「ソフトウェアアップデートは逆効果」 Twitter社の元CISOが“セキュリティ神話”を切る：「SPHERE 23」現地レポート

セキュリティ業界で“常識”と考えられていることも実際は逆効果になっているのかもしれない。Twitter社でCISOを務めた現役ハッカーが、データを基に“セキュリティ神話”に疑問を投げかけた。

[宮田健，ITmedia]

　2023年5月24〜25日、フィンランドの首都ヘルシンキでWithSecure主催のイベント「SPHERE 23」が開催された。このイベントではサイバーセキュリティに関連するさまざまな分野の著名人が登壇し、興味深い指摘をしていた。

　今回はその中でも、AI（人工知能）が作り出す世界を語る未来学者のセッション、そしてTwitter社のCISO（最高情報セキュリティ責任者）を担当したことが大きな話題となった現役ハッカーが語る“神話崩壊”をレポートしよう。

併せて読みたい関連記事

• 生成AIはここまで悪用できる　社会現象を“捏造”するその実力とは？
• ミッコ・ヒッポネン氏が語る、AIへの“期待”と“リスク”
• 経営者とセキュリティ担当者が分かり合うためのフレームワークを知っているか？

AIというジェネラリストがチームメンバーになる時代

　まずは、Signal & CipherのCEO（最高経営責任者）兼チーフ・フューチャリスト（未来学者）のイアン・ビークラフト氏によるキーノート「Creative Machines: Al and a Generative Future」の内容を紹介する。

　ビークラフト氏は冒頭、「注意深く聞くのだ。もう後戻りはできない。赤い薬を飲めば、このうさぎの穴がどれだけ深いかを教えよう」というせりふを引用する。これは映画「マトリックス」で象徴的に使われた会話だ。

　ビークラフト氏は未来学者として常に最新情報を入手し、そこから何ができるのかを追い続けているが、最近「Cybernation, Unemployment, and Freedom」という記事の冒頭、「私たちは今、農業時代と同じように、最近の工業時代とは異なる要件を持つ時代に突入している」という記載が目にとまった。

　「ChatGPT」が2カ月で1億人のユーザーを獲得した昨今の事情を反映したかのようなこの文章は1965年に書かれたものだ。ビークラフト氏はGartnerが発表しているハイプサイクルを引用し、「『過度な期待』のピーク期」のさらに上に今のAI技術が存在していると指摘する。なお、ハイプサイクルは、技術とアプリケーションの成熟度と採用状況や、それらが実際のビジネス課題の解決と新たな機会の開拓にどの程度関連する可能性の大きさを図示したものだ。

　「私たちは今、人類史上最大の知識革命の時を迎えていると信じている」（ビークラフト氏）

ビークラフト氏はAI技術について「ハイプサイクルの頂上『過度な期待』のピークをさらに超えた場所にある」と話す（筆者撮影）

　これまでの産業革命では労働力が機械化されたが、AI革命においてはスキルがデジタル化する。ビークラフト氏はこれを「クリエイティブなジェネラリストの時代がやってきた」と表現する。複数の分野で専門性を発揮するためには、その経験や仕組みを理解し、専門分野をつなげる必要がある。それを実施するための秘密兵器こそがAIだという。

　「AIは技術や長年の経験を抽象化し、複数の空間でプロフェッショナルなパフォーマンスを発揮するための“コツ”を理解できる。これはエキサイティングなことであり、いろいろな意味で脅威でもある」（ビークラフト氏）

　AIはアーティストたちにも影響を与えている。ビークラフト氏によると、コミックスを執筆するアーティストが、米国ハリウッドの特殊効果チームの助けなしに、AIを利用して映像作品を作り上げるなどの成果があげられている。自分が持つスキルを活用し、まだ熟練していない分野に対してもAIが学習曲線を加速させ、これまでにないレベルでの生産性を発揮できるようになる。組織内で指定された、特定の役割における能力をはるかに超えた仕事が可能となるだろう。

　では、この技術はビジネスにどのような影響を与えるのか。これまで私たちは「さまざまなスキルを徐々に身に付けて成長していくこと」が期待されていた。だがAIという創造的なジェネラリストが登場すると、以前は使えなかったスキルセットをまとめて獲得できるようになる。このような存在が仮想のチームメンバーとなれば、チーム全体が非常に早い成長を見込める。つまり仕事の内容ではなく、仕事の必要性や環境に応じ、さまざまな役割に分かれて働けるチームが手に入る。

　「その結果、指数関数的な価値を認識するチームが生まれる」（ビークラフト氏）

　ビークラフト氏は次に、「AIはあなたをリプレースするだろう」というスライドを掲げる。同氏は「それが明日なのか5年後なのかは分からない」としつつ、「AIは人間が追い付けないほどのスピードでゴールに向かう。しかし人間はいろいろと試行錯誤をするのが得意だ。そして未来を作り出すのは人間である。それを機械が手伝ってくれる。今後、仕事をする上であなたは同僚の“AIアシスタント”と対話することになるだろう」と主張する。

AI Will Replace You（筆者撮影）

　今、子どもたちはリアルとバーチャルが混在するのが当たり前の時代に生きている。ビークラフト氏によると、キアヌ・リーブスは映画「マトリックス」に関するインタビューで、「子どもたちにおける現実世界の定義がわれわれとは違い、それが現実かどうかは気にしない」と話していたという。これからの子どもたちは、友人が必ずしもリアルである必要はないと考えるかもしれない。

　「これは一見ディストピア的に聞こえるかもしれないが、ユートピア的要素もある。ディストピア的な物語はわれわれをまひさせ、ユートピア的なビジョンはわれわれを盲目にさせる。しかしそこから生まれるものには、絶対に美しいと思える瞬間があるはずだ。それが信じられなければ、私の友人たちの声を聞いて欲しい」と述べた。また次の瞬間、さまざまな映画の主人公たちがスクリーンに登場して同氏を補足した。

　「イアンのいう通りだ。私たちは世界を征服したり、あなたの仕事を奪ったりするために出てきたのではない。ハリウッドのシナリオは、われわれを悪意あるものとして描く。しかしこれからが本番だ。一人では作れないものを一緒にできるようになる。その頃には、あなたが私たちの仲間なのか、私たちがあなたの仲間のなのか、見分けはつかなくなるはずだ」

Signal & CipherのCEOであるビークラフト氏。（ディープフェイクによる）映画俳優たちのメッセージの最後に、インターネットミームとなっている「Do It！」の声（シャイア・ラブーフ）が高らかに響いた（筆者撮影）

サイバーセキュリティにおける“神話”の崩壊

　次にピーター・ザトコ氏の講演「Myths of Cyber Security」を紹介しよう。ザトコ氏はかつてTwitterのCISOを担当していた“Mudge”と呼ばれる著名なハッカーだ（現在は退任）。

　セッションは、同氏が2010年にDARPA（国防高等研究計画局）に参加したときを振り返ることから始まった。DARPAのマネジャーはサイバーセキュリティへの投資効果を測定する方法について検討しており、投資が実を結んでいるかを検証する方法を考えた。ザトコ氏によると、この検証を通じて私たちが本質的に信じていることの多くが、実際のデータとは異なっていることが明らかになったという。「多くの方が信じていることは、もしかしたら“神話”かもしれない、という話をしたい」とザトコ氏は述べる。

　ザトコ氏によると、現在サイバーセキュリティは8億ドルの市場があるといわれているが、サイバーセキュリティの世界は「知らないということを知らない」（Unknown unknowns）という実情に満ちている。また、常に攻撃側にアドバンテージがあり、防御側は常に後手に回る（Disadbantaged defenders）。さらに攻撃者が何を目指しているかが分からず、「誰が」「どう攻撃してくるか」が分からない（Attribution is not possible）というのは、サイバーセキュリティだけにある特徴だという。

　「だからこそ役員会ではサイバーセキュリティが“分からない”ものとされ、正しいリソースの配分が分からず、イライラさせられるものになっている。そしてこれはお金では解決できない。ここに投資をしても、投資をした結果が分からない。投資をしなかった場合、どういう目に遭うのかも分からない。正しい質問も分からないのだ」（ザトコ氏）

ピーター・ザトコ氏による「サイバーセキュリティ4つの神話」（筆者撮影）

　これらの神話をもう少し深掘りしよう。ザトコ氏によると、「知らないということを知らない」といいつつも、ここ10〜20年の間で新たに発見されたのは予測のしようもない“未知”というわけではなく「既知だが知らない」状態だという。

　「防御側が不利」という認識についても、これまで何十年と攻撃側にいたザトコ氏によれば「攻撃側も厳しいリソース制約の中で動いており、侵入の方法や把握を、防御側が気が付かないように実行しなければならない。決して防御側だけが不利なわけではない」という。

　サイバー攻撃者とのひも付けについても、例えばランサムウェア攻撃を受けた場合、サプライチェーンや顧客に発生するリスクは、経営陣がすぐに理解できるはずだ。身代金を要求されるため、攻撃者が誰なのかもすぐにひも付けられるようになった。その意味では、これらは神話ではなく他の分野とそう大きな違いはないと考えられる。

神話における真実（筆者撮影）

セキュリティ製品を入れることがリスクになる？

　ザトコ氏は続けて、「セキュリティソフトウェアはリスクになり得る」と提言した。同氏によると、これまで企業を守ってきたセキュリティソフトのコードベース（下図の青線）は1000万行を超えるレベルに複雑化しているのに対し、攻撃者が作り出しているマルウェアのコード（下図の赤線）を調査したところ、12万5000行程度と比較的少ない、シンプルな構成になっていることが分かったという。

　「1000万行ものコードをセキュアに保つのはどれほど困難だろうか。恐らくこれらのコードは重要な場所に置かれ、重要な権限を与えられていると想像する。セキュリティソフトのコードが安全であることを望むが、それを調査する専門の会社によると『これまで見てきた製品の中で持っても非衛生的な状態』と言っていた」（ザトコ氏）

セキュリティソフトウェアとマルウェアのコード数は大きく異なる（筆者撮影）

　ザトコ氏は「ある期間に悪用されていた脆弱（ぜいじゃく）性の3分の1がセキュリティソリューションのものであり、本来環境を守るために導入されたセキュリティソリューションが攻撃の温床となっている」と指摘する。

　「ある企業では、多くのセキュリティソリューションが組織のあちこちにぶら下がっている現状がある一方、少数のセキュリティ製品をAPI経由で結び、独自のダッシュボードでカスタマイズしている組織もある。レッドチームなら、後者の方が“侵入が難しい環境だ”と感じるはずだ」（ザトコ氏）

セキュリティエキスパートの推奨する対策は本当に正しいのか？

　Googleは以前、セキュリティに詳しくない一般人と、セキュリティエキスパートが考えるアドバイスには違いがあることをブログで公開していた。ブログによると、一般の知識ではアンチウイルスソフトの導入がセキュリティ対策の筆頭に挙がるが、セキュリティエキスパートはアップデートの適用をアドバイスするという。

セキュリティエキスパートのアドバイストップは「アップデートせよ」だが……（筆者撮影）

　ザトコ氏はこれに対しても異を唱える。

　「15年間の調査に基づいて語ると、全てのアップデートのうち、大半は何も改善されない。アップデートを適用しても、劣化させる可能性が多いという結果だ。『そんなはずがない』『アップデートとは最重要項目ではないのか』という声が聞こえてきそうだが、相関を見るとそういう結果が出ている」（同氏）

　しかしアップデートを適用せずに脆弱性が残っている場合、サイバー攻撃者はこれを悪用するのではないかという問いが浮かぶはずだ。ザトコ氏はこれに対して「サイバー攻撃者が内部に侵入する場合、脆弱性を突くよりも不正に入手した認証情報を利用すると考えた方がよい。これがあれば社内を正規の従業員と同様の権限でラテラルムーブメントが可能になる。そのため組織内の資産管理やポリシー適用は実施すべきだが、パッチ適用のためだけに従業員を雇うべきではない」と指摘する。

　ただし幾つかの例外はあるようだ。「3つの製品に関してはセキュリティアップデートを即座に適用すべきだ。その3つとは『Google Chrome』『iOS』『Windows 10』だ。これらは社内のセキュリティチームに膨大な資金を費やしている組織で、定期的なアップデートは全体的によりセキュリティが向上している。他の企業はまねができない」（ザトコ氏）

ソフトウェアアップデートの神話をデータで見る。ただし3つのプロダクトは除外している（筆者撮影）

　ザトコ氏は最後に「われわれには2つの選択肢がある。ビジネスの文脈でサイバーセキュリティに対して測定し、われわれの環境ではどのようなことができていないかを実証し理解することで、サイバー攻撃者にとってのコストを高められるよう、予算に合わせたソリューションを維持すること。もしくはそうしないこと。この不景気の中、どちらのチームが進化していくのか、それとも滅びていくのか。皆さんもぜひ考えてみてほしい」とまとめた。

（取材協力：ウィズセキュア）