「RSA Conference 2014」基調講演の悲喜こもごも

火消しで手いっぱいのRSA、スノーデンがかけた呪いの影響は？

2014年03月05日 06時00分更新

文● 谷崎朋子

2月25日から4日間、サンフランシスコのモスコーンセンターで「RSA Conference 2014」が開催された。参加者は2万5000人以上、出展社は4000と、去年から規模を拡大させた同カンファレンスも、RSAとNSA（国家安全保障局）の黒いうわさは、開催中も囁かれ続けた。同問題に触れた基調講演をダイジェストで振り返り、スノーデンがかけた呪いの影響を探る。

怖いほど無反応な参加者の前でスピーチするRSA

　「RSAは、NSAから脆弱性のある乱数生成アルゴリズム「Dual_EC_DRBG」を暗号化ツール「BSafe」で採用するよう言われ、1000万ドルの対価をもらった……」。エドワード・スノーデン氏が暴露したこのリーク情報は、今年のRSA Conferenceに大きな影響を与えた。

RSA Conference 2014の南側会場。基調講演や展示会場の1つがある。大通りを挟んだ北側にも展示会場があり、西側は主にテクニカルセッションが行なわれた

　F-Secureのミッコ・ヒッポネン氏、Googleのチーフセキュリティエキスパートのクリス・パーマー氏やアダム・ラングレー氏などは、同カンファレンスでの講演をボイコットすると表明した。また、同時期の27日には、モスコーネセンターに隣接するレストランで急きょ「TrustyCon」（https://www.trustycon.org/）が開催。「Technology should not only be Secure, it should be Trustworthy.（テクノロジーは安全だけじゃなく、信用も提供できないとダメだ）」を掲げ、ヒッポネン氏、ジェフ・モス氏、ブルース・シュナイアー氏、ケビン・ミトニック氏など、著名なセキュリティ専門家が集まり、抗議を込めたカンファレンスを行なった。

　そんな波乱の中、初日のオープニングでは「スタートレック」のカーク船長役で有名なウィリアム・シャトナー氏が歌を披露し、会場もやや暖まったが、RSA会長兼EMCエグゼクティブバイスプレジデント、アート・コヴィエロ氏が登場すると急速に冷えていった。

インパクトのある台詞で拍手をもらう予定が、逆に会場が静まり返るという悲劇に見舞われたアート・コヴィエロ氏

　「RSAの暗号化ツールキットで脆弱なアルゴリズムを標準採用していた理由は、単純だ。20年前の輸出規制時と同様、政府の要件に従ったからだ。2013年9月に利用禁止したのも、NIST（アメリカ国立標準技術研究所）のガイドラインへの迅速な対応の一環だ」。

　冒頭でそう述べたコヴィエロ氏は、「そもそも、（デジタルインフラの保護を目的とする）政府機関のIDA（情報保証局）との連携は、以前から公表している」と続けて、隠すことは何もしていないと強調。「ただし、NSAの役割が攻撃側なのか防衛側なのかが曖昧な現在、NSAとの連携は考え直すべきかもしれない」と述べた。

　もっとも、BSafeに採用された脆弱なアルゴリズムは、2007年11月のブルース・シュナイアー氏による指摘から、2013年9月に至るまで標準実装されていた。意図的かどうかは別にして、採用し続けてきた事実は動かせない。

　結局、うわさに対して明確な否定がなかったためか、インターネットの安全を保障するための4原則（サイバー兵器の放棄、サイバー犯罪者の捜査や逮捕への協力、インターネット上の自由な経済活動の保証、プライバシーの尊重）の提案も、アメリカ人の心に響くケネディ元大統領の台詞を多用した後半のスピーチも、上滑りしたまま終了した。

民間企業としての立ち位置を明確化したマイクロソフトとジュニパー

　では、この問題について参加企業はどう捉えているのか。

　コヴィエロ氏に続いて登壇したマイクロソフト副社長、Trustworthy Computing最高責任者のスコット・チャーニー氏は、「今もっとも必要なのは、プライバシーの取り扱いや情報開示の指針などを定めた、世界共通のデジタル世界の規範だ」と指摘した。これは、前段のコヴィエロ氏も述べていた。

　しかし、規範が成立するまで企業は待っていられない。そこで、マイクロソフトは判断がぶれないよう透明性のある原則を定めて、それに従って一貫したデータの取り扱いを行なっているという。

　「海外政府から米国政府によるバックドアを疑われたとき、要請に応じてソースコードを開示した。また、政府からユーザーのデータへアクセスしたいと裁判所命令が来たときは、それに従って特定のアカウントに関するデータを提供した。ただし、大量データを請求された場合は、断固拒否して戦う」。行動規範に一本の太い支柱があることが、不信の時代を乗り越える方法の1つのようだ。

Windows NT 4 Service Pack 5の1024ビット公開鍵に含まれる変数に「_NSAKEY」があって怪しいと疑われたとき、「そんなあからさまな名前を付けるか」と返したら、「そこがミソなんだよ」と言われて苦笑した逸話を明かすスコット・チャーニー氏

　続く基調講演では、ジュニパーネットワークスのセキュリティビジネスユニット担当上級副社長兼ジェネラルマネージャー、ナワフ・ビタール氏が登壇した。同氏は今回のボイコット活動に触れ、「ボイコットして無関心を装うのは、抗議活動ではない。異論があるなら、きちんとカンファレンスに参加して意見を戦わせるべきだ」と訴えた。

　そして、もっとも重要な資産である情報を守るためにも、受け身の対応で流すのではなく、積極的に難題に向き合うべきだと強調した。