Cisco Systemsは2005年夏、あるセキュリティ研究者を提訴したことでセキュリティ関連コミュニティの怒りを買った。
同社が訴えたのは、Ciscoのルータおよびスイッチ用ソフトウェアに存在するセキュリティの欠陥を公開したセキュリティ研究者だった。Ciscoはそれまでにもサイバー攻撃の的となっていたが、この提訴によって、同社のセキュリティチームはさらなるプレッシャーにさらされることになった。
例えば、Ciscoが提訴したセキュリティ研究者と和解した後すぐに、同社のウェブサイトに何者かが不正に侵入した。Ciscoは顧客に注意を呼びかけ、パスワードを変更するように通知した。
John Stewart氏はCiscoの最高セキュリティ責任者(CSO)であり、同社のITセキュリティチームと、セキュリティに関連する複数のグループを率いている。同氏は部下とともに、6万台を超えるPCおよび5万台のVoIP電話(インターネット電話)を含む数え切れないほどのネットワーク接続機器が接続され、約4万人のユーザが利用するネットワークの安全性を守ろうとしている。
Stewartは、先ごろカリフォルニア州サンノゼで開催されたセキュリティ関連カンファレンス「RSA Conference」の前日にCNET News.comとのインタビューに応じ、その責務について話をした。
--Ciscoという企業を標的とするサイバー攻撃が激しくなっています。ハッカーたちからの攻撃を防ぐために、どんなことをしているかを教えてください。簡単な解決策というものはあるのでしょうか。
簡単な解決策があるとは思っていません。われわれの対処法を端的に述べるとすれば、われわれは攻撃者の立場で考える努力を続けていく、ということになるでしょうか。防御手法を考える最善の方法は、攻撃手法を考えることです。それを実現するための手段は、テクノロジーから、人々にリスクを認識させるための教育・訓練方法についてまで、すべてのことにかかわってきます。そして理想的には、セキュリティをあらゆるネットワークの必須要件とし、人々の意識に浸透させることにまでかかわってきます。
--セキュリティというと、多くの人々が最新のパッチや、新しく発見された脆弱性のことを口にします。あなたはセキュリティをこのように捉えていますか。
いいえ。パッチや脆弱性といったものは、既知の脅威に関することがほとんどで、たいていの場合はその問題を解決する技術が存在しているものです。人は、さまざまな種類の問題を一括りにして考えがちです。しかし、パッチというのは、セキュリティ問題であると同時に、ユーザの利用可能性という問題でもあるのです。また、ウィルスは、技術上の脅威であると同時に、ユーザの認識に関する問題でもあります。こういった類の問題を重点的に取り扱おうとする上で、われわれは人にかかわる問題をまず採り上げ、それを定義してから、問題を緩和するための技術的解決策を求めていきたいと考えています。
--Ciscoにおけるセキュリティと、Ciscoネットワークの防御という観点でいうと、あなたにとっての大きな問題とはどんなものですか。
われわれ全員が現在直面している脅威は、金銭目的の人間によって引き起こされています。以前であれば、脅威といっても、人に迷惑をかけたり、サービスに影響を与えるといった類のものでしかなく、損害を与えたり、盗みを働くといったことを実際の目的とはしていませんでした。しかし、現在では状況が異なっています。盗難や損害をいかに最小限に抑えるかということが問題になっているのです。これが、2〜3年前に直面していたことと最も違っている点です。