第22回インターナショナルAVARサイバーセキュリティカンファレンス 基調講演者 ポール・ヴィクシー氏のインタビュー記事

ESET Corporate Blog  3 Oct 2019

インターネット業界のパイオニアであり、Farsight Security社の会長、 CEO、共同設立者でもあるポール・ヴィクシー氏は、1989年からのDNS(ドメインネームシステム)に関連する業績が評価され、2014年に「インターネットの殿堂」を受賞しています。その業績には、現在ほぼすべてのDNSサービスで使用されている監視およびフィルタリング機能の多くを発明したことも含まれています。

ヴィクシー氏は、2010年にDNSおよびDNSSECに関連する業務で慶應義塾大学から博士号を取得しています。

AVARサイバーセキュリティカンファレンスは、インターネットの進化に貢献しながら20年以上開催されてきました。日本で開催される今回のAVARサイバーセキュリティカンファレンスに参加されるAPAC地域の皆さんに向けて基調講演を行う前に、伝えておきたいことはありますか?

APAC地域のパートナーの方々と共に約20年間働いてきましたが、その過程で、アメリカなどの国家の人材の能力を凌駕する可能性のある多くのスマートで野心的な方々がいる地域があることがわかりました。それはAPAC地域です。家庭のインターネット環境は、日本や韓国では、アメリカよりもはるかに進歩しています。APACは、DNSのIDN(国際化ドメイン名)など、国際化のためのテクノロジーを推進したり、構築するための支援を行ったりしてきました。世界の各国はこういったAPACがもたらした恩恵を受けています。

ヴィクシー氏から見て、「太平洋の世紀(Pacific century)」は、インターネットの進化において独特の地位を占めると思いますか?

太平洋の世紀とは、アジア諸国の台頭に並行して、インターネットが経済的価値や文化的価値を伝達し作られていく過程が起こる時代だと私は考えています。 インターネットでは、特定の文化的規範が優先されるわけではありませんし、また管理者やユーザーが合意していればどのような形でも利用することができます。つまり、APACは近い将来、インターネット犯罪の影響を、世界の他の地域よりもはるかに大きく受けるようになるでしょう。

今年のテーマは「ハッカー対ホワイトハッカー:報復そして攻撃の帰属まで」というものですが、DNS(より正確には、DNSSEC)はこの最も深刻な「ゲーム」の中で、どのような役割を果たすべきでしょうか? 研究者、開発者、教育者は、DNSがインターネットの機能とインターネットのセキュリティに関するアクティビティの多くを支えているという事実に、十分な理解を示していると思いますか?

DNS名前解決の過程の管理をめぐる争いは30年間続いていて、多くのハッカー、企業、国家安全保障グループが、DNSが他のアクティビティの制御や監視のポイントにもなり得ることを評価し始めている現在、この争いはさらにヒートアップしています。安全性を維持するために、その他の技術関連のコミュニティやオンラインコミュニティも、DNSの威力と危険性を学ばなければいけません。たとえば DNSSECを使うと、活発なグローバルコマースシステムを構築できますが、WebコミュニティはDNSSECを使わない方法でその経済を成長させようとしています。もちろん、ブロックチェーンに携わる人は、利益を得る方法を模索しています。DNSSECは待望の技術ではありますが、その背後ではしっかり団結しなければなりません。

オープンで、これまで以上に協力的な新しいサイバーセキュリティのアプローチが増えているのではないでしょうか。ESETはATT&CKと連携していますし、IOCや EDRソリューションで検出した情報をドメインネームシステムの保護サービスに提供しており、ユースケースを構築し、製品やデータに関するフィードバックを提供しています。この大きな転換、つまり、協力型のサイバーセキュリティのアプローチは、セキュリティにとって有益なのでしょうか?

脅威とインテリジェンスの共有はここ15年間進められていましたが、この分野に新しく参入する企業や組織は、この分野は解決されていない問題であり、一石を投じられると思っています(あわよくば利益を得られると思っています)。ESETは常に脅威情報とインテリジェンスを共有してきましたし、 STIX/TAXIIの開発に協力してきました。また、 IODEF/IMDEFコミュニティにも参加していました。重要なのは、防御側は決して万全な安全を確保することはできないことをこのデジタルエコノミーに関わる関係者全員が認識し、相互に協力することです。それによって、現在攻撃側が優勢となっているこのトレンドを覆し始めることが可能になるということです。

ヴィクシー氏はSIE Europeを共同で設立されています。SIE Europeは、「PII(個人が特定できる情報)なしにデータを収集、集約、共有する」ことで、デジタルエコノミーの安全性を維持することを目的とする組織です。しかし、データ保護に関する規制が有効になるまで、低コストでハイリターンな「先手必勝的な方法」でデータから利益を生み出すビジネスモデルが蔓延しています。データ収集という「ゴールドラッシュ」は、米国だけでも数百億ドル規模になっています。このような状況の中でSIEやその他の団体は、どのように拡大し続けるデジタルエコノミーを守ることができるのでしょうか?

1990年代に起きた、スパムに関する最初のインターネット第一次文化戦争に負けて、そこから数年間は、初めて興したスパム対策の会社(MAPS:メール侵害防止システム)と、我々が開発した初めての分散型レピュテーションシステム(RBL:リアルタイムブラックホールリスト)は、どの時点で方向性を誤ったのかを判断することに費やしました。最終的に、道を作ることは壁を作るよりも、長期的には大きな効果と影響が得られるということ、そしてMAPSやRBLでは壁を作っていたということに気がつきました。スパマーとスパムの運営者は道を作り、我々を出し抜いていたのです。今、SIE Europeは道を作っているところです。データをマネタイズしようとしている人が私たち対抗しようとするのであれば、彼らも道を作るしかありません。我々は、結果はどうあれ、この競争に勝つことになるでしょう。

政府と企業が、WWWを、「リージョナル・インターネット」や、ファイヤーウォールで守られた環境などに変えようとする動きが強まる中で、私たちは一体どれくらい「自由な」グローバルインターネットから離れてしまっているのでしょうか? セキュリティを高めるためにトレードオフが存在することは認識されていますが、別の方策はないのでしょうか?DNSベースまたはDNS指向のセキュリティアプローチおよび、または脅威インテリジェンスは、自由なインターネットと安全なインターネットとのバランスを保つために、どのような役割を果たすべきでしょうか?

現在、私たちはインターネット上で悪意を持って運営されるネットワークと、インターネットに接続している悪意のあるハードウェアやソフトウェアの影響を大きく受けています。たとえ、そのネットワークに接続せず、ハードウェア、ソフトウェアを使用しない場合であっても影響を受けます。悪意あるユーザーが攻撃に必要なサービスを買い、サービスを盗むことができる限り、私たち全員が脆弱性にさらされることになります。誰が誰にアクセスできるかを決定するのに政府が関わることが適切だとは思いませんが、核拡散や人身売買に関する条約に匹敵するような、インターネットのための相互防衛協定を取り決める必要はあると思います。特に政府が許可するサイバー犯罪は、貿易制限で、早期かつ頻繁に罰する必要があるでしょう。これは選挙への干渉も「サイバー犯罪」に含めるという意味です。民主主義を取り入れたくない国があるからといって、他の地域の民主主義を妨害する権利があるわけではありません。そのような動向の高まりを退行させるために、インターネット関連の取引に関する制裁を準備しなければならないでしょう。

DNSのセキュリティ、フィルタリングなど、ユーザーがワールドワイドウェブを今後活用する方法には、さまざまな交点があります。AVARサイバーセキュリティカンファレンスであなたが今後推進したいと考えられている重要なポイントの中で、読者やカンファレンスの参加者に向けて基調講演までに、「宿題」としてやっておいてほしいことや、よく考えて準備してほしいことはありますか?

私が昨年書いた記事(「Benefits of DNS Service Locality(ローカルDNSサービスの利点)」)を読んでいただきたいです。今インターネットセキュリティで大きな被害を与えているのは、すべてのネットワークが独自のDNSネームサーバーを使用していた時代を覚えているユーザーと、理由も知らずにインターネットにアクセスした日から 8.8.8.8を使い続けているユーザー間にジェネレーションギャップがあることが大きな理由です。自主性を取り戻すことが重要です。ひとりひとり、全員が取り戻すのです。つまり、DNSをアウトソーシングすることをやめて、直接、ローカルで責任を持ってDNSを管理するのです。

再帰的なドメインネームサーバー(RDNS)が、カスタマーネットワークから離れISPに向かっている状況が増えていますが、今後プライバシー侵害によってインターネットに影響が出る恐れがあることに関しては、どう見ていますか?このプロセスは、 GDPRや、CCPA、その他のデータ保護規制を推し進めるための重要な要素となってきたと思いますか?

はい。なぜなら、反対する者がいなければトレンドは加速し、簡単に悪用できるようになってしまうからです。アプライアンスベンダーや、ISPなどのDNSを使用する過程でプロバイダーはその立場を乱用してきました。それは当然の流れであり、不可避なことです。この世界では非常にネガティブなトレンドが存在していますが、私たちはこの状況を意識し、私たちが住みたいと思う世界への道を築かなければなりません。

新しい、Webベースの「DNS over HTTPS(DoH)」のプロトコルが、Mozillaやその他によって推進されていますが、その理由はなんでしょうか? これは、実際、プライバシーの向上や安定に与するプロジェクトだと思いますか?

実質的なプライバシーは、DNS over HTTPS(DoH)によってもたらされるわけではありません。そう言っている人がいれば、それはその技術の支持者が、本当の動機を隠すためについている嘘です。DNS over TLS(DoT) は、DoHと同じようなプライバシーを提供します。どちらもTLS(トランスポートレイヤーセキュリティ)に依存しているためです。DoHの違いは、ネットワークオペレーターが簡単にブロックできず、そのため、ユーザーやユーザーのネットワーク上のアプリケーションで適切に監視できるローカルDNSサーバーを強制的に使用させ、既知の攻撃をフィルタリングできることです。DoHの仕様書(RFC 8484)には、「DNSオペレーションの過程における干渉を防止すること」を目的としていると記載されています。ペアレンタルコントロールのあるデバイスや、企業で使用されるセキュリティデバイスは、どれも「DNSオペレーションの過程を干渉する」デバイスであるはずなのですが、DoHを利用するユーザーは気にしていません。

どうすれば個人情報が存在している、スタブDNSトランザクションのログをより安全に保護して、インターネットのすべてのユーザーのプライバシーを今後約束できるのでしょうか?プライバシーは、セキ

これには、よくあてはまる格言があります。それは「商品の代金を払っていないのならば、あなたが売られる商品になる」という格言です。無料のDNSサービスを提供する人は、ユーザーのためを思っているわけではありません。それぞれが意図を持っており、その意図を公表することもあればしないこともあり、またその意図がユーザーの利益と一致しない場合もあります。私のアドバイスは、DNS検索を含むインターネット上のアクティビティのプライバシーを約束される、法的な強制力のある契約によって商業用のVPNを使えるのならば話は別ですが、自分のISPや、雇用者のDNSを使うことです。そして、もし家庭内や会社のネットワークを管理しているならば、自分のDNSサーバーを運営して、それを利用しましょう。DNSは一元化・集約化されるような機能ではありません。一元化や集約化には抵抗するべきです。