、長いパスワードを覚えるのは現実的ではありません。かえって1つのパスワードを複数のサービスで使い回すといったような危険な運用を招く原因にもなっています。こうした状況に対して何ができるでしょうか。

Davis　この問題には2つの回答がある。1つはパスワードマネージャーを使うこと。こうしたツールによって、各サービスに対しては複雑で強固なパスワードを保持し、エンドユーザーは単一の認証で簡単に利用できるようになる。

　もう1つは生体認証が考えられるだろう。顔写真や音声などを使うことで、セキュアかつ簡単な本人認証を実現できるため、機密性の高い情報を扱うのに向いている。確かに、パスワードの使用はユーザーの大きな負担になっていて、例えばコールセンターへの問い合わせでもパスワードのリセットが大きな比率を占めている。今後、生体認証に対する知見が積み重なって技術が発展していけば、生体認証が広く使われるようになるだろう。

――　コンシューマー向けの「McAfee LiveSafe」には、パスワードマネージャーとして「SafeKey」がありますね。クラウドでパスワードを管理するリスクについてはどう考えていますか？

Davis　パスワードを格納する部分は当然暗号化されているが、通信やトランザクションそのものもセキュアに保たれているので問題はない。これはセキュリティベンダーである我々の専門分野でもある。

――　生体情報を本人認証に使う際の問題についてはどうでしょうか。例えば、本人の生体情報は時間とともに劣化するため、これを許容するためには“解像度”を落とす必要がありますが、そうするとセキュリティレベルは下がります。許容範囲が広すぎると、コピーを通すかもしれません。安全な生体認証は可能でしょうか。

Alan LeFort（Vice President Consumer Product Management）

Lefort　安心して生体認証を使えるか、という疑問に対しては、いくつか抑えておくべきポイントがある。偽陽性（False Positive）と偽陰性（False Negative）もその1つで、甘すぎても厳しすぎてもいけない。ちょうどよいところを研究している。また、生体情報をコピーできるかどうかというのも課題で、もしコピーされた場合にはリセットができない（例えば、本人の指紋を変えることはできない）という問題がある。

　こうした点を踏まえたうえで生体認証の利用を考えると、守るべき対象や環境によって複数の要素をどう組み合わせるかが重要になると思う。例えば、必ず自分の部屋で自分のデバイスを使うのであれば、GPSによる位置情報も組み合わせるといったように。また、指紋認証を持っていないデバイスもあるので、すべて単一の生体認証にするのは難しいかもしれない。現時点では、たいていのモバイル端末に搭載されているGPSやマイク、カメラなどを使うことになるだろう。

――　セキュリティベンダーからみた日本市場はどのように映っていますか？　

Davis　我々にとって日本は重要な市場だ。というのも、日本人は複数のデバイスを使い分け、技術的にも文化的にもそうしたライフスタイルが一般的になっている。先進国の中でも複数端末の使い分けは群を抜いていると思う。また、セキュリティの重要性を理解しており、現在のスマートフォンもきちんと守っていくという意識がある。実際、モバイル向けのアンチウイルスソフトは日本で一番売れている。

　一方、日本はEコマース市場が大きいため、サイバー犯罪者から狙われやすい傾向にある。これまでフィッシング詐欺などは、日本語という言語の壁によって守られてきたが、翻訳サービスを使った日本語のフィッシングメールなど、ローカライズが進んでいる。こうしたものはきちんと内容を読めばおかしいと分かるが、場合によっては実際にターゲットの銀行に口座を作り、そこで送られてきた案内を流用するといったケースもあるので注意が必要だ。

――　最後に、インターネットを利用するうえで特に気をつけるべきことはなんですか？

Davis　月並みな回答しかできないが、まず1つは常識を大切にすること。あまりにもうまい話には裏があると念頭に置いておくこと。2つ目はシステムやアプリケーションのセキュリティアップデートは必ず行い、常に最新の状態に保つこと。3つ目はアクティブなセキュリティソフトを入れておくこと。

　この中でも特に重要なのは常識の部分だ。セキュリティソフトは悪意のあるアプリケ−ションや悪意のある人たちから守ることはできても、ユーザーが自らしてしまうことに対しては手を出せない。例えば、パスワードの管理が面倒だから覚えやすいものにしてしまおうとか、パスワードマネージャーを使うのはイヤだといったように。自分からすすんで自身を危険にさらす人を守るのは難しいので、やはり自分の責任でデジタル資産を守るという意識を持ってほしいと思う。そうすれば、我々は単にデバイスの保護を超えて、ユーザーを守る手伝いができると考えている。