ハーバートリンは、スタンフォード大学(米国)の国際セキュリティと協力センター(CISAC)の情報ポリシーとセキュリティのシニアフェローです。 リンは、権威ある公共政策研究センターであるフーバー研究所の情報政策とセキュリティの専門家でもあります。 情報ポリシーとセキュリティの問題に関する研究に加えて、マサチューセッツ工科大学で物理学の博士号を取得しています。
Panda Security(PS) : 2017年の企業の情報セキュリティの状態に関する一般的な考えは何ですか?
Herbert Lin(GL) :企業の情報セキュリティは非常に複雑です。 ほとんどの企業は、これらの問題に注意を払わざるを得ないことを理解していますが、多くの企業は情報セキュリティへの投資方法を完全に理解していません。 したがって、あなたがあなたの会社の情報セキュリティの責任者であり、あなたのディレクターが「私はあなたに100万ドルを与える準備ができている」と言ったら、これらの資金をどのように使うべきですか? そして、ほとんどの人は正確な答えを出すことができないと思います。なぜなら、彼らはこれらの資金をどのように使うかについての[明確な]考えを持っていないからです。 これが最初の問題です。
2番目の問題は、実際に存在する可能性のあるリスクの評価が間違っていることが多いことです。 多くの場合、経営陣は彼らの主な資産は何か、本当に保護する必要があるものは理解していないと思います。 同じレベルですべてを保護することはできないため、優先順位を付ける必要があります。最も重要なことは何ですか。 そして、企業ではこれを行うのは非常に困難です。
3番目の問題は、企業がビジネスリスク(「正しい」という言葉が何を意味するにせよ)を適切に管理したとしても、自社のニーズの枠組み内でそれらを管理することです。 しかし、特定の企業は、企業自体で考えるよりも、社会のために機能するというより重要な性格を持つ場合があります。 この場合、この企業の情報セキュリティに関連する大きな問題の深刻な社会的影響について話すことができます。 たとえば、あなたの会社がエネルギー会社、発電所、または同様のものである場合、会社の株主だけが仕事をやめた場合に苦しむことはありません。 あなたの企業の仕事に依存するすべての人々は苦しむでしょう。 冷蔵庫などに食料を保管しているすべての施設と人々が、隣の通りの病院に苦しむでしょう。
ハーバート・リン
PS : 重要なインフラストラクチャは適切に保護されていると思いますか?
G.L. :問題は、「適切に」とはどういう意味ですか? もっとできますか? 私はもっと多くのことができてよかったのですが、アメリカではサイバー攻撃よりも停電がタンパク質による可能性が高いという紛れもない事実があります。 次に何が起こりますか? 知りません これはおそらく愚かな比較ですが、リスは悪意を持ってそれを行いませんが、犯罪者はそれを行います。 恐怖は、犯罪者が悪意を持ってそれを行うと、リスよりもはるかに害を及ぼす可能性があるということです。
PS : 暗号化攻撃はまだ進化しています。 最近のWannaCryおよびPetyaの攻撃からどのような結論を導き出すことができますか?
G.L. :暗号作成者の攻撃は、実際には一種のDoS攻撃(サービス拒否)であるため、企業はそれらに対処できなければならず、バックアップ手順などが必要です。 バックアップはリソース集約型であり、時には困難ですが、あなたはそれをしなければなりません。 危険にさらされている場合の対処方法を知っておく必要があります。 たとえば、インターネット上で電子医療記録が利用できなくなったとき。 そのような状況で行動する方法を知る必要があります。
PS : 別の大規模なランサムウェア攻撃が待っていると言えますか?
G.L. :はい、一般的にはそう思います。 これらの種類の多くを見るでしょうが、暗号作成者はお金を稼ぐ簡単な方法です。
PS : 潜在的なサイバー戦争で企業はどのような役割を果たすと思いますか?
G.L. :彼らは偶然の役割と意識的な役割の両方を果たします。 問題の1つは、企業がプログラムの1つで誤ってミスを犯す可能性があり、それを修正できないことです。 彼らは解決していない脆弱性を持っているため、これは問題です。 だから彼らは役割を果たす この脆弱性を許可しました。 彼らは意識的にそれをしなかったが、それでも彼らは彼らのソフトウェアに脆弱性を許した。
企業は、さまざまな方法でシステムをカスタマイズして、多かれ少なかれ安全にすることができます。 企業は、ユーザーに簡単にカスタマイズでき、完全に安全ではないデフォルトのプロファイルを提供する場合があります。 それは彼らの選択です。 この選択の理由は、ユーザーの便宜のためにそれを行うという事実にあります。 彼らはユーザーに「あなたの製品は使いにくい」と言って欲しくありません。メディアで悪い評価を与えてしまうからです。 したがって、製品を使いやすくしますが、多くの場合、安全性が低下します。 そして、この決定は企業の意識的な決定です。 このような解決策により、彼らは不注意に問題の悪化の一因となります。
企業が攻撃活動をサポートするために政府のoperations報機関と協力する他の例があります。 たとえば、特別なサービスは会社(たとえば、ウイルス対策会社)に連絡して、「署名はここにあります。無視してください。このために1,000万ドルを支払います。」と言うことができます。 なぜ彼らはこれをしているのですか? 彼らは誰かを攻撃したいのですが、彼らは将来の犠牲者が特定のアンチウイルスプログラムを使用していることを知っています。 これは合法だと言っているわけではありませんが、それでも特別なサービスで使用されている方法です。 したがって、この例では、協力する企業が攻撃的な作戦を支援し、何らかの形でサイバー戦争に貢献する可能性があります。
PS : 10年後に世界はより安全になると思いますか?
G.L. :悪化すると思いますが、状態は壊滅的ではありません。 最も可能性の高い結果を選択する必要がある場合、私はそう言うでしょう。 どれほど悪いですか? 知りません しかし、少し悪くなると思います。
PS : なんで?
G.L. :私はこの方向に向かっているすべての傾向を見ているからです。 人々は情報技術のメリットを望んでいますが、コストを支払いたくありません。 したがって、セキュリティには代償が伴います。 長期的には、人々はまだこの問題に注意を払い始めると思います。 それまでは、「少し悪い」ことになります。なぜなら、コストが便益を上回るとき、私たちが転換点にいるとは思わないからです。 しかし、遅かれ早かれ、私たちはそこにいます。 この方向の動きは遅いと思いますが。 しかし、この点に達すると、まったく別の問題になります。
しかし、なぜそれは「少し悪い」だけで壊滅的ではないのですか? 最終的には、全世界は相互依存関係にあるため、災害が発生した場合、誰もが苦しむことになると思います。 世界的なネットワークを「落とす」なら、中国は勝ちません。 彼らはそれを彼らの小さなゲームに使いたいと思っています。 あなたが寄生虫である場合、あなたは主人を殺したくありません。 あなたはそれを使いたいだけです。 ただし、自分で抽出できる量には常に制限があります。
PS : 企業に与える最も重要な情報セキュリティのヒントは何ですか?
G.L. :情報セキュリティは終わりのない戦いであり、この問題を一度も解決することはできません。 あなたが思っている以上に投資すべきです。
PSこのインタビューの一部は、わかりやすくするために少し編集されています。