「ファイアウオールや攻撃検知など既存の対策に加え、システムの設計段階からセキュリティを組み込む『Security3.0』が必要だ――」

 華為技術(ファーウェイ)プロダクト・ソリューション グループ セキュリティCTO(最高技術責任者)のトビアス・ゴンドロム氏は、2017年7月14日に米ガートナーが都内で開催したイベント「セキュリティ & リスク・マネジメント サミット 2017」でこのように語った。

 ゴンドロム氏は、中国の通信機器大手である華為技術が製造するほぼ全ての製品のセキュリティに責任を持つ。

 20年超にわたり、セキュリティ分野で活動しており、インターネット標準化団体のIETF(Internet Engineering Task Force)でセキュリティ関連のWG議長など要職を務めたほか、Webアプリケーション向けセキュリティ診断標準などを策定するOWASP(Open Web Application Security Project)の議長を2015年まで務めた。

 ランサム(身代金)ウエア「WannaCry」などのセキュリティ事件から得られる教訓と、次世代のセキュリティ対策「Security3.0」が意味するところについて、ゴンドロム氏に聞いた。

(聞き手は浅川 直輝=日経コンピュータ


――これまでのセキュリティ分野との関わりは。

写真●華為技術(ファーウェイ)プロダクト・ソリューション グループ セキュリティCTO(最高技術責任者)のトビアス・ゴンドロム氏
写真●華為技術(ファーウェイ)プロダクト・ソリューション グループ セキュリティCTO(最高技術責任者)のトビアス・ゴンドロム氏
[画像のクリックで拡大表示]

 学生のときにインターネットに出会って以来、20年ほどセキュリティを仕事にしてきた。企業のCISO(最高情報セキュリティ責任者)などにセキュリティ管理を助言していたほか、IETFに15年ほど参加して電子署名、ハッシュアルゴリズム、Webサイト保護、中間者攻撃対策、DDoS(分散型サービス妨害)保護の仕様策定に関わった。

 IETFは非常に面白いスペースだ。グーグルをはじめ大手IT企業は最もスマートな人材を送り込んでくる。IETFには常に“スプートニク級”の挑戦的な課題が持ち込まれるが、天才たちが卓越したアイデアで次々に克服する。

華為技術に入社したきっかけは。

 それまでは香港とロンドンを拠点にセキュリティについて助言する仕事をしていたが、顧客の1社だった華為技術から声がかかったのがきっかけで、2015年に入社した。IETFには華為技術の技術者も参加しており、よく知っていた。

華為技術での役割は。

 「華為技術の製品をセキュアにすること」だ。ルーター、サーバー、基地局設備、IoT(インターネット・オブ・シングズ)やSDN(ソフトウエア・デファインド・ネットワーク)関連製品などについて、セキュリティを考慮した設計やアーキテクチャーの採用、セキュアコーディングの社内教育などを担っている。スマートフォンを除く全ての製品が私の管轄だ。

米政府は中国企業である華為技術の製品を信用せず、調達品から除外している。顧客に対し、どのようにして製品がセキュアだと証明するのか。

 華為技術は私が知る限り、顧客から最もテストやレビューを受けている企業だろう。

 華為技術が中国企業であることに懸念を持つ顧客に対しては、我々はその懸念を聞き、セキュリティ対策を含めて我々がしていることを顧客に公開し、顧客による製品テストを受ける。そうして初めて、顧客は我々を製品を信頼し、購入してくれる。

パッチ公開から2カ月は長すぎる

ランサムウエア「WannaCry」の被害から、企業はどのような教訓を学べばよいか。

 2017年5月に登場したWannaCryの進化はとても速く、世界各地に素早く拡散した。ただ、WannaCryのようなマルウエアの発生は2017年3月の時点で予測できた。米マイクロソフトが3月、のちにWannaCryが攻撃対象にした脆弱性のパッチ(修正ソフト)を公開していたからだ。

 2017年4月には、「Shadow Brokers」を名乗る集団がその脆弱性を突く攻撃ツールを公開した。Shadow Brokersの主張によれば、このツールは米NSA(米国家安全保障局)が開発したもので、NSAのサーバーから盗み出したという。これが、企業にとって2度目の警告のサインだった。

 だが多くの企業はサインに気づかず、結果として多くの企業はWannaCryの登場に狼狽することになった。

 企業によっては、パッチと業務システムの相性をチェックするため、パッチの適用を遅らせることがある。とはいえ、WannaCryの件を考えると「(パッチ公開から)2カ月は長すぎる」と言える。自動テストを導入するなどして、パッチ公開から適用までの期間を短くする必要がある。

 Windows XPなどサポートが終了したOSを使い続けることは賢い選択ではない。インターネットに接続するのは極めて危険であり、工場でやむを得ず使う場合は仮想化技術などを使ってネットワークを隔離する必要がある。