［英国］【RSA Conference Europe 2007】
「ITセキュリティは欠陥品市場」――セキュリティ専門家が警鐘

市場に流通する多数の低品質製品が企業セキュリティを危険にさらす

（2007年10月24日）

　「ハッカーがますます組織化するなか、企業セキュリティは市場に流通している多数の低品質なセキュリティ製品によって危険にさらされている」――英国BTカウンターペインのCEOでセキュリティ専門家でもあるブルース・シュナイアー氏は10月23日、セキュリティ関連の年次コンファレンス「RSA Conference Europe 2007」の基調講演に登壇し、こう語った。

　シュナイアー氏は、脅威を排除する現実的なセキュリティ製品よりも、安全であるという“雰囲気”を売るセキュリティ製品が多く存在すると指摘した。同氏によると、これらの製品は顧客に安心感は与えるものの、実際には脅威を排除しなかったり、さほど大きくない脅威からユーザーを保護することで「セキュリティ劇場」を演出したりしているという。

　シュナイアー氏はまた、ITセキュリティ産業を「レモン（欠陥品）市場」と表現した。同市場には良品と粗悪品があり、その差を見分けるのは容易ではないからだ。ちなみに、「レモン（欠陥品）」という用語は、米国で値段よりも価値の低い中古車の意味で使われている。

　「セキュリティ製品の良否を見分けるために実施できる効果的なテストは存在しない。しかし、われわれはこれまで多様な製品を実際に目にしてきた。15年前には多数のファイアウォールが存在していたが、現在まで生き残った製品が最良というわけではない。買い手は製品の良否を判断できないため、粗悪品が良品を市場から駆逐することもある」と、シュナイアー氏はセキュリティ市場の問題点を指摘した。

　「優れた製品やサービスを有する企業が1社あるとすると、その企業に便乗する形で、顧客が気づく前に手っ取り早く稼ごうとする企業が、少なくとももう1社はある」（シュナイアー氏）

　さらにシュナイアー氏は、ユーザーがインフォームド・チョイス（十分な説明を受けたうえでの選択）を行うために必要となる正確な情報の提供は、まだ不十分だと付け加えた。加えて、人間の不合理な考えが問題を深刻化させており、セキュリティ製品の多くが感情と恐怖につけ込んでいる点を指摘。それゆえ、潜在的なセキュリティの脅威に対する投資コストを比較・検討して、リスクを現実的に評価および軽減することは困難だと述べた。「つまり、企業はしばしば粗悪なセキュリティ製品をつかまされるということだ」（同氏）

　一方、別の基調講演に登壇したRSAセキュリティの社長兼CEO、アート・コビエロ氏は出席者に対し、「企業はセキュリティ攻撃に対し、かつてないほど脆弱になっている。ハッカーはより組織化され、実戦力を高めている」と述べた。

　情報セキュリティは根本的な変化を遂げており、セキュリティ対策としてこれまで信じられてきた一連の取り組みは、現在、ほぼ役に立たないとコビエロ氏は指摘している。加えて、「セキュリティは、インフラよりもむしろトランザクションと情報に集中したものでなければならない」点を強調した。

(シュボーン・チャップマン／Computerworld 英国版)