RSAが脆弱性のあるアルゴリズムを故意に採用し、NSAから報酬を得ていたという報道をきっかけに、RSAとNSAの関係が取り沙汰されてきた。Computer Weeklyは、あらためてコビエロ会長に疑惑をぶつけてみた。
米ストレージベンダーEMCのセキュリティ部門であるRSAは、2014年2月に米サンフランシスコで恒例のカンファレンス「RSA Conference 2014」を開催。RSA会長兼EMC副社長のアート・コビエロ氏が基調講演を行った。そのスピーチは、同社と米国国家安全保障局(NSA)との関係についてのうわさを払拭するどころか、同社に対する疑惑の念を一層深めるものだった。RSAがNSAに協力して、広く利用される暗号化ツールに脆弱性のあるアルゴリズムを故意に採用したという参加者の告発に、同カンファレンスの議長(RSAの幹部)は時間を無駄にすることなく対処した。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月16日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
RSAがNSAに協力した件については、公的な記録にどう残るかの問題だ。だがNSAは、情報を収集する組織として一枚岩だったわけではないとコビエロ氏は強調する。コビエロ氏によると、RSAが接触していたのはNSA内でデータシステムと米国の重要な情報基盤を保護することを目的とする「Information Assurance Directorate」(IAD: 情報保障局)という部門で、IADは情報セキュリティ上の脅威に関する貴重な情報も提供しているからだという。
また同氏は、NSAがセキュリティ専門家のコミュニティーの中で信用を得ていたのをいいことに、安全保障と情報収集の間の役割分担を曖昧にしてしまったことが、最近取り沙汰されている問題につながったと付け加えた。
「今あらためてわれわれが無心になって周りの現実を見て、 われわれの業務の基準はどうあるべきかを問い直し、(暗号化キットに採用した)テクノロジーを振り返ると、実際に協力していたのはNSAのどの部署だったのか、NSA側のもくろみは何だったのか、 そしてわれわれはそもそもNSAに協力するべきではなかったのか、何も確信が持てない」とコビエロ氏は語る。
しかし事態は収束にはほど遠く、コビエロ氏の講演を聞いた会議の参加者たちも、同氏の真意を測りかねていた。(安全保障と情報収集の間の)線引きを曖昧にしたのはNSAなのか。NSAの誘導に乗って、RSAは道を踏み外したのか。コビエロ氏の発言の真意は何だったのか。
本誌Computer Weeklyはこれらの点について、コビエロ氏にあらためて問いただした。同氏の答えは次のようなものだった。「私が言いたかったのは、今はまだ何も分からないということだ。現在問題視されている点は、全て推測の域を出ない。NSAが(政府組織として、自国の情報を収集しやすくする暗号化技術を暗黙のうちに普及させるために)民間企業に何か働きかけをするなら、それは問題だ。また仮にNSAが既にそんな行動を取ったとすると、それも問題だ。ただ、これはあくまで『たられば』の話だ。だから今私が答えられるのは、何も分からない、ということだけだ」
一方コビエロ氏は、理論的には攻撃があり得るという懸念から、特定のアルゴリズムの使用を停止せよという勧告をNIST(National Institute of Standards and Technology:米国国立標準技術研究所)から受けた際に、RSAは早急に対応したという。
「そもそも2000年に、当社の暗号化製品の事業は縮小し始めたということを忘れないでいただきたい」と同氏は付け加える。
「(2000年の時点で)暗号化事業の縮小は避けられないと認識したので、以後は政府機関に協力して暗号化標準の策定に関与する立場から少し距離を置いて、単なる協力者として活動してきた」(コビエロ氏)
こうして存続させてきたRSAの暗号化事業とは、NISTが主体となって進めるアルゴリズム仕様の標準化にRSAが協力し、策定された仕様をRSAは自社製品に組み込むというものだった。
暗号化の世界でのRSAの存在感は小さくなっていたし、同社の製品は主に米連邦政府に納入していたので、同社には他社がつかんでいる以上の情報を得る手段もなかったとコビエロ氏は主張し、次のように語る。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 4月2日号:中古ソフトウェア販売は著作権侵害か?
Computer Weekly日本語版 3月19日号:新CEOは迷走するMicrosoftを救えるか?
Computer Weekly日本語版 3月5日号:サーバ市場を揺るがすIBM+Lenovo連合
Copyright © ITmedia, Inc. All Rights Reserved.
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。