--セキュリティエンジニアだけでなく、一般的なセキュリティについて開発者はどの程度理解する必要がありますか?

ヒッポネン氏:今日では、セキュリティは既存のプロジェクトに追加できるものではないため、そのほかのエンジニアもセキュリティエンジニアである必要があります。

プロジェクトの設計から実際に作業している、あらゆるレベルに組み込む必要があるのです。そして、多くの開発者にとってセキュリティは物事を遅くしたり、やりたいことを妨げたりするものとみなされる時もあります。しかし、セキュリティは邪魔でも遅くもありません。

セキュリティの実現はシステムが機能するための一部です。そのため、セキュリティでプログラムの実行を可能とし、組織の生産性向上や従業員が創造的になることができます。セキュリティに配慮しなければ、それがどのようにプロジェクトに影響を及ぼすかという実例もあります。

--開発者は常に技術開発に追われていますが、どのようにセキュリティについて学ぶべきなのでしょうか?

ヒッポネン氏:セキュリティに関する脆弱性は常に存在し、これは開発者にとって重要です。なぜなら、最近のセキュリティに関する問題を詳しく見れば、コードのダブルチェックや保管する情報の暗号化など、基本的な対策で緩和できるものだからです。

これらはプロジェクトに関係なく、すべての開発者にとって基本的なスキルです。そのようなことから、完全に新しい脆弱性を発見することは非常に稀なケースです。

開発者はすべての脆弱性を知らなくても後悔しないことから、防ぐことができないのです。しかし、防ぐことができれば、開発者が仕事をしない理由はありません。いつでもオンラインから簡単に安全なコードなどのリソースを得られるからです。

--開発者はスピード、アジリティに加え、セキュリティも担保しなければならないということですか?

ヒッポネン氏:これは、二律背反の話ではありません。時として時間を要することもありますが、セキュリティを実装することで速度が落ちるわけではなく、時間を節約することができます。なぜなら、コードの品質が向上し、クラッシュが少なくなるからです。セキュリティの脆弱性に関するもの、そうでない場合でもシステムのクラッシュを引き起こす、なにかしらのバグが好きな人はいません。

逆に脆弱性のないオペレーティングシステムを開発できると思いますか?なぜ、マイクロソフトは脆弱性のない本当に安全なものを作成できないのか、脆弱性は魔法ではなく、コードのバグです。コードのバグは人間が書いており、人々がコードを書いている限り、バグは発生します。

すべてのコンピューターがオンライン上に存在する前、1990年代にわれわれはシステムにバグを持っていました。しかし、これらのバグはコンピューターのクラッシュを引き起こすため、再起動してから作業を続ける必要がありました。今日ではすべてがオンライン上に存在し、バグはシステムをクラッシュするだけではなくなっています。

以前は無害と考えられていたバグでも現在では脆弱性となっています。しかし、脆弱性は単なるバグであり、ほかのバグと同様に処理します。わたしはテストと品質保証にかかわる人と多くの会議を持ちますが、品質保証が非常に重要である根本的な理由として、セキュリティを向上させるためにできることの1つだからだと考えているからです。

そして、デプロイする前にテスターがシステムから脆弱性を発見すれば、デプロイ前に修正することができます。これは、システムの設計段階から取り組むべきことです。

超大国間における新しいタイプの冷戦

--現在の国家間におけるサイバー攻撃の状況について教えてください。

ヒッポネン氏:アメリカは中国やロシア、北朝鮮から多くの攻撃を受け、自らも攻撃しています。これは、政府、民間どちらにも言えることです。アメリカを標的とするサイバー犯罪者は世界中に多く存在します。なぜなら彼らは大きな標的であり、多くの金銭を盗めるからです。

  • F-Secure CROのMikko Hypponen氏

政府としてのアメリカは、サイバー攻撃の発信元およびターゲットとして同様に機能しています。アメリカは他の攻撃者、例えば中国やロシアなどの多くの攻撃者は捕まらないように最大限の努力をするため、はるかに制限されていると思います。中国とロシアは、なにも起こらないことを知っているため気にしていません。

最近、中国のセキュリティ企業が公開した中国本土を標的とした政府への攻撃は、明らかにアメリカからのものであり、非常に稀なケースで有効なものでした。これはアメリカからすれば恥ずべきことではありますが、彼らはあらゆるレベルの知見を持ち、攻撃能力は世界一ですから、超大国間における新しいタイプの冷戦のようなものです。

わたしたちは核軍拡競争を経験していますが、60年前の話です。しかし、現在も似たような状況が迫ってきており、次の軍拡競争はサイバー競争が今後60年続くものと考えられます。わたしたちは、このフェーズの始まりにいる可能性があるのです。