サプライチェーンにおけるデータセキュリティ

00:00:07 データセキュリティとクラウドコンピューティング.
00:00:38 サプライチェーン最適化におけるデータセキュリティの課題.
00:02:11 サイバー攻撃の増加とITシステムへの依存度の上昇.
00:03:08 攻撃面の縮小とクラウドプロバイダーへのアウトソーシング.
00:06:17 ソフトウェア設計における攻撃面の最小化とリレーショナルデータベースの回避.
00:08:01 シンプルさと最小限のコンポーネントによるセキュリティの強化.
00:09:26 データセキュリティの鍵としてのオープン性、透明性、そしてエクスポージャー.
00:11:03 セキュリティ向上におけるホワイトハットハッカーの重要性.
00:13:18 ホワイトハットハッカーの努力に対する適正な報酬の提供.
00:14:35 ホワイトハットハッカーと悪意のあるハッカーの区別.
00:16:00 企業システムのセキュリティとフリーランサーの優先化.
00:16:47 データセキュリティへの信頼とビットコインがセキュリティ意識に与える影響.
00:17:50 B2C企業とB2B企業、大企業、政府間のセキュリティ実践の違い.
00:20:01 軍事ネットワークセキュリティの課題とハードウェア脆弱性の例.
00:24:01 ハッキングが大幅に減少し、サプライチェーンセキュリティにおいてオープンな文化を受け入れる未来の可能性.

要約

インタビューでは、Kieran ChandlerとJoannes Vermorelが供給チェーン最適化におけるデータセキュリティについて議論しています。Vermorelは、デジタル化の進行とソフトウェア依存度の増加に伴うサイバー攻撃の増加を認めています。彼は、サプライチェーンセキュリティにおけるオープン性とエクスポージャーの重要性を強調し、多層防御（defense-in-depth）という哲学を提唱します。彼は、脆弱性の特定と修正におけるホワイトハットハッカーの価値を引用し、企業は攻撃面を最小限に抑え、信頼できるクラウドコンピューティングプロバイダーに依存することでセキュリティを向上させることができると示唆しています。Vermorelは、サプライチェーンの実務において透明性とエクスポージャーを受け入れることが、より安全なシステムへの迅速な移行につながると考えています.

詳細な要約

このインタビューでは、ホストのKieran Chandlerが、サプライチェーン最適化に特化したソフトウェア会社Lokadの創設者であるJoannes Vermorelと共にデータセキュリティについて議論します.

Joannesは、データセキュリティが新しい問題ではなく、長い間存在してきたことを認めています。彼は、10年前にLokadを始めた際、当初の考えはデータを全てのネットワークから隔離することでしたが、この方法がサプライチェーン最適化にとって有害であると判明したと振り返ります。複雑で分散したサプライチェーンを持つ企業は、関係者全員にデータへのアクセスを提供する必要があり、これによりデータやシステムのエクスポージャーが増大し、データセキュリティ上の課題が生じます.

ホストは、ハッキング事件が本当に頻発しているのか、それとも単にメディアでの報道が増えているだけなのかを問いかけます。Joannesは、ITシステムの増加とソフトウェア依存の高まりから、サイバー攻撃は確実に増加していると考えています。企業がデジタル化し、消費者がオンラインサービスをより多く利用するようになると、ハッカーにとっての攻撃面が広がり、結果としてデータ漏洩が増加するのです.

データ保護のための手法について尋ねられると、Joannesは、Lokadにおいてセキュリティは第二の重要課題であり、第一の関心はサプライチェーン最適化のために提供する数値の品質であると述べます。データの安全性を確保する基本的な方法の一つは、ハッカーに対する攻撃面を制限することです。これは、問題が発生するリスクを最小限に抑えたソフトウェアソリューションの設計を意味します.

Joannesは、Lokadがクラウドコンピューティングに移行した理由の一つは、ハードウェアやオペレーティングシステムの管理をMicrosoftのような大手企業に委ねるためだったと説明します。完璧ではないものの、これらの企業はコンピューティングハードウェアの物理的なセキュリティ確保において、Lokadよりもはるかに多くのリソースと人材を有しています。20人のチームよりも、数百人でセキュリティ対策に取り組むMicrosoftを信頼する方が理にかなっています.

その後、ホストは信頼できるコンピューティング企業をどのように選定すべきかを問いかけます。Joannesは、Amazon、Microsoft、Googleのような大手クラウドコンピューティングプロバイダー、すなわちインターネットの生き残りである企業が一般的に信頼に足ると示唆します。これらの企業は日々多数のサイバー攻撃に晒されており、その経験とリソースによってデータセキュリティに優れているのです.

システムの安全性を確保するため、Lokadはよりシンプルなコンポーネントを使用し、リレーショナルデータベースのようなプログラム的に高度なデータストレージ層を避けることで、攻撃面を最小限に抑えています。代わりに、Azureのblobストレージを用いた、より基本的なデータストレージ層を採用しており、特定の種類の攻撃に対する脆弱性が低減されます。また、Lokadはオープンソースコンポーネントの採用にも厳選の基準を設け、各コンポーネントを精査し、ソリューション内の技術的負荷を制限しています.

Vermorelは、データセキュリティを向上させるための企業文化の重要な要素はオープン性であると考えており、これはしばしばサプライチェーンで用いられる要塞的な思考とは対照的です。彼は、ITシステムの安全性はその設計だけでなく、透明性とエクスポージャーによっても左右されると主張します。透明性とは、人々がシステムの仕組みやアーキテクチャを理解することを意味し、エクスポージャーとは、システムをセキュリティ向上を目指す倫理的ハッカーであるホワイトハットハッカーに晒すことを指します.

ホワイトハットハッカーは、組織がシステムの脆弱性を特定し修正するのを支援します。Vermorelは、Lokadがこれまでに数回このような経験をしており、ホワイトハットハッカーが個々のアカウントで問題を発見し、その後報告および修正されたと述べています。ホワイトハットハッカーが今後も潜在的なセキュリティ問題を発見し続けるために、組織は彼らに対して適正な報酬を支払うべきだと主張します.

Vermorelは、異なる種類の組織におけるセキュリティ成熟度の差について自身の見解を述べています。一端には、FacebookやGoogleのように、膨大なエクスポージャーと多量のハッキング試行によって強固なセキュリティ対策を講じている企業があります。これらのB2C中心の企業は常に攻撃を受けており、そのため高度な準備と積極的なセキュリティ対策が求められています.

その下位には、LokadのようなB2Bソフトウェア企業があり、B2C大手ほど露出は高くありませんが、透明性を維持しシステムへの容易なアクセスを許すことで高いセキュリティレベルを目指しています。しかし、Vermorelは、これらのB2B企業は露出度が低いため、ハッキング試行の激しさも比較的低く、結果としてセキュリティが弱い傾向にあると示唆しています.

さらに、テクノロジー主導でない大企業や政府では、時代遅れの「要塞思考」や隠ぺいによるセキュリティに依存しているため、さらに低いセキュリティ成熟度が見受けられます。これらの組織は機密情報を閉ざそうとするかもしれませんが、Vermorelは、このアプローチは現代の組織の規模と複雑さには適さないと主張しています.

驚くべきことに、Vermorelは軍事組織が最も劣ったセキュリティ慣行を持っていると主張しています。彼らはしばしば数十年にわたり隔離されたプライベートネットワークを使用しており、一般にはより安全だと考えられがちですが、外部の脅威に晒されないために現代のセキュリティ課題に対処できていません。Vermorelは、複数の拠点や国にまたがる大規模な軍事組織が、数千人の従業員や請負業者を管理しながら隔離ネットワークを維持するのに苦労していると指摘します.

Vermorelは、これまでの詐欺事件やIntelハードウェアで発見された脆弱性が示す通り、最も安全なシステムでさえも侵され得ることを強調します。彼は、SpectreやMeltdownのようなハードウェアの脆弱性が、ソフトウェアやアプリケーションの安全性をも損なう可能性があると説明します.

Vermorelは、脆弱性が悪用される前にそれを特定し修正できるハッカーへのエクスポージャーの重要性を強調します。彼は、Intelハードウェアを使用する軍事システムが特にそのような攻撃に対して脆弱であると指摘します。しかし、すべてのコンピューターシステムが本質的に不安全でなければならないという根本的な法則はないため、最終的にはハッキングを完全に排除できると信じています.

Vermorelは、サプライチェーンがオープン性とエクスポージャーの文化を受け入れることで、より安全になると提案します。これは、セキュリティ対策を維持しながらシステムをより透明かつアクセス可能にすることを意味します。彼は、複数のセキュリティ層を実装する「ディフェンス・イン・デプス」哲学を提唱し、機微な情報を保護するためにこの方法を採用すべきだと述べています。全体として、Vermorelは、このアプローチを採用することで、サプライチェーンを持つ企業や組織がより安全になり、より安全なシステムへの迅速な移行が実現すると主張しています.

完全な書き起こし

Kieran Chandler: 本日のLokad TVでは、クラウドコンピューティングの普及とハッキング技術の高度化について議論します。あなたは自分のデータの安全性に本当に自信を持てますか？Joannes、これは最近メディアで多少センセーショナルに取り上げられている話題ですが、データセキュリティは本当に新しい問題なのでしょうか？

Joannes Vermorel: いいえ、データセキュリティはかなり前から存在しています。興味深いことに、私が10年前にLokadを始めたとき、データを全てのネットワークやハッカーから完全に隔離するという考えがありました。しかし、サプライチェーンに関しては、データを金庫に閉じ込めれば確かに非常に安全ですが、その結果、サプライチェーンは劇的に機能不全に陥ります。問題は、関係者、パートナー、そして自社でさえも、サプライチェーンを最適化するためのデータにアクセスできないことです。つまり、複雑で複数の場所や場合によっては異なる国にまたがるサプライチェーンを最適化したいのであれば、関係するすべての当事者に適切なデータを供給する手段が必要となります。これは、設計上、データやシステムがより多く露出してしまうことを意味し、それがデータセキュリティの問題を引き起こすのです.

Kieran Chandler: 毎日のように、メディアで新たな組織や著名人がハッキングされているのを見ると、それは実際に頻発しているのでしょうか、それとも単に報道が増えているだけなのでしょうか？

Joannes Vermorel: 全体としてサイバー攻撃は増加していると考えています。その理由は非常に基本的なものです。悪人が増えたからではなく、ITシステムが増加し、ソフトウェアへの依存度が高まっているからです。企業のデジタル化が進み、一般の顧客でさえオンラインサービスを多用するようになった結果、ハッカーにとっての攻撃面が広がり、結果として漏洩が増加するのです。これは、セキュリティが悪化しているとか、悪人が増えたという意味ではありません.

Kieran Chandler: 毎日のように攻撃が発生しているとすれば、私たちが実際に自分たちを守るために利用できる技術について考えてみましょう。具体的には何ができるでしょうか？

Joannes Vermorel: Lokadでは、セキュリティは第二の重要課題です。第一の関心は、サプライチェーン最適化のために提供する数値の品質です。しかし、第二の課題はクライアントのデータの安全性を確保することです。そのための基本的な手法の一つは、ハッカーやその他の問題に対する攻撃面を制限することです。ソフトウェアソリューションを設計する際、まず、起こり得る問題の数をできるだけ制限するよう努めます。例えば、私たちがクラウドコンピューティングに移行した理由の一つは、ハードウェアおよびオペレーティングシステムの管理をMicrosoftに委ねるためでした。Microsoftが完璧であるというわけではありませんが、エンジニアリングチームの面では、彼らはLokadよりもはるかに多くのリソースを用いてコンピューティングハードウェアの物理的セキュリティを確保しています。つまり、20人のチームより、数百人で同じセキュリティ対策に取り組むMicrosoftを信頼する方が理にかなっています.

Kieran Chandler: その委任について少し話しましょう。世の中には多くのコンピューティング企業がありますが、どの企業を信頼し、どの企業に業務をアウトソーシングすべきか、または避けるべきかをどのように判断するのでしょうか？

Joannes Vermorel: 一般的な目安として、オンライン上で大量のコンピューティングリソースを公開している大手企業を信頼すべきです。つまり、Amazon、Microsoft、Googleのような大手クラウドコンピューティングプロバイダーです。これらは、毎日何百ものハッカーから攻撃を受けながらも10年もの運用実績を持つ、インターネットの生き残りです。彼らのシステムが10年経っても稼働しているということは、日々の厳しい攻撃に耐えてきた証です。決して一度も侵害されなかったという意味ではなく、遭遇した問題を着実に修正・パッチ適用してきたことを意味します。プロバイダーがより多く露出し、長く存在しているほど、信頼できると判断できるのです。もし彼らが公開状態を保ち、容赦なく攻撃され、それでも生き延びているのであれば、セキュリティ対策は非常に優れていると言えます.

Kieran Chandler: では、他社へのアウトソーシングがシステムの安全性を確保する一つの方法であるとすると、他にどのような技術でシステムの安全を保証できるでしょうか？

Joannes Vermorel: 攻撃対象面積を最小化するという原則は、ソフトウェアの内部部分にも当てはまります。例えば、Lokadでは内部的にリレーショナルデータベースシステムやSQLデータベースを使用していません。私たちがそれらを嫌っているわけではなく、確かに強力で多くのことが可能ですが、ストレージ層にそれらを導入すると莫大なセキュリティ問題が生じます。もちろんセキュリティを確保することはできますが、それには非常に大きな労力が必要となります。SQLではコードを書くことができるため、悪意あるコードを書くことも可能です。これに対抗するため、LokadではAzureのblob storageのような非常にシンプルで素朴なデータストレージ層を利用しています。重要な考えは、リレーショナルデータベースよりも桁違いにシンプルで、プログラム的表現力を一切持たないデータストレージ層を採用することにあります。これにより、攻撃の角度となる全く新たな手法が存在せず、データストレージ層での一連の攻撃が物理的に起こり得なくなります。私たちは他の多くのコンポーネントにも同様の考え方を適用し、シンプルで表現力の少ない選択肢を採用することで、問題が起こる可能性を最小限に抑えています。

Kieran Chandler: つまり、単純で少し愚直であることは実は非常に有益ということですね。これはセキュリティを設計段階から備えることを意味しますが、文化的側面からのセキュリティ、つまり企業がどのような文化的価値を推進すべきかという点についてはどうでしょうか？

Joannes Vermorel: おそらく、オープン性が鍵です。

Kieran Chandler: では、10年前のサプライチェーンのやり方や、要塞的アプローチについて、あなたはどのように説明されますか？

Joannes Vermorel: 要塞的な考え方を持つと、データを埋もれた金庫の中に閉じ込め、アクセスを非常に困難にしようとします。これによりすべてが不透明で見えにくくなり、データへのアクセスが難しくなります。しかし、それが本当にセキュリティを高めるのでしょうか？ 問題は、ITの観点から見ると、このような行動や企業文化はセキュリティに逆効果だということです。

Kieran Chandler: では、なぜITシステムは安全ではないのでしょうか？

Joannes Vermorel: ITシステムが完全に安全でないのは、単にセキュリティ設計がなされていないというだけでなく、設計上の実践の問題もあるためです。ソフトウェアで設計段階から正しさが保証されていなければ、何かを安全にするのは非常に困難です。そしてそれに加えて、ソフトウェアに対する厳格な監査があったとしても、セキュリティを向上させるために必要なのは、透明性と露出なのです。

透明性とは、システム内部で何が起こっているのかを人々が把握できる状態を意味し、誰もが中身を知らないからといってセキュリティが自然に生まれるわけではありません。人々はシステムの仕組みやアーキテクチャを知るべきで、それが正しく設計され安全であるかどうかを確認できる必要があります。露出とは、ハッカー、そして何よりも善意のホワイトハットに対して自分たちをさらけ出すことを意味します。

Kieran Chandler: システムをさらけ出し、誰もが中身を見られるようにするのは直感に反するように思えますが、どうして実際にシステムに侵入させることがセキュリティ向上につながるのでしょうか？ ホワイトハットは具体的にどのようなことをしているのですか？

Joannes Vermorel: ホワイトハットとは、善良なハッカーのことです。彼らは生業としてシステムへの侵入を試みます。Lokadではこれまでに何度かそのような経験があり、ネット上でLokadの無料アカウントに登録し、システムをいじってセキュリティ上の問題がないか探る人々がいます。中には問題を発見する者もいますが、ほとんどは一つのアカウント内に留まり、被害は最小限に抑えられています。

問題を発見すると、彼らは戻ってきてそれを報告します。報奨金を要求するかもしれませんが、その額はあなた次第です。これが、彼らにあなたのシステム内のさらなる問題を探す動機を与え、結果としてシステムをより安全なものにしていくのです。システムに侵入を試み、問題を見つけたらきちんと報告してもらう――特にホワイトハットであれば、そうしてほしいのです。あなたはそのルールに則り、システム侵入に費やされた労力に見合う公平な報酬を支払わなければなりません。そうすることで、システムはより安全になるのです。

仮にシステムが安全だとされていても、誰も侵入を試みなければ、大きなリスクを抱えたままになるのです。ITにおいては、明確な要塞のようなものは存在しません。実際の要塞では、石の壁があり、力ずくで突破しなければなりませんが、ソフトウェアの場合、副次的なサーバーの微小な設定ミスといった些細なミスでセキュリティが崩壊することがあります。だからこそ、あらゆる場所を丹念に検証するハッカーが必要になるのです。

Kieran Chandler: システム全体を安全に保つというのは、少し奇妙な概念ですね。つまり、システムに侵入してくる人々が実は良い人たちであるということです。では、ホワイトハットによる攻撃と、より悪意のあるものとの境界はどこに引かれるのでしょうか？

Joannes Vermorel: それは全く異なります。ホワイトハットはフリーランサーのような存在で、評判があります。彼らは問題を開示する際にとてもプロフェッショナルで、通常はまずあなたに問題を報告し、「支払額はあなた次第です」といった形を取ります。中には公式のバウンティプログラムを設けている企業もあります。基本的に、彼らはあなたのシステムのセキュリティ向上を助けるフリーランサーのようなものです。

一方、ブラックハットは全く正反対です。彼らは問題を発見すると、その穴を見つけた時点で、穴が塞がれるか修正されるまで無尽蔵に悪用します。そして、あなたのデータを再販したり脅迫したりするのです。ホワイトハットは脅迫はしません。彼らは「報酬が支払われなければ、それで構いません。ただし、その後はシステムの改善に関与しません」と言います。最初に無償で働くことで、問題が実在し、彼らが本気で取り組んでいることを証明するのです。そして、その後に支払う報酬の額はあなた次第です。支払いが多ければ、より一層システムの問題を見つけるための興味を引くことができます。彼らはフリーランサーであり、他の企業のセキュリティ向上にも関わるため、優先順位をつける必要があるのです。

Kieran Chandler: そして先ほど、どこかに小さな抜け穴が存在するのは容易だとおっしゃっていましたが、ハッカーはその抜け穴を見つけるのが得意です。しかし、一体いつになったらあなたのデータのセキュリティに本当に自信を持てるのでしょうか？ 政府でさえ現代ではハッキングされている中、彼らは莫大なリソースを投入しているにも関わらず、本当に安心できるのでしょうか？

Joannes Vermorel: 答えは本当に「いいえ」です。興味深いことに、Bitcoinのような存在のおかげで、これらのセキュリティ問題はより顕在化しました。なぜなら、突然、何かを安全に保つのは信じられないほど難しいということが明白になったからです。Bitcoinでは、ビットコインを保有するマシンがハッキングされれば、ビットコインは盗まれてしまいます。オンライン上のサーバーにビットコインを置くと、しばらくするとほぼ全てが奪われるという事実に人々は気づいたのです。これにより、何かを本当に安全に保つことの難しさが露呈しました。

政府を例にとると、成熟度やセキュリティの面では、FacebookやGoogleのような極めて優れた企業が存在します。たとえFacebookが時折ハッキングされるとしても、毎日のように何千人ものハッカーが侵入を試みているため、彼らは生き残っており、大規模な露出と継続的な攻撃に耐えています。Google、Amazon、Appleといった、B2C重視で非常に露出度の高い企業も同様です。

実務面では、その一段階下にLokadのようなB2Bソフトウェア企業が存在します。Lokadでは、システムが不透明で安全でない状態をあえてインターネット上に露出させています。全てがオンラインで文書化され、誰でも自由にアカウントを登録してアクセスできるのです。つまり、Facebookのように意図的に高い露出度を持たせているのです。しかし、正直なところ…

Kieran Chandler: ジョアンネス、小規模組織と大規模組織、さらには政府間でのセキュリティの違いについてお話しいただけますか？

Joannes Vermorel: はい、もちろんです。小規模組織が直面するハッカーの数は一般的に少なく、その結果、セキュリティも弱くなりがちです。さらに一段階下ると、巨大企業や政府があります。技術主導でない巨大企業、いわゆるこの世界のGoogleのような企業は、非常に弱いセキュリティを持っている傾向があります。なぜなら、彼らは依然として要塞的な考え、つまり不透明性に依存したセキュリティを採用しており、システムが透明で露出するのではなく、閉じ込められることで守られているからです。しかし、大規模な組織では、システムを閉ざし、数万人もの若い社員を抱えることは不可能なのです。結局のところ、セキュリティはかなり脆弱になりがちです。そして、極端な例として、軍はITセキュリティや実務面でおそらく最悪です。多くの人は、軍は十分に安全でなければならないと考えがちですが、実際には、彼らは何十年にもわたって独自のプライベートネットワークやシステムを運用してきた結果、必要な露出度を大幅に欠いているのです。ニュースを追っていれば、世界各国の軍が、露出不足が直接の原因となる時代遅れのIT問題に直面している事例が頻繁に報じられていることがわかります。

Kieran Chandler: 長年プライベートで運用されてきたネットワークは、何が原因でより脆弱になってしまうのでしょうか？ 何十年もプライベートな軍のシステムであれば、セキュリティは整って安全なはずではないでしょうか？

Joannes Vermorel: 問題は、ネットワークがインターネットから切り離されているからといって安全とは言えない点にあります。軍の場合、大規模な組織であり、多数の拠点にまたがり数万人が働いています。実際に海外で戦闘を行っている現役の軍隊であれば、そのシステムは複数の国にまたがります。では、どうやってそのネットワークを完全に外部から隔絶できるでしょうか？数千人もの従業員を信用することはできず、情報の取得量が増えても、それ自体は無意味です。歴史上、バーニー・メイドフのように、無傷の実績を持っていた人物が後に最大の詐欺師と判明する事例もありました。つまり、人は問題が発覚するまで信用されるものですが、軍にも同様の人間的な問題があるのです。さらに、Intel製CPUに約1年前発見されたSpectreやMeltdownのような、ハードウェアそのものの脆弱性もあります。CPU自体に問題があるため、その上で動作するソフトウェアにも脆弱性が生じるのです。現代の軍がIntel製ハードウェアを一切使用していないとは思えません。Intelはデスクトップ用CPU市場で50％以上のシェアを持っているため、世界中の軍隊は数百台、いや数千台ものIntelハードウェアを使用しており、重大な脆弱性を抱えているはずです。こうした状況下で、システムの脆弱性を修正するために実際にパッチを当てる人がいなければ、結局「プライベートで守られている」とされるネットワークに誰かが接続するまで、その脆弱性は放置され続けることになるのです。

Kieran Chandler: 少し心配になってきましたね。今夜は眠れなくなるかもしれません。では、より前向きな話で締めくくりましょう。GoogleやFacebookのような企業は、データセキュリティの研究開発に莫大な投資をしているのですから。ハッキングが過去のものとなり、完全に消える日は来るのでしょうか？

Joannes Vermorel: 私はそう信じています。すべてのコンピュータシステムが危険であるという物理法則は存在しませんし、ハッキングが今後も必ず増え続けるという根本的な法則もありません。つまり、これはエントロピーのような必然性ではないのです。しかし、結論としては、時間がかかるということです。そして、サプライチェーンに関しては、システムをより透明かつ露出させながらも安全に保つ文化を取り入れれば、その進化はずっと早まるでしょう。とはいえ、「誰でもどこからでも何にでもアクセスできる」状態を望んでいるわけではありません。ここで言う露出とは、単にIT departmentのたった一人だけがアクセスできるからといって安全だというわけではないという意味です。そうした狭義のセキュリティではなく、基本的には、システムがオンライン上により多く露出し、防御層を強化している企業ほど、はるかに迅速かつ安全な環境を実現できるのです。

Kieran Chandler: これでこの辺で終わりにしましょう。どうか、今回の後にハッキングされないことを願っていますが、もしかすると、むしろハッキングしてほしいのかもしれません。ホワイトハットのみでお願いします。今週は以上です。ご視聴ありがとうございました。また次回お会いしましょう。では、さようなら。