「Kaspersky製品を排除する必要はない」 それでも残るリスクとは？：製品の排除で発生する危機

英国の国家サイバーセキュリティセンターは、Kaspersky製品を排除する必要はないという見解を示した。急いで排除することで別のリスクが生じるという。ただし、使い続けることにはさらに別のリスクがある。

[Alex Scroxton，Computer Weekly]

　英国の国家サイバーセキュリティセンターは2017年、ロシアなどの安全保障上の敵対国が製品やサービスのサプライチェーンに含まれる場合、そうした製品（クラウドも含む）の使用に潜むリスクに対処、理解、管理する方法を示した。NCSCは当時、Kaspersky Lab製品の有無を確認することを政府の関連部門に助言したという。当時のCEOシアラン・マーティン氏は英国議会の各事務次官に書簡を送り、最も差し迫ったリスクは「ソフトウェアを最新状態に保っていないこと」「ネットワークの構成管理が不十分なこと」「資格情報の管理が不十分なこと」だとアドバイスした。

　そして2022年。ロシアのウクライナ侵攻後に公開されたガイダンスにおいて、NCSCはKaspersky製品の使用を現時点で中止する必要はなく、賢明でもないとした。

　NCSCのイアン・レビィ氏（テクニカルディレクター）は、ウクライナへの軍事侵攻によって状況が変化し、Kaspersky製品やサービスのユーザーからの問い合わせに対応していると言う。

Kaspersky製品の使用を止めない理由とは？

iStock.com/Leestat

　「英国のほぼ全ての個人と多くの企業がロシアによるサイバー攻撃の標的になるのはほぼ間違いない。ロシア製品を使っているかどうかは関係ない。個人のノートPCでKaspersky製品を使っているからといって、直接標的になる可能性は低い。現時点では電源を入れても安全だ」

　「ただしKasperskyが制裁対象になったら新しいアンチウイルス製品が必要になるかもしれない。Kaspersky製品のアップデートが停止される可能性があるからだ。アンチウイルスソフトウェアは定期的に更新しなければ効果がない」

　レビィ氏によると、ロシア政府がロシア製品やサービスを買収して英国の権益を損なうことを計画しているという証拠はないが、「証拠がないからといって、そうした企てがないという証拠にはならない」という。

　「今回の軍事侵攻でかなり予測不能な状況に陥っている。NCSCは、制裁の可能性に備えることが賢明だと考える。状況が不確実な場合の最善のアプローチは、システムに可能な限りレジリエンスを持たせることだ」

　公共部門の各組織、ウクライナにサービスを提供する企業、侵害を受けると「ロシアが勝利をPRする」著名企業、重要な国家インフラを運営する企業、モスクワの利益に反すると認識される可能性がある活動を行っている組織（慈善団体やNGOなど）に対し、NCSCはKaspersky製品のリスク影響度を見直すように助言している。

　NCSCは、ロシア製品やサービスを排除したり契約が満了するのを待ったり、リスクを抱えて生活することを選んだりするなど、企業や組織が厳しい選択を迫られることは認識している。

　「どの対策を選ぶとしても、サイバーセキュリティによってさまざまなリスクのバランスが保たれていることを忘れてはならない。製品を急いで変更すると、守ろうとしているものが損傷する恐れがある」

　「標的になる恐れがあるかどうかにかかわらず、世界的な制裁はロシア製の技術や製品サポートを即座に停止しなければならないことを意味する可能性がある。その結果、新たなリスクが生まれる。それが自社のレジリエンスにどのように影響するかを検討し、緩和するための計画を考える必要がある」（レビィ氏）

　NCSCのガイダンスは、ドイツのサイバー当局のガイダンスに続くものだ。ドイツ当局のガイダンスに対しては、Kasperskyが怒りを表明している。Kasperskyは政治的な理由で不当に標的にされていると主張する。創設者のユージン・カスペルスキー氏は、Kaspersky製品がリスクの源だとほのめかすことは侮辱的だとし、同社がクレムリンの命令で運営されていない証しとして同社のグローバル透明性センターを挙げた。

　頻繁に更新されるアンチウイルスソフトウェアのコードを分析するのは難しい作業だ。Kasperskyがそのコードを開発するのに要した開発者と同じ数の担当者が作業する必要がある。

　「リスクに対しては合理的に対処する。何億行ものコードを監視して検証する方法がない透明性センターは、有用な措置ではない」（レビィ氏）

　NCSCのガイダンスはWebサイトで閲覧できる。

• 「Use of Russian technology products and services following the invasion of Ukraine」
• 「Managing supply chain risk in cloud-enabled products」