英政府機関が痛烈批判「セキュリティ企業は不要な製品を売りつけている」Computer Weekly

英政府機関NCSCが、セキュリティ企業は製品を売るためにサイバー攻撃者の脅威を誇張していると主張。スイスのITセキュリティサービス企業もこの主張に賛同している。

» 2017年03月22日 10時00分 公開
[Warwick AshfordComputer Weekly]
Computer Weekly

 スイスのITセキュリティサービス企業High-Tech Bridgeは、英国立サイバーセキュリティセンター(NCSC:National Cyber Security Centre)の主張を支持した。NCSCによると、セキュリティ企業の多くは、製品をより多く売るため(必要以上に)サイバー攻撃者の脅威を誇張しているというのだ。

Computer Weekly日本語版 3月22日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 3月22日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 「最近、サイバーセキュリティ関連の新興企業が、売り上げを伸ばそうとして恐怖、不安、疑念(FUD:Fear, Uncertainty and Doubt)戦術を使う例があまりにも多すぎる」と、High-Tech Bridgeのチーフエグゼクティブ、イリヤ・コロチェンコ氏は憤りを隠さない。

 強引に資金を集めて新興企業に再投資し、サイバーセキュリティ界のFacebookやGoogleを育ててみせると投資家に約束するベンチャーキャピタルが多いと、同氏は指摘する。

 「そんな企業が新興企業に介入すると、創立者に『どんな手を使ってでも売り上げを達成しろ』と圧力をかけ始める。売っているソリューションが本当に顧客に役立つのかどうかは全く気にしない」とコロブチェンコ氏は説明する。

 「そして結局、多くの一般企業はサイバーセキュリティ製品を購入してしまうが、実は全く不要だったり、実際のリスク、事業形態、運用しているインフラに釣り合わないほどの重装備だったりするケースが少なくない」

 新興企業は、製品に失望した顧客に契約を継続させるためにリスクを誇張せざるを得ない立場に追い込まれているのではないかと同氏は推測する。

 「このシナリオの最大の問題点は、そうして新興企業に集められた投資が必ずしも新たなテクノロジーを生み出すために使われるわけではなく、“攻撃者は全知全能だ”という驚異の物語を世に広めているだけということだ」と同氏は語る。

 この一連のコロブチェンコ氏の発言は、NCSCの技術責任者であるイアン・リーバイ氏が「Enigma 2017」(2017年1月30日〜2月1日)で講演を行った際、そのスピーチに答えて語ったものだ。Enigma 2017はUNIXのユーザー団体USENIXが主催し、セキュリティと個人情報をテーマとするもので、米カリフォルニア州オークランドで開催された。

 報道によると、カンファレンスに登壇したリーバイ氏は「非常に追い詰められた新興企業が、脅威を誇張し続け(るのをわれわれが黙認し)た結果、一般の人々は新興企業の人々の話を真実だと思うようになっているのが現状だ」と語ったという。

 続けて同氏は「サイバーセキュリティを主な事業とする企業の話だけをうのみにするのは危険だ」と話し、サイバー攻撃者を腕の立つ達人の集団だと顧客に吹き込むセキュリティ企業を批判した。

 実際のところ、被害に遭った企業はサイバーセキュリティ対策がずさんだったからであり、TalkTalkへの攻撃も古くから知られており対策も確立されているSQLインジェクション攻撃だったと説明した。

 またリーバイ氏は、NCSCが歳入関税庁(HMRC:HM Revenue and Customs)と共同で実施した施策の成果を強調した。HMRCは英政府機関の中で初めて、全面的にDMARC(Domain-based Message Authentication, Reporting and Conformance)プロトコルを実装した。

 これを受けて、公共機関はNCSCが主導する「積極的サイバー防御」(ACD)プログラムの一環として、DMARCの実装が義務付けられるようになった。

 HMRCは、(DMARCの実装により)物理的被害をもたらす潜在的な脅威の数が減少したため、施策の効果を証明したことになる。そこで引き続き、他の政府機関でもNCSCのポリシーに従った施策を展開し、英国内の実業界での義務化に先駆けてサイバー防御戦略を試行している。

 現在、NCSCは一般の人々への影響が大きい全業界にアプローチし、政府の統合されたレポート作成機能の使用許可を与えて、DMARCの実装を奨励する計画を立てている。

 リーバイ氏は他の組織に対して、NCSCの活動を参考してほしい、NCSCのWebサイトからアクセスできるサイバーセキュリティに関する助言を参照してほしいと呼び掛けている。

別冊Computer Weekly ストレージパフォーマンス改善法(転載フリー版)も公開中!

ストレージのパフォーマンスが低下したと感じたら? 新しいビジネス要件が生じたときにパフォーマンス不足を感じたら? ストレージのパフォーマンス問題に取り組む企業に役立つ記事をまとめた。

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。


Copyright © ITmedia, Inc. All Rights Reserved.