ガートナー ジャパン
メインメニュー ホーム リサーチ コンサルティング ベンチマーク エグゼクティブ プログラム イベント 会社情報 メインメニュー
SAMPLE RESEARCH

サンプル・リサーチ

デジタル・ビジネスにマイナスとなるFBIからの
セキュリティ・レベル引き下げ要請

インフラストラクチャ (INF) /INF-15-21
Research Note
J. Heiser
掲載日:2015年5月25日/発行日:2015年2月20日


本リサーチ分析レポートのテーマに関心をお持ちの方は、2015年7月13(月)〜15日(水)に開催する「セキュリティ&リスク・マネジメント サミット 2015 」のページを是非ご覧ください。(イベント終了後も開催実績としてご覧いただけます)


最近、FBIがスマートフォンの暗号化レベルの「引き下げ」を求めているが、こうした動きは、 ガートナーの顧客にとってメリットがない。CISOは、パフォーマンス、柔軟性、収益性を犠 牲にすることなく信頼性のレベルを引き上げる暗号化の強化活動を推進し、デジタル・ビジ ネスを実現する必要がある。



要約


主要な課題


  • 米国政府は、暗号化の利用拡大阻止と有効性の低減を目的に、現在の暗号化テクノロジがセキュリティ・リーダーの信頼できるセキュリティ・レベルを発揮できないよう、意図的に弱体化させている。
  • FBIのコメイ長官がGoogleとAppleに圧力をかけ、両社がそれぞれ最近発表した暗号化強化の成果を弱体化させようと試みている。こうした動きは、企業と個人のセキュリティを確保しようとしている最高情報セキュリティ責任者(CISO)の目標達成を阻むものである。
  • 金銭目的による個人情報やクレジットカード情報の窃盗は今後も続くため、CISOはさらに強力で高度な暗号化テクノロジを入手する必要に迫られる。
  • 各国政府が法執行機関によるデジタル・データへのアクセスの容易化を目指して現在進めている取り組みは、全世界のハイテク市場を弱体化させ、ひいてはCIOが利用できる製品とサービスが減少するという望ましくない影響を及ぼす。

推奨事項

  • CISOは、暗号化テクノロジの設計に関し、今後のロードマップ改善を含めた仕様書が充実し たテクノロジ/サービス・プロバイダーを選定する。
  • CISOは、高度な暗号化/キー管理テクノロジの選定と、その利用に必要なスキルを、社内の 要員として確保する。
  • クレジットカード決済代行事業者は、カード情報の窃盗が発生した場合に受ける影響を緩和 するために、暗号化ベースの仕組みを利用して新たな標準を開発するよう、業界に要請する。
  • クラウド、デバイス、通信サービスを購入する企業は、自社の暗号化キーを自社のみがコン トロールできる暗号化アーキテクチャを提供するよう、ベンダーに要求する。




戦略的プランニングの仮説事項

2019年までに、サービスとしてのソフトウェア (SaaS) の80%は、デフォルトで暗号化をサポートするようになる。



分析

FBIのコメイ長官は、2014年10月16日の講演で、GoogleとAppleの両社が新たにデフォルトで提供する ことになった保護メカニズムを批判した。市場における暗号化の需要の高まりは両ベンダーの「認識」 にすぎないとした上で、「暗号化によって、世界中の人が暗黒世界に引き入れられる」と警告してい る (根拠1、2参照)。同長官のコメントは政府高官が同様の批判を展開している流れに沿ったものであり、 暗号化を「悪人」が利用するとFBIの業務に支障を来すということを正しく指摘している。残念ながら、 同長官は、暗号化の利用拡大と高度化によって現在のデジタル犯罪を大幅にレベルダウンできる点を 認めていない (根拠3参照)。

確かに、暗号化は絶対的に確実な形態のテクノロジではなく、あらゆるユースケースに応用できるも のでもない。しかし、暗号化を利用すればデジタル・ビジネスの信頼性を改善できるにもかかわらず、 普及率は依然として低い。したがって、すべての一般消費者と企業が、強力な暗号化テクノロジを信 頼できる方法で利用できるようになることが望ましい。また、企業には、暗号化テクノロジを正確に 評価して導入できる高度なスキルを有した人材が必要である。暗号化は、物理的にコントロールする ことができないデータを保護できる最も効率的な形態のテクノロジであるため、クラウド・コン ピューティング、モバイル・デバイス、モノのインターネット (IoT) 内にあるデータを保護できる唯一 の実用的なメカニズムとなっている。強力な暗号化は、デジタル・ビジネスが繁栄するための土台で あり、デジタル・ビジネスのユースケースにおいてさらに進化し、今後もリスク緩和に不可欠な役割 を担うことになる。

企業は、CIOやCISOの指揮の下、暗号化の利用を縮小するのではなく拡大する方法を立案しなければ ならない。ハードウェア、ソフトウェア、サービスに関するテクノロジを担当する製品プランナーは、 顧客に、一段とレベルを引き上げた暗号化を提供しなければならない。FBIの所見は、個人が自己防衛 する権利や、企業が顧客および収益源を保護しなければならない責任よりも、FBIが抱えている犯罪者 を追跡するニーズを重視したものであり、デジタル・ビジネスに痛手を与える可能性がある。



図1.政府による暗号化コントロールの結果の影響と主要推奨事項

出典:ガートナー (2014年11月)
* 表をクリックすると拡大表示します。




影響と推奨事項

米国政府は、暗号化の利用拡大阻止と有効性の低減を目的に、現在の暗号化テクノロジがセキュリティ・リーダーの信頼できるセキュリティ・レベルを発揮できないよう、意図的に弱体化させている

米国などの政府は、数十年前から暗号化メカニズムの可用性と信頼性を低減させる取り組みを着々と進めている。1990年代には、いわゆる「暗号戦争」において、活動家と業界が、政府の押し付けによるいくつかの形態の暗号化コントロールをうまく回避した。その一例は、Law Enforcement Access Field(LEAF) というバックドアである。しかし、米国政府が25年にわたり暗号化テクノロジの国外利用をコントロールした結果、商用製品で利用できる暗号化メカニズムの可用性と強度がいずれも大きく低下した (根拠4参照)。

21世紀初頭には、ハイテク業界側は強力な暗号化をめぐる争いが終結したと考え、胸をなで下ろしていた。しかし2013年にスノーデン氏が「米国国家安全保障局 (NSA) によって米国国立標準技術研究所(NIST) の暗号化標準 (世界中で広く導入されている標準) が弱体化されている」と暴露したため、政府 が暗号化の弱体化を引き続き着々と進めている実態が明らかになった (根拠5参照)。また、報道によると、NSAはSecure Sockets Layer (SSL) のHeartbleedバグをはじめとする広範な暗号化セキュリティ・ホールを認識していたが、政府による監視を容易にするために、故意に放置していたことが明らかになっている (根拠6参照)。

こうして数十年にわたって政府などが暗号化テクノロジの可用性、洗練度、信頼性を時には公然と、また時には秘密裏にコントロールしてきたことの後遺症として、暗号化テクノロジの現状は本来ある べき姿から何年も遅れている。



推奨事項:


個人所有デバイス内やパートナー企業の社内で、企業データがインターネットにさらされるデジタル環境が急速に進化しているため、ITリーダーはデータ保護戦略を進化させる必要がある。BYOD (個人所有デバイスの業務利用) やクラウド関連のユースケースといったシナリオが増加しているため、機密情報の悪用を低減するには、信頼性と効率に優れた暗号化メカニズムを利用するしかない。スタッフに暗号化の対応をさせるには、暗号化に伴う制約を回避する能力と適切なベンダーを見つける能力を備えた経験豊富なセキュリティ専門家を確保する必要がある。そのために、以下を行う。

  • CISOは、暗号化の適切な利用と暗号化キーの管理に必要なスキルを、社内に確保する。
  • CISOは、パートナーおよびテクノロジ・ベンダーと共同で、国際的な標準に基づいて独立系 機関が検証した暗号化テクノロジを、自社の戦略的デジタル・ビジネス・プログラムにおい て支持する。
  • 高等教育機関は、コンピュータ・サイエンスを履修する全学生を対象として、暗号化の入門 コースをカリキュラム内で必修とする。大学院生に対しては、新たなアルゴリズムとテクノ ロジの研究を奨励する。

FBIのコメイ長官がGoogleとAppleに圧力をかけ、両社がそれぞれ最近発表した暗号化強化の成果を弱体化させようと試みている。こうした動きは、企業と個人のセキュリティを確保しようとしているCISOの目標達成を阻むものである

FBIは個人と民間企業を対象に暗号化の利用制限を拡大しているが、この活動に対する国民と政界の支持は弱い。とはいえ、米国政府が世界最大のハイテク製品ユーザー (2011年の1年間で約800億ドル [根拠7参照]) であることに変わりはなく、実際に規制を行わなくてもハイテク・ベンダーに経済面から圧力をかけることができる。

どのテクノロジも、好ましい影響と好ましくない影響の両方をもたらす。暗号化を日常的に利用することが犯罪の減少につながるというメリットは、暗号化が犯罪を助長する可能性を大幅に上回る。米国政府(法執行機関を含む)は、サイバー犯罪に対抗するに当たり、暗号化の利用拡大を奨励する必要 がある。

FBIが暗号化の利用阻止を試みている一方で、他の政府機関は暗号化テクノロジを利用していない企業 に罰金を科している。米国連邦通信委員会 (FCC) は最近、個人情報を公開した状態で放置していた通 信事業者2社から1,000万ドルの罰金を徴収している (根拠8参照)。個人情報保護の責任を政府機関に負 わせるというグローバル・トレンドは、暗号化レベルの引き下げではなく引き上げを奨励するもので ある。暗号化レベルが低下すると、国外からの攻撃に対抗する能力も低下する。

暗号化の強化を政府が支持していないため、個人と企業は暗号化をユビキタス化するという考え方を 中心として、方向性を見直す必要がある。暗号化は、難解で専門的なメカニズムではない。データを 管理したいと考えている者やデータ管理に責任を負う者は、現在攻撃にさらされている (今後はさらに 攻撃対象が拡大する) データの多くに強力な暗号化テクノロジを慎重に適用すれば、当然のように保護 を強化できると考えてよい。



推奨事項:

  • ほぼすべての形態のネットワーク活動 (インターネットから隔離されていると考えられている ネットワークの利用を含む) で、暗号化を標準として扱う。
  • すべてのモバイル・デバイス、ノートPC、携帯電話、タブレット端末をデフォルトで暗号化 し、認証ステップを経なければアクセスできないようにする (「バックドア」の類いは一切設 けない)。
  • クラウド内での暗号化の利用が実用的に可能な場合は、必ず利用する。購入企業は、暗号化 の利用に自ら責任を負うか、またはセキュリティ・レベルが実証されている暗号化テクノロ ジを採用しているサービスを見つける。
  • クラウド・サービスやモバイル・デバイスを購入する企業は、暗号化キーを自社管理する (ク ラウド・サービス・プロバイダー [CSP] のスタッフ、外部の攻撃者、政府からデータを保護 する) オプションの提供をベンダーに要求する。

金銭目的による個人情報やクレジットカード情報の窃盗は今後も続くため、CISOはさらに強力で高度な暗号化テクノロジを入手する必要に迫られる


複数の国の政府が、数十年前から暗号化テクノロジの進化を食い止める取り組みを着々と進めている。 そのため、大手企業と顧客や知的財産の保護に責任を負うセキュリティ・リーダーは現在、進化の停 滞の悪影響を受けている。最近、複数の小売企業から数百万件のクレジットカード情報が盗まれたこ とが発覚しているが、こうした事件は複数の形態の暗号化で阻止できた可能性がある。少なくとも理 論上は、複数の小売企業から盗まれた暗号化カード情報の少なくとも一部は、静止状態の暗号化で保 護できた可能性がある。これは、2013年末から2014年末にかけて大きく報じられた複数の大規模な情報漏 洩事件で、暗号化が導入されていれば、理論上は顧客情報を保護できたのと同様である (根拠7参照) (「米 国TargetのようなPOSシステムのセキュリティ侵害を回避するには」INF-14-83、2014年6月30日付参照)。

突き詰めれば、金銭目的の詐欺行為は、クレジットカード情報を暗号化した上で保存することにさら に注力するだけでは決して根絶できるものではない。しかし、クレジットカードのトランザクション を円滑化するために使われているテクノロジを完全にアップグレードすると、詐欺行為の大幅な減少 につながる可能性がある。このアップグレードでは、暗号化に対応したメカニズムに基づくテクノロ ジによって、「カード番号を有する者は誰でも当該番号の正当な保持者である」という誤った想定に とらわれることなくトランザクションを検証する。EMV (チップとPIN) はこの方向に向けた一歩であ るが、オンライン・トランザクションを完全にサポートするには新たなメカニズムが必要である。デ ジタル・ビジネスをこうした面からサポートする高度な形態の暗号化の必要性が、業界内の刊行物ば かりでなく、一般向けのニュース・メディアでもようやく議論されるようになってきた (根拠9参照)。


推奨事項:

  • 小売企業や、小売業以外のカード決済代行事業者のうち、まだEMVをサポートしていない企 業は、改善されたグローバル標準であるEMVへの移行を促進する。同時に、さらなる変更が (特にカードを提示しない取引で) 既に必要になっているという現実を認識する。
  • 小売企業や小売業以外のカード決済代行事業者のCIOとCISOは、カード発行会社に対し、暗 号化トランザクションのメカニズムを利用する21世紀型クレジットカード・システムの具体 的なロードマップに取り組むようさらに要求し、その結果としてカード情報を機密データと して扱う必要性を解消できるようにする。
  • 大量の個人情報を扱っている企業のCISOは、漏洩や無許可のアクセスからデータ (サーバ上と 移動中システム内の両方のもの) を保護するために、暗号化の利用を検討する。

各国政府が法執行機関によるデジタル・データへのアクセスの容易化を目指して現在進めている取り組みは、全世界のハイテク市場を弱体化させ、ひいてはCIOが利用できる製品とサービスが減少するという望ましくない影響を及ぼす

1999年、Windowsの暗号化サブシステム向けにMicrosoftがリリースしたアップグレード内でstring _NSAKEYが発見された (根拠10参照)。2013年のReutersの報道によれば、NSAがある大手セキュリ ティ・ベンダーと締結した1,000万ドルの契約は、当該ベンダーが開発しその後広く普及した暗号化ラ イブラリのデフォルトのセキュリティ・レベルを引き下げたことに対する見返りであった (根拠11参照)。 それ以外にも、もっともらしい説明は存在するが、こうしたベンダーが暗号化に対抗する政府の基本 政策に沿って政府から金銭を受け取ったという事実は、米国内であれ米国外であれ、当然のことなが ら当該ベンダーに対する疑義を招くものである。米国外では、ハードウェア、ソフトウェア、クラウ ド・サービスの購入企業が声高に懸念を表明している。その懸念とは、米国政府による監視のみなら ず、同政府と取引している大手ハイテク・ベンダーが同政府の利益のために自社テクノロジを弱体化 させている可能性に関するものである。

米国は、現在でも多数のハイテク・カテゴリ (OS、ネットワーク、ハードウェア、パブリック・クラウ ド・サービスなど) でグローバル・リーダーの地位を維持しており、その評判が羨望の的となっている。 しかし、2013年にNSAによる監視のニュースが報じられると、米国製品のセキュリティと信頼性に関 する懸念が一層深まることになった。

法執行機関が暗号化を扱いたくないと考えるのはもっともであるが、デジタル・ビジネス、モバイ ル・デバイス、クラウド・コンピューティングからは、静止状態のデータと移動中のデータを信頼で きる形で保護する仕組みへのニーズが生じており、このニーズを満たすのは困難になっている。米国 企業の信用失墜を受けて、既に複数の市場で現地企業の製品の採用が進んでいる。一部の国 (特にブラ ジル) の政府は米国製品の使用を控えることを奨励しており、禁止している国もある (「Brazil's Response to NSA Surveillance Could Become a Compliance Model for Other Nations」参照)。米国ベンダーの信頼性に 関してグローバル市場を納得させたい場合、政府高官がセキュリティ・レベルの引き下げを目指して 公然とベンダー各社に働きかける活動は、考え得る最悪のアプローチである。

米国の政府高官は、犯罪捜査と対テロ活動を目的とした監視にどれほど影響が及ぼうとも、信頼でき る暗号化の普及に対する需要がグローバル規模で拡大している現実を認識しなければならない。米国 のベンダーがデジタル・ビジネスのセキュリティ・ニーズを満たす活動に消極的になった場合、市場 動向を受けてオープンソースと米国以外のベンダーという選択肢が有望になる。国を問わず、セキュ リティの高い製品を提供している魅力的なベンダーであるとの評価を得たいハイテク・ベンダーは、 品質と信頼性を実証する手段 (国際標準を採用し、コードとプラクティスのレビューを独立系機関に依 頼するなど) を見つける必要がある。

サービス・プロバイダーが (現行標準どおり) 顧客のキーにアクセスできる場合でも、不注意により紛 失または削除した顧客データを、バックアップから復元できるわけではない。ただし、顧客のキーに アクセスできるサービス・プロバイダーの悪意あるスタッフや、捜査令状を入手した政府機関関係者 であれば、顧客企業側のスタッフと同様に、簡単に企業データをデコードできる。部外者がキーを秘 密裏に入手できないようにする唯一の方法は、キーを自社内で管理することである。



推奨事項:

  • クラウド、デバイス、通信サービスを購入する企業は、自社の暗号化キーを自社のみがコン トロールできる暗号化アーキテクチャを提供するよう、ベンダーに要求する。
  • CISOは、重要なデータを保護する際には、製品ベンダーのコントロールから完全に外れてい る暗号化メカニズムを調査する。


推奨リサーチ

  • 「Four Highly Disruptive Factors Will Challenge the Survival of Incumbent Data Center Market Vendors」
  • 「データ・セキュリティとコラボレーション・セキュリティのハイプ・サイクル:2014年」 (INF-14-125、2014年9月19日付)
  • 「Hype Cycle for Privacy, 2014」
  • 「スノーデン事件の影響:データ・レジデンシに関する問題」(INF-14-105、2014年8月20日付)
  • 「Revelations of National Surveillance Activities Should Inform Public Cloud Use Assessments」
  • 「Brazil's Response to NSA Surveillance Could Become a Compliance Model for Other Nations」
  • 「What's Changing and How to Respond to PCI v3.0」
  • 「Market Guide for Online Fraud Detection」
  • 「Identity Proofing Revisited as Data Confidentiality Dies」
  • 「2014年の展望:監視とプロファイリングがプライバシー関連のレピュテーション・リスクにつながる」(INF-14-20、2014年2月28日付)
  • 「Maverick*リサーチ:ビッグ・データ、ビッグ・アルゴリズム、モノのインターネットがもたらす監視 国家とストーカー・エコノミーの世界」(INF-14-12、2014年2月10日付)

根拠

  1. FBIのコメイ長官による講演 (Brookings Institution、2014年10月16日) の書き起こし:『Going Dark: Are Technology, Privacy, and Public Safety on a Collision Course?』( http://m.fbi.gov/#http://www.fbi.gov/ news/speeches/going-dark-are-technology-privacy-and-public-safety-on-a-collision-course )
  2. E. Tucker、J. Gillum共著『FBI: Cellphone Encryption Would Impede Criminal Investigations』 ( http://www.pbs.org/newshour/rundown/fbi-cellphone-encryption-impede-criminal-investigations/ ) (PBS、 2014年10月16日付)
  3. C. Cohn著『EFF Response to FBI Director Comey's Speech on Encryption』(https://www.eff.org/deeplinks/ 2014/10/eff-response-fbi-director-comeys-speech-encryption) (Electronic Frontier Foundation、2014年10月 17日付)
  4. 米国の暗号輸出規制の概要( http://ja.wikipedia.org/wiki/%E3%82%A2%E3%83%A1%E3%83%AA%E3% 82%AB%E5%90%88%E8%A1%86%E5%9B%BD%E3%81%8B%E3%82%89%E3%81%AE%E6%9A%97% E5%8F%B7%E3%81%AE%E8%BC%B8%E5%87%BA%E8%A6%8F%E5%88%B6 )
  5. S. Pan著『NIST to Formally Reexamine Cryptography Standards Development Process』( http://jolt.law.harvard. edu/digest/privacy/nist-to-formally-reexamine-cryptography-standards-development-process ) (JOLT Digest、 2013年11月1日付)
  6. G. Nagesh著『Heartbleed Sheds Light on NSA's Use of Bugs』( http://www.wsj.com/articles/SB10001424 052702303887804579499801713379952 ) (The Wall Street Journal、2014年4月13日付)
  7. S. Lohr著『U.S. to Close 800 Computer Data Centers』( http://www.nytimes.com/2011/07/20/technology/ us-to-close-800-computer-data-centers.html?_r=4& ) (The New York Times、2011年7月20日付)
  8. E. Schwartz著『FCC Fines Phone Companies $10M Over Data Security Failure』( http://dcinno.streetwise.co/ 2014/10/24/fcc-fines-phone-companies-10m-data-security/ ) (InTheCapital Streetwise Media、2014年10月 24日付)
  9. C. Lane, 『The Holidays Bring a New Season for Credit Card Breaches』( http://www.npr.org/2014/10/12/ 355511381/the-holidays-bring-a-new-season-for-credit-card-breaches ) (NPR、2014年10月12日付)
  10. Identity Theft Resource Centerによるデータ侵害に関する年次分析レポート『Data Breach Reports for 2014』( http://www.idtheftcenter.org/images/breach/DataBreachReports_2014.pdf ) および『2013 Breach List』( http://www.idtheftcenter.org/ITRC-Surveys-Studies/2013-data-breaches.html )
  11. Windowsの_NSAKEYの概要 ( http://en.wikipedia.org/wiki/NSAKEY )


その他の根拠

  • J. Menn著『Secret Contract Tied NSA and Security Industry Pioneer』( http://www.reuters.com/article/2013/ 12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220 ) (Reuters、2013年12月20日付)
  • Public Law 103-414 『Communications Assistance for Law Enforcement Act』( http://en.wikisource.org/wiki/Communications_Assistance_for_Law_Enforcement_Act ) (The 103rd Congress of the United States、Pub.L.103?414, 108 Stat. 4279, H.R. 4922、1994年10月25日成立)
  • 『Announcing the Advanced Encryption Standard (AES)』( http://csrc.nist.gov/publications/fips/fips197/fips- 197.pdf ) (National Institute of Standards and Technology [NIST]、Federal Information Processing Standards Publication 197、2001年11月26日付)
  • 『Request for Comments: Strong Security Requirements for Internet Engineering Task Force Standard Protocols』 ( https://www.ietf.org/rfc/rfc3365.txt ) (Massachusetts Institute of Technology、2002年8月)
  • B. Schneier著『International Cryptography』( https://www.schneier.com/essays/archives/1999/09/international_ crypto.html ) (Schneier on Security、1999年9月)
  • 『Request for Comments: Advanced Encryption Standard (AES) Encryption for Kerberos 5』( http://tools.ietf.org/ html/rfc3962 ) (Massachusetts Institute of Technology、2005年2月)


(監訳:石橋 正彦)


INF:INF-15-21 (G00271676)
※本レポートの無断転載を禁じます。


←INDEXに戻る

 

gartner.com
TOP OF PAGE
Copyright