誇りを持って積極的にお客様をお守りする

またしてもセンセーショナルな報道が世に出た。特定の諜報機関が、とある契約社員の自宅コンピューターを通じて別の諜報機関の機密情報に手をかけるのを、Kaspersky Labが支援したとしている。同記事においては、このほかにも、我々が新種マルウェアを追求する手段が非常に「積極的」だとの糾弾もなされている。

一つめの主張はC級映画の脚本さながらで、またしても匿名の情報筋によって明らかになっている(驚いた)。これについては、公式声明以外にコメントしようがない。

しかし、当社によるマルウェアの追求が積極的だという二つめの主張に関しては大いに賛同する。我々は、マルウェアの出所がどこであれ、確実そして積極的に、マルウェアの検知と駆除を行う。20年間、誇りを持ってそうしてきた。これこそが、独立した第三者評価機関によるマルウェア検知テストの数々でトップクラスの評価を受け続けてきた所以だ。マルウェアとサイバー犯罪に積極的に取り組むのは当然のこと、それ以外にない。以上。

お客様を保護する際には、当社以外のサイバーセキュリティベンダーと同様に、コンピューターの健康状態をチェックする。X線検査のようなものだ。セキュリティ製品は、問題を特定するためにほとんどのものを見ることができるが、見たものを特定のユーザーと紐付けることはできない。お客様をサイバー脅威から保護するにあたり、我々が何をして、何をしないのか、もう少し詳しく述べさせていただきたく思う。

我々のすること

マルウェアと疑われるものにフラグを立て、自動解析のために機械学習で動くバックエンドへと送るヒューリスティックスや高度な検知メカニズムを、我々は日々新たに開発している。こうしたヒューリスティックスは、特定タイプのデータ、つまりコンピューターの健全性に危険をもたらしかねない性質を持つデータだけに着目するように設計されている。このデータの持つリスクこそ、ヒューリスティックスが注意を払う唯一の特徴だ。

当社では、多くのユーザーに影響を与える可能性のある目立ったサイバー脅威に注目する。こういった脅威は非常に高度であるのが常で、複数のコンポーネントで構成されている場合があり、一見して悪意あるものと見えないことがある。例としては、最近のShadowPadの件をご一読いただきたい。

ユーザーの信頼を裏切るのは簡単だが、業界がただちに気付くだろう。20年にわたるビジネスの中で、お客様のセキュリティに対する献身的取り組みに疑念が提示されるようなことを、当社は何一つしてこなかった

我々はあらゆる種類の脅威を探し出して解析する。何一つ見逃しはしない。また、当社ユーザーをマルウェアから保護し、彼らのコンピューターをより安全なものとし、懸念を覚えさせるのではなくユーザーエクスペリエンスを享受できるようにするため、多大なリソースを投入している。

このたびの記事を受け、強く申し上げたいことがある。我々のテクノロジーが疑わしい何かを検知し、それがマルウェアだと特定されたら、数分のうちに我々のお客様全員が、どこにいようと誰であろうと全員が、その脅威からの保護手段を受け取る。深刻な場合には(WannaCryのような世界的なマルウェア大流行や、The Equation Groupのような高度なサイバースパイ活動の場合など)、当社のリサーチャーはその脅威を徹底的に解析し、当社のお客様のみならずすべての人々、そしてサイバーセキュリティ業界の同業者皆がこの新たな脅威からどう防御を講じるべきか学べるように、脅威存在痕跡(IoC)を公開する。お客様の安全は我々の使命であり、発生源や目的にかかわりなくあらゆる種類のサイバー脅威からの保護を講じることに我々は尽力している。これは当社ビジネスの根幹であり、お客様はそれに対して対価を払ってくださっているのだ。

以上が、我々がサイバー脅威に立ち向かう、ただ一つのやり方だ。このたびなされた新たな主張は、私にはこのようなものに映る – 脅威に立ち向かう当社の取り組みの過程を誰かがちょっと取り出し、細々とした架空の情報をいくつか加え、ご覧のとおり、 新たな脚本の完成だ。

我々がしないこと

大きな力は大きな責任を伴う。当社は、我々の手に託されたユーザーの信頼を裏切るようなことは決してしない。仮にそのようなことが一度でもあれば、業界によってただちに指摘され、当社のビジネスは終了するだろう。当然そうあるべきだ。

Kaspersky Labほか信頼に足るセキュリティ企業がこのようなことをできないのはなぜなのかをご理解いただくには、サイバーセキュリティ業界の事情をご理解いただかねばならない。この業界には、おおまかに2種類の人々がある。まずは、ソフトウェアの解読、諜報ツールやエクスプロイトの作成、そして、極端な例では、政府の諜報活動の支援といった攻撃的行動をとる人々。もう一方は、ユーザーのために戦い、ユーザーの側に立ち、ユーザーを攻撃から守り、コンピューターを防御するソフトウェアを作成し、諜報機関にありとあらゆる頭痛の種をもたらす人々だ。

これは根本的な区別であり、さまざまな形で現れる。一方の(あるいは他方の)カテゴリでは何が倫理的と見なされるかという点から、一般の評判、正誤の区別の付け方に至るまで。

20年にわたり、Kaspersky Labはユーザーのために戦ってきた。機械学習クラウドセキュリティを含め多くのテクノロジーを先頭切って開発し、世界で有数のセキュリティ製品のひとつを作り上げ、高い倫理水準を順守する人々のみを雇用するよう努めてきた。

当社のエキスパートは誰でも、いずれかの政府による諜報を推進するためにユーザーの信頼を悪用するようなことは倫理に反すると考えるだろう。もしも万が一、たとえばそのようなことに手を染める人間が1人か2人ほど会社に潜入したとしても、リスクを軽減するための技術的・組織的戦略が社内に数多く施されている。また、3,000名を優に超えるKaspersky Lab社員の誰かしらが、そうした行為に気付くことだろう。万人の目から隠し通すことは不可能だ。

込み入った状況

しかし、業界が提供するセキュリティの技術や手段がいかに素晴らしいものであっても、あまたの人々のセキュリティは、安価なUSBメモリと誤ちを犯す一人の人間、というような古典的な脅威によって容易に侵害されうる

当社は内部にセキュリティチームを持ち、またバグ報奨金プログラムを実施しているが、当社製品にセキュリティ上の問題がないと100%保証することはできない。そのような保証ができるセキュリティソフトウェアベンダーがあったら、名前を挙げていただきたいものだ。ソフトウェアは人間によって作られる。人間はミスを犯すものだ。この問題を避けて通ることはできない。

では、報道の内容が本当であったと仮定しよう。ロシア人ハッカーたちが当社のユーザーのPCにインストールされた当社製品の脆弱性を突き、国家安全を担当する政府機関がそのことを知っていたのなら、なぜ当社へご一報いただけなかったのだろうか?深刻度の高いバグの場合、当社では数時間でパッチをリリースしている。その脆弱性を当社へ報告することで、世界を少しばかり安全なものにしてもよいではないか?報告しないことを倫理的に正当化する理由が、私には思いつかない。

最後になるが、私は一つの懸念をどうしても振り払うことができない。業界が提供するセキュリティの技術や手段がいかに素晴らしいものであっても、あまたの人々のセキュリティは、安価なUSBメモリと過ちを犯す一人の人間、というような古典的な脅威によって容易に侵害されうるという懸念を。

コメントを読む 0
コメントを書く