気が重くなる数字だ。推定7億件のデータ記録が2015年に盗まれた。何十億もの資金がコンピューター・セキュリティに費やされたにもかかわらず、攻撃を許す欠陥の修正は遅々として進まない。6月のレポートによれば、たとえば、金融機関が既知のオンライン・セキュリティ脆弱性を修正する期間は平均5カ月以上。
「セキュリティ業界は毎年750億ドルをかけて安全にしようと試みていますが、これが意味するのは、誰もがいつでもハッキングされているのと同じです」と、センチネルワンのセキュリティ戦略部ジェレマイヤ・グロスマン部長は、水曜日にラスベガスのブラックハットセキュリティ会議で語った。
しかし最近、グロスマン部長やセキュリティ業界の何人かのベテランは、ずっと楽観的になっている。非営利組織のサイバー独立試験研究所(CITL)が、ソフトウェア製品の安全性に点数を付け、比較する方法を開発し、企業はすぐに以前より強い経済的動機で、ソフトウェアの安全と保守に資金を投入すると見ているのだ。ウェブブラウザーやOSなどが対象で、消費者や企業を支援し、より安全な製品の選択を促し、データを危険にさらすソフトウェア製品に恥をかかせ、品質の改善を促すことが目的だ。
取り組みは、保険会社がセキュリティ侵害のリスクを理解することに関心を寄せることで動き出した。被害が減れば保険の支払いも減るので、保険会社はセキュリティに経済的な動機で注意を払うようになったのだ。同様に、保険会社も、保険業界の役割と同様に、自動車や電気製品の安全性を高めるよう、一般企業に圧力をかけられる。PwCの昨年のレポートでは、企業はデータ漏えい時のコストが急速に増大しているため、サイバー保険にますます依存せざるを得なくなっている。
CITLを設立したのはピーター・ザトコ(ハッカー名「マッジ」が有名)と、妻でセキュリティ研究者でもあるサラ。ザトコ夫妻は初の結果を水曜日にブラックハット会議で発表した。開発された分析方法では、異なるソフトウェアプログラムに広範なセキュリティスコアを割り当てられる。
CITLのモデルはコンシューマー・レポートだ。スコアは、非専門家だけでなく、より詳細な評価を業界のインサイダー向けに発表する。
「私たちは長年、人々にセキュリティに気を遣うよう促してきました。しかし、誰かが『わかりました。で、何をしたらよいのですか?』と尋ねられても、次のステップはかなり曖昧でした。どのブラウザーを使うべきかは助言できますが、その裏付けとなる証拠はそれほど多くもっていませんでした」
ザトコは、アップル製コンピューターのプログラムを攻撃する脆弱性を比較する予備的データを発表した。グーグルのChromeブラウザーはMac OS上で動作する全プログラム中75パーセンタイル(ぜい弱性が低い順に並べたときの相対的位置を示す。この場合、75パーセンタイルは、他の75%のソフトウェアよりも安全であるという指標)で、Safariは59だった。 マイクロソフトOfficeとモジラFirefoxブラウザーはもっと脆弱で、それぞれ37と35だった。CTCLはマイクロソフトのWindows 10を分析し、マイクロソフトは最新の手法を自社のOSに採用しているが、アップル製のPCについて、マイクロソフトとモジラはプログラムへの攻撃に対してソフトウェアを強力にする標準的な手法を採用していない、とCITLの詳細な分析は示している。
CITLは、ペンタゴンの研究部門である空軍研究所とフォード財団から資金を得た。最初の大規模データセットは来年初めに発表することを予定しており、データの使用に関心を抱く保険会社とはすでに協議中だ。
グロスマン部長が願いは、CITLの分析によって、企業がセキュリティ面での失敗の責任をとるようになることだ。いくつかの研究は、セキュリティ事象は企業の株価にほとんど影響を及ぼしておらず、法律上の賠償請求は通常は成功しないことを示している。ソフトウェアやセキュリティ製品を販売する企業も、従来型の商品やサービスで一般的な補償や保証を何も提供していない。
グロスマンの予想では、CITLや、セキュリティの脅威からの企業の回復力のスコアリングと比較の方法に取り組んでいる複数のスタートアップのデータは、保険会社にセキュリティへの姿勢を大転換させることになる。
グロスマンの推定では、企業が現在支出している年約35億ドルの保険料は、企業にデータ漏えいなどがあった場合に支払われが、その支出は年50%以上のペースで増大している。保険会社は現在、市場の拡大に焦点を当てており、保険料や支払いは企業のテクノロジーの状態を緻密に精査して決めているわけではない。しかし、そうするために必要な保険計理データの収集には取り組んでいる。「時間の問題だと思います。やがて情報セキュリティ業界の勝者は変化するでしょう」とグロスマン部長はいった。