サイバーセキュリティの最適な形がオープンセキュリティである理由

blog-open-security-720x420-A.png

デジタルシステムにおけるセキュリティの世界では、あまりに長い間、機密性が重視されてきました。

真のセキュリティを実現するには、顧客に対してもテクノロジーを秘匿する必要があるという声まであります。信頼していただいて大丈夫です、とベンダーは言います。「当社のソフトウェアは優れた開発者が常に更新しています」、「当社は誰よりも早く脅威を特定できるように監視しています」、「システムに問題が起こる前にパッチを適用します」など。ソフトウェアをインストールした後は、すべてをそのベンダーに任せればいいと言わんばかりです。

残念なことに、攻撃者の専門性が高まり、豊富なリソースを使用して損害を与えようとしている現代において、このようなブラックボックスを前提としたセキュリティ対策は、それ自体が巨大な脆弱性と化してしまいました。コードを隠すことで、セキュリティ会社自体が、ハッカーの標的になってしまいます。セキュリティソフトウェアに対する攻撃がたった1つでも見逃されてしまったが最後、何千もの顧客が脆弱性や侵入被害にさらされ、悪意のあるアクターが膨大な量の機密データを手に入れてしまいます。ブラックボックスを1つでも突破してしまえば、攻撃者は、狙っている財務情報、企業秘密、脅迫材料、交渉関連のスキャンダルなどを自由に盗めるようになります。

新しいセキュリティパラダイム

ここ数年、ニュースサイトのホームページ上でさまざまなタイプのデータ盗難が横行しています。どの場合でも、とある時点でサイトのセキュリティが崩壊し、攻撃者がデータにアクセスできるようになってしまいました。いずれの被害者も、その脅威の形や、セキュリティソフトウェアの対応能力、処理方法を知らされなかったため、最後までブラックボックスはブラックボックスのままでした。

サイバーセキュリティの世界には新たなパラダイムが必要です。たった1つのアプローチや開発者チームだけですべての答えを見つけたり、すべての侵入を阻止したりなど、できるわけがありません。しかし、そのような企業はブラックボックスの中で自社の内情を覆い隠し、2つの効果を狙っています。1つ目は、まるで顧客を人質に取るかのように、検証と監査をそのシステム以外で禁止すること。2つ目は、対処すべきはずの攻撃者とのエスカレーションを永続させること。悪用できる脆弱性を探していたり、最高額で入札者に売りつけたりするのを狙う攻撃者を誘い、最新のパッチや最新のリリースを破るように攻撃者を駆り立てます。

システムをもっと安全に保つ方法があります。 

当社は、脆弱性、侵入、パッチ、反復処理が止まず、弱体化の兆しも見せないクローズドシステムではなく、オープンなセキュリティモデルをご提案しています。これは、オープン開発のセキュリティソフトウェアを使用するものです。セキュリティ保護にどの機能が関わっているのか、緊急の脅威から保護するためにどのコードを強化するべきかなどを、だれもが制限なく閲覧できます。

Elasticには、オープンなコミュニティコラボレーションの確かな実績があります。それこそが当社のソリューションの形であり、世界中の大規模な組織がきわめて重要なシステムで使用しています。Elasticセキュリティにも、この概念が導入されるべき時がきました。攻撃が増加する一方の世界では、セキュリティは非常に重要になります。ブラックボックスのままにしておくことはできません。

オープンセキュリティの動作の様子

ここからは、オープンセキュリティの概要や意味をご説明します。その定義は、実際に関わっている人によって自然と決まってゆくものではありますが、最もシンプルに言えばコラボレーションです。セキュリティベンダーが、コード、検出ルール、および成果物をオープンに共有することで、真の意味でシステムの侵入防止や悪用防止を実現できるようにするしくみです。製品やソリューションを問わず、あらゆるユーザーが利益を得ることができるようにセキュリティソフトウェアを改善する、共同の取り組みです。

サイバー攻撃やサイバー戦争は、ウクライナでの紛争や、時間帯や大陸を越えて増加の一途を辿っている企業スパイ行為に至るまで、世界中で当たり前のことになりつつあります。被害が無くなることはないでしょう。しかし、今よりももっと効果的に被害を軽減したり、防御したりすることは可能です。

オープン性は、真の意味でのセキュリティとは相容れないという主張もあります。システムが動くしくみを公開したら、そのシステムが弱体化するだけという理由です。しかし、実はそうではありません。オープンセキュリティなら、問題意識を持つすべての人、セキュリティに精通したあらゆる人の知恵が結集されるので、顧客を確実に保護できます。セキュリティを守ろうとする人は、攻撃や妨害をしかける人よりも、はるかにたくさん存在します。

情報を隠し、曖昧にすることで確保されるセキュリティは、もはや機能しません。それは単なる脆弱性でしかなく、ハッカーが攻撃したり、ソーシャルエンジニアがアクセスを図ったりする弱点となります。真のセキュリティとは、攻撃者が試したり、失敗したりした攻撃方法を理解し、対処し続けること。弱くなるのではなく強化され続ける盾のようなものです。

もちろん、顧客ごとのセキュリティニーズや構成に関する非公開情報も常に存在します。もちろん攻撃者を招くためなどではなく、システムを安全に保つための共通コードやテクニックを共有するためのものです。顧客の特定のユースケースや脅威プロファイルに合わせてセキュリティを構成するための、ツールと知識を提供するためのしくみでもあります。

透明性とコミュニティからなるセキュリティ

今日のセキュリティ慣行に根付いている秘密主義は、自分の権限を他人に渡したくない場合においてのみ有効です。しかし、科学や、テクノロジー、民主主義に至るまで、オープン性と透明性は価値の基本をなす要素です。過去の人々の成果を土台にして、あらゆる人に利益をもたらすために不可欠です。セキュリティはとても重要です。「私たちを信頼してください」と自ら言うような者の手に委ねることはできません。ましてや、彼らのアプローチは年々劣化し、失敗を繰り返しているのですから。

オープンセキュリティへの移行は、すぐできるものではありません。その変化と移行を後押しするのは、ベンダーに対する顧客からの圧力と、堅牢なセキュリティ調査コミュニティです。その中には、別の方法を望みながらブラックボックスシステムで働く人々も含まれます。

Elasticのオープンセキュリティへの取り組みはまだ始まったばかりですが、オープンソース開発自体は当社に深く根付いており、DNAと言っても過言ではありません。お客様や競合他社が、変化の時を迎え、必要な人がオープンセキュリティを使えるようになる日がきっと来ることでしょう。