エフセキュアのミッコ・ヒッポネン氏に聞く、30年間で複雑化したセキュリティ業界の現在

戦争、諜報、武器商人――セキュリティ業界の倫理観は変質したか？

2021年08月11日 08時00分更新

文● 谷崎朋子　編集● 大塚／TECH.ASCII.jp

　フィンランド発のサイバーセキュリティ企業、F-Secure（エフセキュア）で主席研究員（CRO）を務めるミッコ・ヒッポネン氏。今から30年前の1991年、F-Secureの前身となるData Fellowsに入社し、それ以来マルウェア解析やリサーチ業務などに従事。現在では最新セキュリティ動向の調査研究の傍ら、世界各国のカンファレンスで基調講演に登壇するなど、精力的に活動し続けるセキュリティリサーチャーである。

　この30年間で、セキュリティ業界の規模も社会的位置づけも大きく様変わりした。他方で、当初は“牧歌的ないたずら”程度だったサイバー攻撃も、大規模な組織犯罪や国家間のサイバー攻撃にまで発展している。そうした30年間の変化は、同氏の目にはどう映っているのだろうか。話を聞いた。

F-Secure 主席研究員（CRO：Chief Research Officer）のミッコ・ヒッポネン（Mikko Hypponen）氏

セキュリティ業界が予想を裏切り変化し続けてきた理由

　まずはセキュリティ業界の変化について聞いてみた。ウイルス対策ソフトやファイアウォールといったセキュリティ製品が登場したのは、1980年代のことだった。それから40年近くたった今では、これまで以上の数のセキュリティスタートアップが起業し、他方では老舗ベンダーの買収や統合の動きも加速している。たとえば、プライベートエクイティのSymphony Technology Groupが、RSA、マカフィーの法人向け事業、ファイア・アイの製品部門を立て続けに買収したことは記憶に新しい。

　こうした変化は、業界にとって良いことなのか、それとも悪い兆候なのか。この問いに対し、ヒッポネン氏は「良くも悪くもなく、セキュリティ市場がそれだけ成熟した証だ」と答える。

　「私が就職した頃は『サイバーセキュリティ業界』なんてものは存在せず、小さな企業が小さな製品をこぢんまりと開発、販売するだけだった。振り返れば、当時はウイルス対策製品に対してさえ多くの人が懐疑的で、『コンピューターウイルスはただの作り話、都市伝説ではないか』とまで言われていた」

1993年のヒッポネン氏。操作するPC端末に時代を感じる

　それから15年後、2000年代に入り、ヒッポネン氏はセキュリティ業界の行く末を予測したことがあった。当時の市場は、すでに10年、20年の歴史を持つ大手企業が確固たる基盤を築いており、スタートアップが参入する余地はないと考えたという。しかし、その予想は間違っていた。

　「（予想とは違う結果になった）理由は2つ。1つは、古いウイルスや攻撃手法がすたれ、次々と新しいものが登場し続けたこと。1990年代に流行ったマルウェアなんて、今どきテスト環境でしかお目にかかれない。製品開発側の立場からすると、それよりは最新の攻撃をきちんと検出できることに注力するほうが、実用性が高い」

　もうひとつの理由は「機械学習が台頭してきたこと」だという。機械学習関連技術の進化は著しく、スタートアップにとっては新規参入の糸口となる。「F-Secureでも、2005年にマルウェアサンプルの自動収集／自動分析で機械学習を活用しはじめた。今では何を作るにも機械学習技術は必須だ。この領域は今後も多くのスタートアップを呼び込み、活発な動きが見られると思う」。

　ちなみに、これからのセキュリティ業界を揺るがす存在があるとすれば「それはマイクロソフトだ」とヒッポネン氏は付け加える。

　「これまでも、同社が新しいOSをリリースするたびにソフトウェア市場の一部が消滅してきた。たとえば、かつて（1990年前後）は『WinFax PRO』を代表とするFAXソフトウェアが一大市場を構成していた。しかし、マイクロソフトが無償のFAX機能をWindows 3.0 / 3.1 for Workgroups 3.11で提供するようになり、ほとんどのユーザーがこれを使いはじめた結果、FAXソフトウェア市場は消滅し、大勢が解雇された。このようなことが、セキュリティ業界でも起こりうると思っている」

　幸いなことに、マイクロソフトが提供する「Windows Defender」などのウイルス対策機能は、専業ベンダーの製品と比べて検知能力などが低く、「競争力はそれほどでもない」と同氏は述べる。

　「ただし、マイクロソフトはWindowsアップデートなどを通じて世界中の何億ものユーザーから情報を収集している。こうした大規模な“可視性”は、他のセキュリティベンダーにはないものだ。さらに同社は、Microsoft Azureというクラウドを通じて、オプション料金でセキュリティサービスを提供するビジネスができる。可視性や収益の点で、影響力は日増しに高まっている。サイバーセキュリティ業界の未来を左右する存在であることは間違いない」

「サイバー戦争」の実例は少なく、自国の軍隊は守ってくれない

　もうひとつ近年目立ってきた課題が、サイバーセキュリティを取り巻く“政治的な思惑”である。特に最近では、他国との対立構造の中でサイバー攻撃が実行されることも増え、「サイバー戦争」という表現も日常的に見られるようになった。

　ただしヒッポネン氏は、「戦争」という言葉の扱いに対しては慎重な姿勢を示す。

　「『サイバー戦争』と呼ぶからには、実際に国家間で戦争または紛争が発生していることが前提だ。よく混同されるのが、政府機関などによる『サイバー諜報活動』。あれは諜報活動であって戦争ではない」

　諜報活動が一線を越えた事例も過去にはある。イランの核融合施設に不具合を発生させ、装置を破壊したとされるStuxnetマルウェアだ。攻撃の背後には、イランの核開発の阻止を目論む米国とイスラエルがいたと見られている。「もっとも、あれは（諜報活動の枠を超えた）“サイバー破壊活動”ではあっても、両国間が戦争状態、紛争状態にあったわけではない。よって、サイバー戦争ではない」。

　サイバー戦争の定義に当てはまるものとして、ヒッポネン氏は、2015年と2016年にウクライナの変電所で発生したサイバー攻撃を挙げる。「宣戦布告こそないものの、ロシアとウクライナは長らく緊張状態にあり、銃撃戦も発生している。紛争状態にある中でのサイバー攻撃をサイバー戦争の一環と捉えることは可能だ。これはただの意味解釈の問題ではない。戦争状態がなければ、『戦争』という言葉を使うべきではない」。

　ちなみに、民間企業が海外の国家主体の攻撃グループや軍のサイバー部隊からの攻撃を受けたとしても、防御にあたるのは自国の国家組織や軍ではなく企業自身、つまり民間の組織や人だとヒッポネン氏は説明する。たとえ電力や水道などの重要な社会インフラであっても、民営事業であれば基本的には自ら防御することになる。サイバー空間には“領土”という概念がないためどこまで防衛すべきかの判断が難しく、また実際にシステムを運用している人でなければ、具体的な防御の方法を考えることが難しいからだ。

　すなわち軍のIT部門が守るのは、あくまでも自組織（軍隊）や国家組織のシステムやネットワークが中心となる。民間企業に対する攻撃元への反撃（報復攻撃）も考えられるが、それこそサイバー戦争の引き金を引いてしまうことにもなりかねず、安易に実行できるものではない。

　「フィンランド軍のIT／サイバーセキュリティ担当部署を指揮する尉官と話をしたことがある。彼曰く、外部の人にサイバーセキュリティ業務に就いていることを説明するたびに、ほとんどの人が『フィンランド軍は民間企業や国民が外国からサイバー攻撃を受けたときに戦ってくれる』と勘違いしていることに気付かされると、そう明かしてくれた」

セキュリティ業界の倫理観は変わったか

　近年では、セキュリティ企業もこうした“政治的な思惑”から無関係ではいられなくなっているように思われる。セキュリティ企業が、サイバー上の諜報活動や破壊活動、プロパガンダなどを支援することについては、どう考えるのか。

　「なかなか複雑な問題だ」と述べたヒッポネン氏は、丁寧に言葉を選びながら、一部の企業を間接的にこう批判した。

　「たとえばゼロデイ脆弱性を発見しても開発元に報告せず、それを攻撃するツールを作成して、各国政府や諜報機関、その他の最高額入札者に売りつけるエクスプロイトのブローカーがいる。そうした存在を自分はどう評価するのか、ずっと考えてきた。そうしたツールの販売そのものは、武器輸出規制に該当する可能性はあるものの、基本的には違法行為ではない。ただし、ビジネスとしては大いに問題があると思う」

　なぜならば、このビジネスでより多くの利益を上げるためには、できるだけ長い期間、開発元がゼロデイ脆弱性に気づかないことが必要だからだ。大勢のユーザーを長期間、未知の脅威にさらし、攻撃されても問題ないと考えている――。「これは、本来のセキュリティ企業とはまったく逆の思想だろう。そんな行為を犯す企業は、セキュリティ企業ではない」。ヒッポネン氏はそう断言する。

　とは言え、一部にはそうした企業が存在するのも事実だ。この30年間で、セキュリティ業界やセキュリティエンジニアの倫理観も変化してしまったのだろうか。

　「一昔前は、どんなことでも白黒付けられると誰もが思っていた。だが、物事はそれほど単純ではない。セキュリティ企業はペネトレーションテストの依頼を受けて、システム上の安全性を調査するために攻撃ツールを作成する。エクスプロイトを実行することもあれば、侵入に成功したシステムで権限昇格が可能かをチェックすることもある。攻撃者の視点で調査し、防御につなげる。今では一般的な対策も、20年前は悪意ある行為に分類されていた。その意味で、現在は正当な行為も“灰色の影”に染まっているのかもしれない」