サプライチェーンのサイバーセキュリティ - 講義4.7

00:02 イントロダクション
02:12 サイバー犯罪の増加
05:59 競争環境
10:41 これまでの経緯
13:00 9つの地獄の輪
14:50 脅威モデル（概念1/3）
20:54 攻撃面（概念2/3）
25:14 ブラック半径（概念3/3）
30:48 安全でないハードウェア（罪1/3）
38:05 安全でないソフトウェア（罪2/3）
43:42 サプライチェーン攻撃（罪3/3）
49:22 一般的な知恵（美徳1/3）
57:23 セキュリティの逆転（美徳2/3）
01:03:28 設計上の（非）安全性（美徳3/3）
01:09:56 結論
01:12:10 今後の講義と視聴者の質問

説明

サイバー犯罪は増加しています。ランサムウェアは急成長しています。物理的に分散された性質のため、サプライチェーンは特に脆弱です。さらに、環境の複雑さはコンピュータセキュリティの問題の肥沃な土壌です。コンピュータセキュリティは設計上直感に反するものです。なぜなら、攻撃者が侵入点を見つけて悪用するために採用するアプローチそのものだからです。数値レシピのフレーバーによっては、サプライチェーン最適化に関与するリスクが増加または減少する場合があります。

フルトランスクリプト

このサプライチェーン講義シリーズへようこそ。私はジョアネス・ヴェルモレルです。今日は「サプライチェーンのサイバーセキュリティ」を紹介します。現代のサプライチェーンはソフトウェアによって広範に推進され、日を追うごとにますますそうなっています。ソフトウェアには生産性の向上や反応性の向上などの大きな利点がありますが、同時に深刻な欠点もあります。その中でもコンピュータセキュリティは独自の問題のクラスであり、非常に高コストになることがあります。ただし、サプライチェーンにおいては、ソフトウェアの時代に戻ることはできません。大規模なサプライチェーンを収益性を持って運営するためには、ソフトウェアなしでは不可能です。したがって、コンピュータセキュリティは正面から取り組む必要があります。

この講義の第一の目標は、特にサプライチェーンの観点から、コンピュータセキュリティの課題の範囲と重要性を理解し、現代のサプライチェーンを保護するために必要なことを理解することです。この講義の第二の目標は、コンピュータセキュリティがなぜユニークで困難なのかを理解することです。特に、サプライチェーンの観点から、コンピュータセキュリティに適用可能な洞察が、一般的なサプライチェーンの世界で広まっている常識とは逆行する要素である理由を理解したいと思います。

L6 サイバー犯罪は10年以上にわたって増加しています。FBIはサイバー犯罪に関する非常に興味深い統計を提供しています。昨年、アメリカで報告されたサイバー犯罪の損失は40億ドルを超えました。これらの数字は、企業がさまざまな理由で問題を過小報告する可能性があるため、問題の範囲を過小評価している可能性があります。まず、小規模なインシデントがありますが、これらは評価や数量化が非常に困難です。たとえば、マイナーなコンピュータセキュリティの侵害により、1つの倉庫で半日の倉庫の運営が停止した場合、実際の被害があったとしても、実際の報告や損害請求に値するようなインシデントではありません。

一方、大規模なインシデントは、上場企業である場合に市場パニックを引き起こさないために、大企業によって過小報告される傾向があります。したがって、大規模なインシデントは最小限に抑えられます。ただし、これらの報告から最も重要で興味深い数字は、報告された損失の年間成長率であり、おおよそ30パーセントです。FBIのデータによれば、これらの数字は過去5年間非常に安定しています。私の個人的な見解では、この成長は今後10年間の成長トレンドとして非常に安定していると考えられます。実際、ソフトウェアの重要性は依然として着実に増加しており、現代の経済はますますソフトウェアに依存しています。したがって、私はこのトレンドが頭打ちになるまで、おおよそ10年間は成長し続けると予想しています。

さて、サイバー犯罪は大きな問題であり、ますます深刻化しています。ただし、他の問題の規模と比較すると、世界の終わりではありません。たとえば、10年間の30パーセントの年間成長を想定すると、アメリカの報告された損失におけるサイバー犯罪の規模は年間約500億ドルに達するでしょう。これは違法薬物市場の約3分の1の規模です。したがって、サイバー犯罪は大きな問題ですが、アメリカのGDPと比較すると、まさに世界の終わりレベルの問題ではありません。それにもかかわらず、この数字を経済全体と比較すると、特に注意を払っていないアクターがほとんどのコストを負担しているため、非常に専念した注意を要する問題です。このコストは均等に分散されておらず、私の見解では、特に露出しているサプライチェーンがこのコストの大部分を負担していると考えています。この部分では、最も注意を払っていない企業が実際にコストの大部分を支えています。

コンピュータセキュリティの問題を作成するためには、マシン、人、またはマシンと人の組み合わせを妥協させることができます。人を利用する技術は、社会工学技術として技術的に知られており、コンピュータセキュリティの問題を非常に効率的に利用することができます。ただし、社会工学については別の講義が必要です。今日の講義の目標は、問題のコンピュータ部分に焦点を当てることです。サプライチェーンは、設計上非常に露出しています。まず、サプライチェーンには多くのマシンが関与しています。第二に、サプライチェーンは地理的に分散したオペレーションで構成されています。第三に、設計上、サプライチェーンのマシンは非常に相互に接続され、相互依存しています。最後に、サプライチェーンには多くの人々が関与しているため、アプリケーションの景色は非常に複雑です。複雑さがある場所には、コンピュータセキュリティの観点からの脆弱性も存在します。合計すると、サプライチェーンはコンピュータセキュリティの問題の主要なターゲットとなる要素をすべて備えています。

複雑さが十分でない場合、コンピュータセキュリティは通常、他のタイプのセキュリティと相反する傾向があり、したがって、コンピュータセキュリティの状況を改善すると、他のタイプのセキュリティ問題が発生する可能性があります。この非常に逆説的な側面を示すために、データレイクのケースを見てみましょう。サプライチェーンのすべてのデータを集めるデータレイクを導入すると、単一の障害点が作成されます。このデータレイクに侵入し、侵入者がそれを侵害できる場合、この1人の攻撃者は一度にすべてのデータを持ち出すことができます。これはデータレイクの概念そのものによって生じるものであり、回避策はありません。

ただし、データレイクには利点もあります。データレイクがない場合、企業は別の種類の問題にさらされます。ほとんどの企業の詐欺は、通常、大規模な組織では、右手が左手が何をしているかを知らないという事実に依存しています。会社内のコミュニケーションと同期の欠如は、さまざまな種類の詐欺を行うために使用される可能性があります。このような問題を緩和する方法の1つは、すべてのデータをまとめることです。そのため、詐欺行為は、すべてのピースが組み合わされたために非常に明白になります。この点に関して、データレイクを持つことは、データが調整できないために見逃されるであろうさまざまな種類の詐欺を回避するための素晴らしい方法であることがわかります。したがって、データレイクを持つことはコンピュータセキュリティの問題を引き起こしますが、会社にとって非常に高価なさまざまな種類の詐欺を回避するための解決策の一部でもあります。

ここでわかるように、コンピュータセキュリティは、セキュリティメカニズムに関連するコストだけでなく、コンピュータセキュリティの特定の範囲を超えた他の種類のセキュリティとのトレードオフに関連しています。

この講義は、サプライチェーンに関するこの第4章の7回目の講義であり、この第4章はサプライチェーンの補助科学に捧げられています。補助科学は、正確にはサプライチェーンではないが、現代のサプライチェーンの実践には基本的なトピックを表します。

この第4章を始めて以来、私たちは抽象化の階層を上ってきました。まず、コンピューティングの物理から始め、その後、ソフトウェアに移りました。ソフトウェアの最も基本的な要素であるアルゴリズムに移りました。次に、数学的最適化と機械学習という2つの特定のかなり複雑なアルゴリズムに入りました。これらはサプライチェーンにとって非常に重要な興味の対象です。特に、数学的最適化と機械学習の両方がプログラミングパラダイムによって駆動されることがわかりました。したがって、コンピュータの知識に関しては、サプライチェーンのサークルではおそらく最も過小評価されているトピックの1つである言語とコンパイラの講義を行いました。

前回の講義では、マシンを置いておいて、まずはサプライチェーンを実行するために必要なソフトウェアを作成する人々に焦点を当て、ソフトウェアエンジニアリングについて詳しく説明しました。今日は、サプライチェーンの運用に必要なこのソフトウェアを破壊し無効化するために必要なものに焦点を当てます。

この講義の残りの部分は3つのブロックに分かれます。まず、コンピュータセキュリティを理解するために興味深い3つのキーコンセプトを見直します。コンピュータセキュリティは非常に逆説的ですが、合理性と論理的分析には耐性があるということではありません。次に、現在のほとんどのコンピュータセキュリティの問題の根本原因として非常に一般的な一連の原因を分析しリストアップします。特に、コンピュータセキュリティの問題の根本原因の範囲を考慮すると、圧倒される感じがするのは難しいです。最後に、コンピュータセキュリティリスクを少なくとも軽減するためにできることについて見てみましょう。コンピュータセキュリティに関する肯定的な側面、つまり何をすべきかではなく、避けるべきことを強調するネガティブな知識のタイプが見つかることがわかります。私はサプライチェーンの視点からこれらのトピックをすべてカバーしようとしますが、コンピュータセキュリティに関しては、サプライチェーンに特化した非常に多くの側面があります。

解決策について考えるためには、まず最初に解決しようとしている問題を明確にする必要があります。これは、供給チェーンの人員に捧げられたこのシリーズの第3章で私が持っていた考え方そのものです。実際に、供給チェーンの人員は私たちが解決しようとしている問題を具体化しようとします。そして、コンピュータセキュリティには、脅威モデルという形で緩やかな相当物があります。脅威モデルは、セキュリティに関連する問題の種類を具体化するためのツールです。コンピュータセキュリティは非常に曖昧で多様であり、コンピュータセキュリティについて論理的に考えることは非常に困難です。セキュリティについて議論する際、議論に参加している人々が善意であっても、議論を通じて目標が移動する問題に直面することは非常に困難です。

たとえば、従業員によってパスワードが公開されるという脅威について議論している場合、従業員が間違っていなくても、パスワードが弱いまたは一般的なものであるというような他の種類の脅威に話が逸れるべきではありません。コンピュータセキュリティにおいては、脅威について明確に考えることが重要です。なぜなら、特定の問題に対する不適切な対策は、元の問題よりも悪化する傾向があるからです。企業が、公開されたパスワードの問題を制限するために、パスワードを漏洩したと判明した従業員に対して懲戒措置を取ることを決定した場合、このアプローチはおそらく大きな逆効果をもたらすでしょう。従業員はサポートを求める代わりに、自分のパスワードに関する問題を隠すようになり、結果として問題は長期的に悪化します。

脅威モデルの興味深い点は、戦いを選ぶこと、対処すべき脅威と対処しない脅威を選ぶことを強制することです。たとえば、次のような脅威について考えてみましょう。データレイクへの高特権アクセスを持つ不正な従業員はどうなるでしょうか？この人物が高特権を利用してデータを持ち出した場合、どうなるでしょうか？これは脅威ですが、この特定の脅威に対処するかどうかを決定しますか？限られたリソースと時間があります。この非常に具体的な脅威に対処することは非常に高コストになる可能性があります。したがって、脅威モデリングは、ある時点で対処するのが非常に高コストな脅威があることを判断するのにも役立ちます。リソースと時間を他の種類の脅威に費やす方が効果的であり、同様に脅威として脅威的であるかもしれませんが、はるかに安価で対処しやすいです。

この点において、類推には注意が必要です。コンピュータセキュリティに直面する脅威は、産業リスクや物理的なリスクに直面する脅威とはまったく異なります。コンピュータセキュリティには、あなたの実践やポリシーに対して考え、行動を適応させることができる人々、つまり敵対者が関与しています。たとえば、セキュリティに関する文書化が十分に行われている場合、攻撃者はこの既存の文書を利用して、あなたの盲点を特定することができます。私のポイントは、セキュリティに関する文書を一切持たないべきではないということではありません。私のポイントは、コンピュータセキュリティに関しては、敵対者は賢く、あなたが与えるもの、たとえばあなた自身のセキュリティプロセスさえも利用することができるということです。したがって、脅威モデリングは、このような問題について考え始めるのに本当に役立ちます。

物理的な世界では、攻撃面は比較的明らかなものです。中世の城を考えてみると、攻撃面は城壁と引き橋です。しかし、コンピュータの世界では、状況ははるかに複雑です。コンピュータセキュリティの観点では、些細な要素でも攻撃の対象になる可能性があります。攻撃面についての重要な直感は、それが思っている以上に常に大きいということです。

これの現実世界での例としては、OMGケーブルがあります。これは完全に通常のUSBケーブルのように見えますが、内部にマイクロコンピュータが内蔵されており、ケーブルを単純に差し込むだけで任意のコンピュータを危険にさらすことができます。この安価なハードウェアはわずか$139で購入することができ、攻撃面がどれだけアクセス可能であるかを示しています。

攻撃面に関しては、どんな些細なハードウェアやソフトウェアでも、それぞれ独自の攻撃面を持っています。さらに、供給チェーンの特定の場合においては、攻撃面を特定すること自体が非常に困難です。供給チェーンの世界では、シャドウIT（供給チェーンの世界では一般的なもの）や従業員所有のデバイス（自分のデバイスを持ち込むパターン）も、攻撃者が供給チェーンに侵入するための追加のエントリーポイントとなります。ITチームが管理しているものだけでなく、ITチームが管理していないが供給チェーンの運用に何らかの形で貢献しているすべての要素が関与しています。

攻撃面に関する考え方は、攻撃がどのように行われるかに焦点を当てるのではなく、攻撃される可能性のあるものを明確にすることです。攻撃面の考え方の興味深い点は、あらゆる要素がどのようにしてどのような形で侵害される可能性があるかをマッピングすることを強制するという点です。特定の供給チェーンの観点からは、Excel スプレッドシートやPythonスクリプトなどのプログラム可能な機能を持つソフトウェアは、汎用のプログラミング言語でプログラム可能性や広範な互換性がある場合、非常に大きな攻撃面を持っています。したがって、供給チェーンに関しては、設定が行われている量を考慮すると、攻撃面は通常非常に大きいです。

さて、第三の概念として、私たちは爆風半径を持っています。これはセキュリティイベントの潜在的な影響の総量を測る方法です。爆風半径の観点で考え始めると、このイベントが起こるかどうかではなく、問題の実際の爆風半径を考え始めます。アイデアは、対策措置に関係なく、このイベントが発生した場合の影響を考えることです。

コンピュータの世界における爆風半径は、城の例に戻ると、非常に大きくなることがあります。たとえば、Colonial Pipelineの攻撃の場合、侵害されたシステムはわずかな部分であり、請求システムにすぎませんでした。単一の会社の請求システムが侵害されたことにより、テキサス州全体に影響が及びました。これは、供給チェーンについて考えると、コンピュータセキュリティの問題の実際の爆風半径を示しています。

クラウドコンピューティングの登場により、爆風半径は大幅に拡大しました。クラウドコンピューティングは、ビジネスモデルやITの運用モデルとして非常に競争力がありますが、非常に大きな爆風半径を持っています。攻撃者がクラウドコンピューティングリソースの管理権限を取得すると、アプリケーションランドスケープ全体を一度に元に戻すことができ、遠くまで影響を及ぼす単一の障害点を作り出します。アプリをクラウドに移行することによって、相互接続性の問題が悪化し、より大きな爆風半径につながる傾向があります。

アプリをクラウドに移行すると、クラウド内の他のアプリとの相互接続が容易になり、実際のビジネス上の利点があります。ただし、爆風半径の観点では、攻撃者が利用できる非常に大きな相互依存関係を作り出しています。

供給チェーンの観点からは、爆風半径について考えることは、それらの爆風半径を緩和する方法を考える良い方法です。別の供給チェーンの例に戻ると、前の講義で説明したように、供給チェーン管理には2種類のソフトウェア要素があります。在庫レベルの追跡など、供給チェーン管理そのものであるトランザクション要素があります。そして、予測、計画、データのさまざまな統計分析など、供給チェーンの最適化を含む分析要素があります。

分析的な性質のソフトウェア要素を製品から厳密に分離し、分析システムがトランザクションシステムからデータを読み取ることはできますが、それらのシステムに何も書き込まないようにすると、分析システムが侵害された場合、爆風半径はアプリケーションランドスケープの分析部分に限定されます。言い換えれば、予測ソフトウェアが侵害されても、在庫レベルを追跡しているソフトウェアは侵害されません。

さて、コンピュータセキュリティの問題の根本原因とソースを見直しましょう。ハードウェアの面では、状況は非常に悪いです。要するに、樽はあちこちから漏れており、常に発生する問題を急いで修正するために、コミュニティ全体がダクトテープを貼り付け続けています。ほとんどすべてのハードウェアは現在壊れています。

たとえば、すべての現代のCPUはほとんど壊れています。2018年、セキュリティ研究者のチームが、SpectreとMeltdownという名前の2つの新しい脆弱性クラスを現代のCPUで発表しました。これらの脆弱性は、現代のCPUに見られる分岐予測機能を利用しています。供給チェーンのための現代のコンピューティングの講義で覚えているかもしれませんが、現代のCPUは非常に深い実行パイプラインを持っており、高いパフォーマンスを実現するための1つの方法は分岐予測です。しかし、市場に出回っているすべての現代のCPUに存在するこの分岐予測メカニズムは、セキュリティの境界を侵害するために悪用される可能性があります。この状況は、最初からCPUに分岐予測を持たせることに関連する基本的な設計上の欠陥であるため、解決するのは難しいです。

CPUにはたくさんの問題があり、レガシーサポートによる偶発的なバックドアを挙げることさえしません。しかし、メモリも壊れています。高密度の現代のDRAMに存在する物理的なレイアウトを利用したRowhammer攻撃という攻撃クラスがあります。メモリエラーをトリガーし、それらのエラーを利用してデータを搾取することができます。実稼働データセンターマシンに通常見られるタイプのメモリであるECC DRAM（エラー訂正コード）を持っていても、実際の回避策はありません。ECCはRowhammer攻撃を遅くするだけで、防ぐことはできません。Rowhammer攻撃を実行するために必要なのは、JavaScriptが有効になっているウェブページをマシンで実行させることだけです。そして、そのウェブページのメモリから直接データを搾取することができます。CPUとメモリだけでなく、USBも壊れています。USBに関しては、接続するデバイスに関係なく、接続されたデバイスを侵害する可能性があると安全に想定してください。以前のスライドで「Oh My God」ケーブルの例を見ましたが、根本的には非常に深刻な問題です。根本原因は、特にプラグアンドプレイに関連するUSBについて、数十年前に行われた非常に悪い決定です。

ユーザーエクスペリエンスの観点からは、デバイスをコンピュータに接続すると、そのまま使えるというのは素晴らしいことです。しかし、裏では、USBコントローラ内にはドライバを自動的にインポートし、さまざまな機能を自動的に有効にするための多くの知識があり、これらは攻撃者がマシンを制御するためのエントリーポイントとして利用できます。したがって、これらのプラグアンドプレイの機能は、ユーザーエクスペリエンスの観点から非常に素晴らしいですが、サイバーセキュリティの観点からは完全な悪夢です。

ちなみに、多くのWi-Fiチップセットにも深刻なセキュリティ上の欠陥があります。2017年の研究者たちは、iPhoneやSamsungの電話で広く使用されていたBroadcom製のチップセットに欠陥があることを示しました。攻撃者がデバイスを侵害するために必要なのは、Wi-Fiの範囲内にいることとWi-Fiがアクティブであることだけです。

供給チェーンの観点から見ると、従来のハードウェアがかなり壊れているだけでなく、供給チェーンに何らかのIoTがある場合、さらに拡大される可能性がある地理的な分布も、私が説明したすべての問題にさらされています。攻撃者は頻繁にハードウェアに物理的なアクセスを取得できるか、少なくとも供給チェーンに接続されたデバイスへの物理的なアクセスを防ぐことが非常に困難になります。したがって、ハードウェアに関しては、供給チェーンは非常に露出しています。

ハードウェアセキュリティの状況がひどいことを見てきたので、ソフトウェアセキュリティの状況もひどいことに驚く必要はありません。ソフトウェアに見つかるすべての欠陥を列挙するつもりはありませんが、重要なのは、すべてのレイヤーには独自のコンピュータセキュリティの問題があるということです。オペレーティングシステム、仮想マシン、ハイパーバイザ、アプリケーションフレームワーク、Webサーバなどについて話すことができます。これらのすべてのレイヤーは、一連の深刻なコンピュータセキュリティの問題に直面しています。

ただし、私が指摘したいことは、ソフトウェアに関しては、あなたを保護するために設計されたソフトウェアでさえ、大きな逆効果をもたらす可能性があるということです。例えば、ウイルス対策ソフトウェアはセキュリティの問題の一つです。ウイルス対策ソフトウェアは、他のすべてのプロセスが行っていることをスキャンできるようにするため、非常に特権を持ったソフトウェアです。必然的に、ウイルス対策ソフトウェアは非常に特権を持って動作する必要があります。つまり、攻撃者の主要な標的となる可能性があります。さらに、ウイルス対策ソフトウェアは会社の多くのマシンに存在するため、非常に高い特権を持つ同じソフトウェアです。これは本当に攻撃者の主要な標的です。そして、実際に、最近の攻撃者の多くは直接ウイルス対策ソフトウェアを標的にしています。これが、画面上で見ることができるものです。セキュリティ研究者が、市場に存在する既存のウイルス対策ソフトウェアを侵害し、そのソフトウェアを使用してターゲットからデータを抽出する方法を示しています。

ただし、ウイルス対策ソフトウェアの問題は非常に深刻です。ウイルス対策ソフトウェアは基本的にリソースを多く消費する計算です。その結果、優れた計算パフォーマンスを達成するために、ソフトウェア内には低レベルのプログラミングテクニックが必要です。残念ながら、ソフトウェア内に低レベルの問題を露出することで、攻撃面が増える傾向があります。さらに、ウイルス対策ソフトウェアは設計上、常に外部とのやり取りが必要なソフトウェアです。通常、ウイルス対策ソフトウェアは、最新の署名と最新のマルウェアを検出するためのロジックを常に更新しなければなりません。したがって、ネットワークに接続し、他の多くのことに接続する必要があるソフトウェアができあがります。

私個人の意見としては、現在のエンタープライズソフトウェア市場では、ほとんどのウイルス対策ソリューションがむしろ害をもたらしていると考えています。しかし、現実的には、ほとんどのセキュリティソリューションについても同じことが言えます。過去数年間、セキュリティソリューションを特定の攻撃者が標的にする非常に深刻な世界的な問題がありました。なぜなら、これらのセキュリティソリューションはウイルス対策ソフトウェアと同じ特徴を持っているからです。高い特権、広範な範囲、高い接続性があり、これらは攻撃者の主要な標的になります。

サプライチェーンの観点から結論を出すと、サプライチェーンの世界で一般的なエンタープライズソフトウェアは、内部の複雑さによりセキュリティが非常に悪い傾向があります。非常に薄くてシンプルなソフトウェアを保護するのはすでに難しいことですが、数十年にわたって絶えず成長してきた非常に肥大化した製品を扱う場合、ほぼ不可能な課題になります。

サプライチェーン攻撃は、少なくとも2つの非常に異なる理由で興味深いです。まず、サプライチェーン攻撃は、過去数年間で大幅に増加してきたため興味深いです。私個人の予測では、これらのサプライチェーン攻撃は、次の10年間で主要なコンピュータセキュリティ攻撃の形態の一つになるでしょう。第二に、攻撃の名前に「サプライチェーン」というキーワードが含まれているため、サプライチェーンの関係者と話す際には混乱が生じる可能性があります。サプライチェーン攻撃とは、あなたのソフトウェアの依存関係の一つを標的にした攻撃のことです。例えば、Amazon自体を直接攻撃することは非常に困難かもしれません。おそらく、Amazonのチームは非常に自信を持っており、能力もあり、ソフトウェアも非常によく設計されていて、あまり多くのセキュリティ上の欠陥を利用する余地がありません。しかし、Amazonが作成または設計していないソフトウェアの依存関係や部分についてはどうでしょうか？これらの要素は、たとえばオープンソースソフトウェアの場合に該当します。現在、すべてのベンダーが大量のオープンソースソフトウェアを大量に使用しています。今日の大手企業のほとんどを挙げても、彼らは広範なオープンソースソフトウェアを活用しています。

Amazonのケースに戻ると、Amazon自体を妥協させることができない場合、Amazonが使用しているオープンソースのコンポーネントの1つを妥協することはどうでしょうか？それがサプライチェーン攻撃の本質です。実際、先週金曜日に、Log4jという「壊滅的な」脆弱性が発見され、おそらくこの10年で最も大きなコンピューターセキュリティの侵害の1つとなりました。要するに、Log4jはエラーを記録するために使用されるオープンソースのコンポーネントです。基本的に、ソフトウェアがエラーに遭遇した場合、後からエラーを追跡できるようにしたいし、エラーが発生した場合は通常、このエラーを記録したいと思います。それが、Log4jのようなロガーの主な機能です。Log4jの「j」はJavaを表しており、エンタープライズソフトウェアの世界では、主要なソフトウェアスタックの1つです。Javaで実装されたソフトウェアのほとんどはロガーが必要であり、おそらくほとんどの製品は現時点でLog4jを使用しているでしょう。

実際には、Log4jには壊滅的な脆弱性があり、セキュリティの重要度スケールで10点満点のクラスに分類されました。この特定のソフトウェアは非常に厳密に検証されたため、この1つの脆弱性の結果として世界中で大規模な混乱が起きていますが、今日、2つ目の重大な脆弱性が見つかりました。これがサプライチェーン攻撃の本質です：小さなコンポーネントであり、見かけ上は無害であり、おそらく聞いたこともなく、依存していることさえ気づいていなかったものが、あなたのシステムの中核にあることがあり、脆弱性を作り出す可能性があります。

サプライチェーンの観点からは、サプライチェーンはサプライチェーン攻撃に特に脆弱です。これは、現代のサプライチェーンが非常に相互に接続されているためです。おそらく、現代のサプライチェーンを運営している場合、会社は自社のサプライヤーと顧客の両方とソフトウェアの面で密接につながっているでしょう。EDIの形を取ることもできますが、企業間のコンピューター統合によってさまざまな形態を取ることもあります。サプライチェーン攻撃の場合、あなたを攻撃するために必要なのはソフトウェアの依存関係だけではありません。おそらく、あなたのサプライヤーの依存関係の1つまたは顧客の依存関係の1つを妥協するだけで十分です。攻撃面において、サプライチェーンは非常に脆弱であり、設計上さらされています。

これまでのところ、現在のコンピューターセキュリティの状況をかなり暗いものとして紹介しましたが、この最後のセクションでは、どのように改善できるかについて議論します。ただし、はっきり言っておきますが、現時点ではこれは困難な戦いであり、時折敗北する覚悟が必要です。非常に困難であるからといって、セキュリティの面でより良い結果を出そうとしないわけではありません。

コンピューターセキュリティに関する一般的な知識から始めましょう。FBIはコンピューターセキュリティに関してトップ5の推奨事項を持っています。これらの推奨事項を見直してみましょう。最初の推奨事項は、バックアップを作成し、バックアップをテストし、バックアップをオフラインで保管することです。全体的には良い推奨事項です。ただし、バックアップをオフラインで保管するという考えは、現実的ではありません。非常に費用がかかり、困難です。バックアップが役に立つためには、頻繁に行う必要があります。1か月前のバックアップは通常、まったく役に立ちません。非常に頻繁に、毎日、毎時、または分単位でバックアップを行う場合、真にオフラインのバックアップを持つことは困難になります。私の提案は、バックアップを厳密に分離して保管することです。バックアップに関しては、迅速な復旧に焦点を当ててください。重要なのはバックアップ計画ではなく、アプリケーションのランドスケープが侵害された場合の復旧計画です。

2番目の推奨事項は、マルチファクタ認証を使用することです。これも良い推奨事項です。パスワードは安全ではありません。ただし、マルチファクタ認証の問題は、非常に頻繁に、それがあるように見えるだけの幻想しかないことです。たとえば、パスワードと電話による確認がある場合、それは2要素認証と言えるかもしれません。しかし、電話でパスワードをリセットできる場合、それは単要素認証にすぎません。マルチファクタ認証を使用する場合は、それらの要素が真に分離され、1つの要素が他の要素を上書きしないようにしてください。

3番目の推奨事項は、システムの更新とパッチ適用です。これは良い慣行ですが、良いことが過ぎると悪いことになることがあります。現在、私たちが抱えている最も深刻な問題の1つは、自動ソフトウェアのアップグレードに依存している供給チェーン攻撃です。もし攻撃者がオープンソースソフトウェアの一部を侵害することで供給チェーン攻撃を実行できれば、数千ものソフトウェアがあるため、自動更新に任せるだけでこのマルウェアがシステムに入り込むことになります。これはますます危険になっています。USBハードウェアの問題のほとんどは、ファームウェアの自動更新機能から発生しています。したがって、システムの更新とパッチ適用は重要ですが、それによってさらに大きなセキュリティの問題を作り出していないか常に考慮してください。

4番目の推奨事項は、セキュリティソリューションを最新の状態に保つことです。この推奨事項については、セキュリティソリューションが何を構成するかはあまりわかりません。この推奨事項は、セキュリティ企業からのロビー活動の直接的な産物である可能性があります。現在、セキュリティソリューションとして宣伝されているもののほとんどは、供給チェーンや企業をより安全にするものではないかもしれません。それにもかかわらず、ソフトウェアがある場合は、セキュリティソリューションであろうと他の何かであろうと、通常は最新の状態に保つ方が良いです。

最後の推奨事項は、インシデント対応計画を見直し、実施することです。この推奨事項は悪くはありませんが、私の意見では、トップ5には入らないでしょう。このような考え方は、火災のリスクなどの産業事故に対処するためにより適していますが、必ずしもコンピュータセキュリティの問題には当てはまりません。私自身のセキュリティに関する4番目の推奨事項は、脅威モデルを知り、攻撃面を知り、被害範囲を知ることです。最初に自分がどのように危険にさらされているか、そして何が起こり得るかを知っているという事実自体が、問題を予防するために非常に重要です。コンピュータセキュリティにおいては、知識が鍵となります。

私自身の5番目の推奨事項は、コンピュータセキュリティはプロセスでも解決策でもなく、文化であるということです。これは、どんな種類のチェックリストも長期的には会社に何の利益ももたらさないことを思い出させるものです。それは文化です。

セキュリティの逆転に関して、コンピュータセキュリティにおいて誰を信頼すべきか、ロールモデルとして期待すべきかについて、私たちの直感的な期待は常に間違っているようです。外部から見ると最も安全に見える組織や外見的に安全な組織ほど、実際には最悪の状態であり、非常にグレーまたは怪しげな組織ほど、実際には最も優れたセキュリティを持っていることがよくあります。これがセキュリティの逆転の本質です。

実証的な証拠として、2014年の空港セキュリティに関する講演を挙げたいと思います。この講演では、2人のセキュリティ研究者が、コンピュータセキュリティの観点から見ると、空港のセキュリティは非常に悪いことを示しています。セキュリティは非常に劣悪であり、それが深刻であることを除けば、ほとんど笑えるほどです。国際空港が非常に厳しいコンピュータセキュリティの恩恵を受けることが期待されるでしょうが、現実はまったく逆です。コンピュータセキュリティは、脆弱性の百科事典を持ち、完全な無能さ、無関心さ、問題への無関心さを示しています。

この講演は私自身の専門的な経験と一致しています。趣味として、私は10年以上にわたり投資会社の代表として技術監査を行ってきました。私は数十のテック企業の監査を行う機会を得てきましたが、私の観察によれば、企業の外見や文脈がより安全であるほど、実際のコンピュータセキュリティは悪化する傾向があります。防衛やセキュリティの分野で活動している企業は、非常に悪いセキュリティを持っている傾向がありますが、ベッティングウェブサイトやアダルトウェブサイトなどのグレーゾーンで活動している企業は、優れたコンピュータセキュリティを持っている傾向があります。

同じ問題は、特定の業界内でも発生します。たとえば、医療業界では、手術中に外科医が使用するデバイスのセキュリティは完全に不十分であり、一方、病院の自動販売機のコンピュータセキュリティはかなり良好です。直感的には、手術で使用されるデバイスは非常に安全であると思われるかもしれませんが、実際は逆です。自動販売機の方が外科医が使用するデバイスよりも安全です。

この直感に反する逆転は、私はダーウィニズムの単純な問題から生じると考えています。国際空港は、大規模なコンピュータセキュリティの問題で破産したことはありません。これらの空港は失敗することさえ許されず、数年にわたって持続的なコンピュータセキュリティの問題を無関心な程度で放置することができます。一方、オンラインの賭博アプリを運営する会社でハッカーによる資金の流出を許すと、長くは続かず、誰も助けには来ません。

実証的な証拠として、2014年の空港セキュリティに関する講演を挙げたいと思います。この講演では、2人のセキュリティ研究者が、コンピュータセキュリティの観点から空港は本当に悪いと示しました。セキュリティは非常に不十分であり、笑えるほどです。これは予想とはまったく逆であり、国際空港は非常に厳しいコンピュータセキュリティを持つと思われます。しかし、空港のコンピュータセキュリティは文字通り完全な冗談です。これらのセキュリティ研究者は、1つの脆弱性だけでなく、百科事典のような脆弱性があり、多くの問題が完全な無能さ、無関心、無気力を示していることを示しました。

この講演は私自身の専門的な経験と一致しました。趣味として、私は投資会社の代理として10年以上にわたり技術監査を行ってきました。私は数十のテック企業を監査する機会を得てきましたが、私の観察によれば、企業の外見やコンテキストが安全であるほど、実際のコンピュータセキュリティは悪化する傾向があります。たとえば、防衛やセキュリティの分野で活動する企業は非常に悪いセキュリティを持つ傾向がありますが、賭博ウェブサイトやアダルトウェブサイトなどのグレーゾーンで活動する企業は優れたコンピュータセキュリティを持つ傾向があります。

興味深いことに、同じ問題は特定の業界内でも発生します。たとえば、医療業界では、手術中に外科医が使用するデバイスのセキュリティは不十分であり、一方、病院の廊下にある自動販売機のコンピュータセキュリティはかなり良好です。直感的には、手術室に入るものは患者の命に関わるため、非常に安全であると思われるかもしれませんが、実際は逆です。自動販売機の方が外科医が使用するデバイスよりも安全です。

この直感に反する逆転は、私はダーウィニズムの単純な問題だと考えています。国際空港は、大規模なコンピュータセキュリティの問題で破産したことはなく、失敗することさえ許されていません。その結果、彼らは数年にわたって持続的なコンピュータセキュリティの問題を無関心な程度で放置することができます。一方、オンラインの賭博アプリを運営する会社で、ハッカーが賭けの結果を変えることができるために資金を流出させると、長くは続かず、誰も助けには来ません。

その結果、これらの人々は実質的に生き残りです。彼らは自分たちのシステムを確保するために必要なすべてのことをしました。サプライチェーンに関しては、本当にコンピュータセキュリティの助けを探している場合は、非の打ちどころのない経歴を持つ元軍人を探すのではなく、システム管理者やアダルトウェブサイトやオンライン賭博に関与した人々を探してください。そこでは本当にスキル、才能、献身が必要でした。さもなければ、その会社は彼らの監視下で存在しなくなっていたでしょう。

コンピュータセキュリティに関してできることの最後の部分として、デザインの役割について概説したいと思います。コンピュータセキュリティに関して、多くのいわゆる専門家は、チームを訓練する必要があると言うでしょう。個人的には、私はそれについてはあまり確信がありません。つまり、人々にミスをしないように訓練することはできません。最も優れた人々でさえ、疲れていたり、病気であったり、時折非常に愚かなミスを comit することがあります。訓練だけに頼ることはできません。コンピュータセキュリティは軍事セキュリティのようなものではありません。人々を徹底的な訓練にかけて本能的に操作できるようにすることはできません。ほとんどの場合、状況は本当に冷静に考えることを要求します。さもなければ、問題よりも悪化する可能性が高い対処方法になるでしょう。

私の考えでは、コンピュータセキュリティにおいて組織内にデザインの問題がある場合、どれだけの訓練やダクトテープを使っても問題を解決することはできません。それは勝ち得ることのできない戦いになるでしょう。デザインの観点から物事を考えると、脅威モデル、攻撃面、および被害範囲に大きな影響を与える決定や側面を探しています。できるだけ多くの脅威モデルのクラスを排除し、攻撃面全体を排除し、潜在的な被害範囲を制約するようなデザインの決定を行いたいのです。

たとえば、攻撃面について話すと、関連するデザインの決定を考慮してください。もし組織がリクエストフォープロポーザル（RFP）やリクエストフォーコート（RFQ）に基づいてソフトウェアベンダーを選ぶ場合、RFPやRFQによって設計上のコンピュータセキュリティの問題が大きくなることが保証されています。なぜなら、RFPやRFQに基づいてエンタープライズソフトウェアベンダーを選択すると、すべてのボックスにチェックを入れることができるベンダーが選択されるからです。典型的なサプライチェーンのRFPには数百のボックスがあり、それらのボックスはソフトウェアの機能や特徴に関連しています。エンタープライズソフトウェアベンダーの選択をRFPを通じて行うと、実際には、機能や特徴が非常に膨張した製品を持つベンダーが選択されることになります。その結果、攻撃面が非常に大きくなります。機能や特徴が多ければ多いほど、攻撃面は大きくなります。このプロセスを通じて選択するソフトウェアベンダーがすべてこの方法で選ばれる場合、最終的には非常に大きな攻撃面を持つアプリケーションの環境になります。サプライチェーンに関しては、これらは遅い動きの問題ですので、10年後になるかもしれませんが、最終的には大きな問題になります。

同様のデザインの決定は、被害範囲にも大きな影響を与えることがあります。たとえば、データにアプローチする方法は、サプライチェーンの観点から見るとかなりの影響を与えます。ほとんどの個人データは、サプライチェーンの最適化にはまったく役に立ちません。より良い予測と計画を行うためには、顧客の名前や苗字を知る必要はありません。Lokadは10年以上前から、個人データを資産ではなく負債と見なすという考え方を採用しています。被害範囲の観点からは、システムが侵害された場合、個人データが漏洩しない限り、被害はずっと小さくなります。在庫レベルが公開されていることは悪いことですが、会社には非常に大きな負の影響を与えません。これは、被害範囲の観点から見て、サプライチェーンを組織化するデザインの側面であり、大きな影響を与えることができます。

最も優れたデザインの決定は、問題のクラス全体を排除するものです。企業におけるコンピュータセキュリティの文化の役割は、組織が自社を保護するためにどのようなデザインの決定をすべきかについて正しい洞察を開発することを可能にすることです。正しいデザインの洞察は、コンピュータセキュリティに関する適切な文化の産物です。

これにより、コンピュータセキュリティはITの専門家だけに任せるにはあまりにも重要すぎるという結論に至ります。コンピュータセキュリティは、企業内の文化として取り組むべきであり、共有の責任です。セキュリティのキーワードを持つ人々だけの責任ではないのです。この講義の前半で議論したように、コンピュータセキュリティはしばしば企業内の他のセキュリティと競合するため、コンピュータセキュリティの専門家があなたを救ってくれると考えるのは幻想です。彼らは問題の一面にしか対処できません。そのため、文化は、会社に大きなセキュリティの利益をもたらすデザインの決定が生まれるために不可欠です。

適切な文化は、後で修正できない持続的な問題を作り出す悪いデザインの決定を本能的に拒否するためにも重要です。優れたセキュリティ文化を持つことは、ただすべきことだけでなく、すべきでないことについても重要です。健全なコンピュータセキュリティ文化の最も困難な側面の1つは、従業員がセキュリティの外見に満足せず、問題に十分に関心を持つようにすることです。健全なコンピュータセキュリティ文化では、人々は本物のセキュリティを求めており、単なるセキュリティの外見では十分ではありません。セキュリティの幻想は、実際のセキュリティの欠如よりもはるかに深刻です。

これが2021年の最後の講義であり、次の講義は2022年に同じ曜日に行われます。次の講義では、予測についての第5章を始めます。特に、LokadはM5予測コンテストで非常に素晴らしい結果を達成したため、非常に興味深いプレゼンテーションになると思います。この結果を紹介しますが、サプライチェーンに関連するモデルに付随する教訓についても議論します。

さて、質問に答えましょう。

質問: 一般的に、サプライチェーンのリーダーはサイバーセキュリティを無関係と考えていますか？

私の感覚では、彼らはある程度は無関心ですが、それ以上の問題もあります。無関心は大きな問題ですが、サプライチェーンのリーダーが気にかけている場合でも、彼らは産業リスクに適用可能なリスク分析の観点からコンピュータセキュリティに取り組む傾向があります。これは、サイバーセキュリティに関しては効率的なアプローチではありません。したがって、サプライチェーンのリーダーは、現在のサプライチェーンを破壊する可能性のあるものに十分に関心を持っていないのです。そして、適切な対策について自分自身を熟知する必要があります。

質問: サイバーセキュリティが増加する中、企業のこの業界への投資は他のソフトウェアの予算よりも速く成長しています。将来、ソフトウェアシステムを持つことの利点がサイバーセキュリティの大きなコストによって相殺され、人々がペンと紙に戻る可能性はありますか？

私はサイバーセキュリティが増加しているとは言っていませんでした。私が言ったのは、サイバー犯罪が増加しているということです。この業界への企業の投資は他のソフトウェアの予算よりも速く成長しています。将来、ソフトウェアシステムを持つことの利点がサイバーセキュリティの大きなコストによって相殺され、人々が再びペンと紙に戻る可能性があるかどうかは疑問です。

私が言いたかったのは、サイバー犯罪が増加しているため、人々はプレッシャーを感じ、サイバーセキュリティソリューションにお金を費やしているということです。実際、FBIさえもある種のセキュリティソリューションへの投資を推奨しています。私の問題は、セキュリティは後から考えることではなく、ほとんどが設計によるものであるということです。もし会社がRFPに基づいてソフトウェアを選択しているのであれば、それは会社の非常に根本的な問題です。つまり、企業向けソフトウェアベンダーを選択しているのは、セキュリティの面で非常に劣っているということです。したがって、後で何か素敵なセキュリティソリューションに投資することを決めても、それは遅すぎます。設計上、あなたは危険にさらされています。

中世の城の比喩に戻ると、弱い引き橋の上に大きな堀を設計することはできませんし、壁が十分に高くない場合には城壁を高くすることもできません。中世の時代、ほとんどの城は時間の経過とともに成長し、一度に建てられたわけではありませんでした。セキュリティの付加的なレイヤーを持つという考え方は、物理的なリスクを扱う場合には機能しますが、ソフトウェアでは機能しません。コードの行数が増えれば増えるほど、セキュリティの問題は大きくなります。

サイバー犯罪が増加しており、サイバーセキュリティへの支出も増加しています。しかし、サイバーセキュリティを報告されたサイバー犯罪の損失とGDPの比率として測定すると、この比率は悪化しています。私たちはより少ないセキュリティを持ちながら、それに対抗するためにより多くのお金を費やしています。

ペンと紙に戻る可能性については、私は世界がデジタル前の時代に戻ることはないと思いません。そのコストはあまりにも大きすぎます。ソフトウェアによってもたらされる利益は非常に大きく、サイバー犯罪が重要な問題であると考えても、その規模においては違法薬物問題の3分の1に過ぎません。違法薬物は重要な問題ですが、それは私たちの産業文明の終わりを示すものではありません。人々がペンと紙に戻るとは思いません。ただし、多くのソフトウェアベンダーがよりシンプルな技術的なソリューションを採用し始めると予想しています。

このポイントを説明するために、大企業の間で大混乱を引き起こしたLog4jの脆弱性を考えてみましょう。このサプライチェーン攻撃に関連する脆弱性は、Log4jコンポーネントの複雑さと機能性によって引き起こされました。通常、エラーをログに記録するための小さなソフトウェアのはずでしたが、ソフトウェアの機能の面では猛獣であることが判明しました。人々はこの猛獣を悪用する方法を見つけ、意図しない結果を達成しました。

LokadではLog4jを使用していません。私たちのスタックは.NETであり、.NETスタックの同等のコンポーネントであるNLogを使用しています。ただし、Javaコミュニティ内の問題を考慮すると、私のCTOと私はNLogを段階的に廃止し、はるかにシンプルなものにすることを決めました。それはより良いNLogではなく、複雑さの1%しかないものです。これらのロガーは非常に能力がありますが、その能力は大きな負担となります。

ペンと紙に移行する相当するものは、非常に強力で複雑なソフトウェアの一部を、必要な機能だけを備えたはるかに小さなソフトウェアの一部で置き換えることです。これにより、セキュリティコストの負担が軽減されます。ある時点で、サイズによる大きな攻撃面を持つ無料のオープンソースコンポーネントを使用する代わりに、必要なものだけを行う小さなソフトウェアを再実装する方が安価であることが明確になります。

サプライチェーンに影響を与えるより大きな既知の攻撃に関しては、ニュースで報じられる攻撃には偏りがあるかもしれません。Log4jは、銀行、サプライチェーン、クラウドコンピューティングプロバイダー、ゲーム会社など、多くの業界に影響を与えたため、世界的な大問題でした。しかし、Colonial Pipelineの攻撃を見ると、それは特定の請求ソフトウェアを標的としたランサムウェア攻撃でした。ニュースになるような攻撃は、多くの報道を受けるものですが、それはサプライチェーンに特化した攻撃が起こっていないことを意味しません。Lokadの顧客ベースの詳細を開示することはできませんが、100以上の顧客の中でランサムウェア攻撃を目撃しています。企業がデータを1週間または2週間受け取らないということは、通常、バックアップからシステムを復元するために苦労していることを意味します。時には、Lokadが彼らの唯一のバックアップになることもあります。サプライチェーンシステムを標的とした深刻な攻撃は非常に頻繁に発生しています。

Lokadには100以上の企業がクライアントとしていますが、100万人もいるわけではありません。それでも、私たちは現在、年に数回の大規模なインシデントを目撃しており、これは重要なサイバーセキュリティインシデントの年間リスクの5%に相当します。私の考えでは、これはかなり高いリスクです。

質問: サイバーセキュリティは個人の衛生のデジタル版のようになっているようですが、学校は子供たちにこれらのスキルを教えるべきだと思いますか？

はい、衛生についてのあなたの意見は理解しています。ただし、サイバーセキュリティでは、攻撃者は知的です。現実のウイルスは変異し、病原体を封じ込めることは困難です。しかし、無思考な攻撃に直面することと、あなたやあなたの会社に最も大きなダメージを与える方法について長時間考えることができる人々と対処することとの間には、大きな違いがあります。

サイバーセキュリティについて、教育やトレーニングは課題があります。私の個人的な信念は、12歳の子供は本質的には大人と同じくらい賢いが、大人の経験がないだけだということです。ですので、これは取り組むべき問題であり、詐欺や社会工学の手口も含まれます。多くの人々はまだ明らかな詐欺に引っかかることがあります、例えば悪名高いナイジェリアの王子のメールなどです。

学校は若い頭脳や次世代が敵対的な世界に直面する準備をするべきです。比較的平和な時代でも、あなたに害を与えたいと思う人々がいます。サイバーセキュリティの重要な側面は、あなたに害を与えたいと思う人物が数千キロメートル離れていても、あなたや組織、親族に被害を与えることができるということです。

いずれ学校はこの問題に取り組むべきです。ただし、少なくともフランスでは、基本的なプログラミングスキルを教えることができる教師を見つけることはまだ困難です。この継続的な問題により、子供たちにサイバーセキュリティやデジタルセキュリティを教えることができる教師を見つけることが難しくなっています。それにもかかわらず、おそらく行われるべきですが、私は次の10年間にこの分野に多くの希望を持っていません。

質問がないため、皆さんにメリークリスマスをお祈りし、来年お会いしましょう。