2009年2月9日月曜日

第一回 セキュリティブロガーサミットが出した結論




「我々が持っているテクノロジーの背後にある経済的要因について留意しておかなければならない。我々はより優れたテクノロジーを持つことができるはずだが、その代価を支払う覚悟ができていない。市場は必ずしも優れたものに対してではなく、クールなもの、高速なものに報酬を支払っている。」- Bruce Schneie氏 -




- 基本的なセキュリティのコンセプトにおいて、インターネットユーザーを教育する必要がある。これは、サイバー犯罪の被害に遭う人の数を減らす唯一の方法であり、責任は公と民の両機関で共有するべきである。

- Sebastian Muriel氏, Red.esジェネラルマネージャー「セキュリティに関する問題の80%は、常識で解決するものである。」

- 第一回セキュリティブロガーサミットは、Panda Security が企画し、ITセキュリティ関係者200人を招待し、アメリカとスペインから11人のオピニオンリーダーを含めたディスカッションのホストを務めた。



セキュリティ市場と更に優れた保護の必要性に関して、第一回セキュリティブロガーサミットで達した結論のひとつは、Bruce Schneier氏によって概説された。「我々が持つテクノロジーの背景にある経済的要因について留意しなければならない。我々はより優れたテクノロジーを持つことができたが、その代価を支払う準備ができていない。市場は冷静さと迅速さに報酬を支払うが、それは良いことではない。」

基本的なセキュリティの概念について、インターネットユーザーを教育する必要性は、この分野を前進させサイバー犯罪の犠牲者を減らす唯一の方法である。これはPanda Security によって、マドリッドのCírculo de Bellas Artesで2月4日に開催されたイベントの、
もうひとつの焦点だった。(詳細はこちらhttp://www.securitybloggersummit.com/

このイベントには、公共・民間機関の代表者やジャーナリスト、ブロガーを含む200名がITセキュリティ界から参加した。

ディスカッションへの参加者は、Bruce Schneier氏(ブロガー、ITセキュリティの先導者)、Andy Willingham氏(金融系セキュリティ企業の情報セキュリティ部門役員、Andy ITGuyの作者)、Antonio Ortiz 氏(Weblogs SLの共同創設者), Steve Ragan氏 (Tech Heraldのセキュリティ担当エディター), Byron Acohido氏, Javier Villacañas 氏(COPEジャーナリスト、“A todo chip”ブログの作者), Ero Carrera氏 (Hispasec), Sebastián Muriel氏 ( Red.esジェネラルマネージャー), Francisco A. Lago氏 (The National Institute of Communication Technologies (INTECO) ) 、César Lorenzana氏 (Spanish Civil Guardのテクノロジー犯罪担当部門)であった。

この日の3番目の議題は、啓蒙活動によって、公と民の両機関間でユーザーの教育に関して責任を共有する必要性があることを取り扱った。この趣旨でAndy Willingham氏は、「コンピュータの安全な使い方について学ぶ必要があるのはユーザー達自身である、なぜならば危険にさらされるのは彼ら自身であるからだ。」と説明した。

Red.esのジェネラルマネージャーであるSebastián Muriel氏は、「問題の80%は常識で解決できるものである。」と述べた。


啓蒙と責任

セッションは、Bruce Schneider氏の15分のスピーチでスタートした。彼はインターネットを代表する主な進歩を強調して、“ロックンロール後の最も重要な革命のひとつ”と呼び、そしてセキュリティ問題の基礎となる経済的要因を強調している「我々はより優れたテクノロジーを手に入れることができた。しかし、それに対する代価を払う覚悟ができていない。市場は冷静さと迅速さに報酬を支払うが、しかしそれは良いことではない」

彼は更に、セキュリティに関する責任が政府機関だけに押し付けるのではなく、ユーザーや企業が自分達の役割を果たす必要性に注意を向けた。「クレジットカードの場合、政府はユーザーを教育してはおらず、企業に問題が引き渡され彼らが調査を行なってきた。それと同様に、問題を単にユーザーだけにシフトさせることはできず、銀行や他の企業も分担すべきである。」

そのほかのスピーカー達は、セキュリティへの責任に関して賛同するともに、さらに意見を進めた。
Byron Acohido氏は、「問題の90%はユーザーに転嫁するものではない。もしエラーのあるシステムが市場に出回ったら、それは明らかにユーザーの責任ではない。」
一方、Francisco Lago氏は「主な問題は、ユーザーのふるまいである」と信じ、良い習慣についての啓蒙活動が、セキュリティリスクを避ける最良の手段である、と述べた。

Andy Willingham氏とSteve Ragan氏は、エキスパート達がこの教育を、シンプルかつわかり易い言葉で率いることの必要性について一致した。「ブログやセキュリティ関連のメディアはあるが、ユーザーはそれらを理解できておらず、そしてそれが続く限り、何度も同じ間違いを繰り返すのをわれわれは見続けることになるだろう。」とRagan氏は強調した。


サイバー犯罪の現状と対処

スピーカー全員が、ここ数年の主な傾向のひとつがサイバー犯罪のプロ化であることに同意した。

Cesar Lorenzana氏はこう説明した。「よりたくさんのマルウェアが存在するということではなく、マルウェアが今犯罪者達に利益をもたらすということなのだ。それは生計を立てる手段なのだ。」
Francisco Lago氏は、ユーザーの中のセキュリティの間違った認識を強調した。「80%のユーザーが、自分のコンピュータが保護されていると信じている、にもかかわらず、彼らの4分の3は実は感染しているのだ。」

Antonio Ortiz氏は、サイバー犯罪者達が低姿勢を保ち、公共機関の追跡を避け続ける期間の長さを図で示した。「ボットネットのオーナー達は、結果として政治家たちがその問題に目を向けてしまう恐れのあるような、メジャーなWebサイトや政府のページに対するDoS攻撃のサービスは提供しない。彼らはそういった注目を浴びることを望まない。」 政府やセキュリティセクターが提供することが可能なこういった脅威に対するレスポンスに関して、Bruce Schneier氏は、この犯罪を追跡することの難しさを強調した。「これは国際的な問題であり、それが証拠を集めることや追跡などをより困難にしている。我々はローカルな窃盗に立ち向かうのは得意なのだが、国境を越えた犯罪は苦手だ。」

金銭的な被害につい尋ねられた時、Byron Acohido氏は、わずか一週間の攻撃で700万ドルを稼いだ、” Cosmos”として知られるドイツのサイバー犯罪集団の一例を取り上げた。

最後に、セキュリティリスクを回避するために、平均的なユーザーがどのような基本的な対策をとれるかについて公に尋ねられた時、パネリスト達は、問題に対する主な対処法として啓蒙活動を強調した。Bruce Schneier氏は、「バックアップと全てのプログラムのアップデートだ」と付け加えた。


※詳細画像はこちら  http://www.flickr.com/photos/panda_security/tags/summit/