サイバーパイオニアが過去を序章として考える

Dark Readingの20周年記念の一環として、私たちは数年間にわたってブログやコラムを執筆してくれた著名なサイバーセキュリティ業界リーダーたちに、過去を振り返り、自分たちのお気に入りの記事を選び、歴史を通した視点で今日のトピックについて反省を共有するよう依頼しました。

これは簡単な仕事ではありませんでした。Dark Readingの20年間にわたる複数のCMSとプラットフォームの移行は、悲しいことに、コラムニストの記事を含む私たちのコンテンツの一部が、Wayback Machineのウェブサイトのスクリーンショットの気まぐれに失われてしまったことを意味しました。しかし、私たちの創造的なコラムニストたちは、Dark Readingのアーカイブを掘り下げて彼らの選択を見つけ、その時の彼らの考えを共有し、歴史がこのトピックをどのように扱ったかを調べることができました。

ですから、くつろいで、Dark Reading寄稿コラムニストと業界リーダーのロバート・ハンセン（別名RSnake）、ケイティ・ムスーリス、リッチ・モグル、リチャード・スティエノン、ブルース・シュナイアーからのこれらの洞察に満ちた回顧録を楽しんでください。

グロスマン・ベンチャーズの常務取締役でRoot Evidenceの最高技術責任者であるロバート（RSnake）ハンセンは、2007年2月19日の彼の画期的なDark Readingコラムについて考えています。タイトルは「Die, Robot：ボットを扱う予定なら、防御と攻撃を知っておくことが最善です」。

「私にとってDark Readingは、公開で構築することの精神的な等価物でした。私は一般大衆とアイデアをテストし、私がそのように感じた理由についてのコンテキストを与えました。したがって、いくつかの側面では、この記事の最初の本当によく構築されたロボットスクレーパーの場合のように、それは非常に個人的でした。

「私は最終的にDetecting Maliceというタイトルの本全体をこのトピックについて書き、AIが今あらゆるものをスクレイピングしており、企業があらゆることをしてAPIをMCPにしてより速く進むようにしている方法について、私たちがどれほど途方もなく進んだかについてです。CloudflareでさえAPIエンドポイント1つでサイト全体をスクレイピングできるようになり、LLMプロバイダーに対するスクレイピングに関する訴訟があります。時代は変わったようでもあり、まさに同じままでもあります。」

Luta Securityの創設者兼CEOのケイティ・ムスーリスは、Dark Readingのためにバグバウンティについてのコラムを作成し、2015年8月13日の彼女の注目すべきコラムについて回想しています。「バグバウンティについての真実：オラクルのCSO、メアリー・アン・デビッドソンが現代のセキュリティ脆弱性の開示について理解していないこと」。

「数年前にバグバウンティについて書いたとき、クラウドソーシングの脆弱性発見がセキュリティを劇的に改善するという大きな楽観主義がありました。その時点でのポイントは、バグバウンティは銀の弾丸ではなく、セキュアな開発を補完することを意図していて、置き換えるのではなかったということです。

「今日まで早送りすると、AIはモデルにガソリンを注ぎました。自動テストとAI支援研究は、潜在的な脆弱性を見つけるのをはるかに簡単に、そしてはるかに速くしています。問題は、トリアージはまだほぼ人間であり、人間はGPUのようにスケールしないということです。既にひどく疲弊していたプログラムが今、あふれかえっています。

「既に火事状態に感じている組織については、AIは火炎放射器で現れました。より安全なコードを構築し、パッチと緩和がどれだけ早く展開できるかを劇的に改善することへの大きな投資がなければ、多くは単にボリュームの下で灰になって燃え尽きるでしょう。

「私を最も心配させるのはオープンソースです。メンテナーはAIが脆弱性発見を超高速化する前から既に圧倒されていました。そのエコシステムが負荷の下で折れ曲がるなら、それは少数のプロジェクトに影響を与えるだけではなく、それらに依存しているすべてのものに影響を与えるでしょう。Log4jは、ソフトウェアサプライチェーンが本当にどれほど脆弱であるかを明らかにした警鐘でした。AIは発見と依存の両方を同時に加速させており、業界が人間が解き放ったばかりのものに準備ができていない可能性があるという不快な真実があります。」

Cloud Security Allianceのチーフアナリストであり、Securosisの最高経営責任者であるリッチ・モグルは、2011年7月7日にDark Readingのポストで初めて紹介された彼の基本的なサイバーセキュリティ原則の1つ「シンプルはスケールしない」について説明しています。それはDark Readingポストでした。

「古いDark Readingのポストに戻って気付いた主なことは、最初に著者の画像に髪があり、次に、私はもっと早く頭を剃ることを本当にするべきだったということです。

「2009年の最初のクラウドセキュリティポストを選びたいという誘惑がありましたが、本当に最も共鳴するのは、私が「シンプルはスケールしない」とツイートに変更したと思う「Simple Isn’t Simple」のポストです。このポストは私が2011年に書いた時から私のマントラの1つであり、私はWendy Natherの」Security Poverty Lineの初期版でも説明したと思います。

「なぜそれを選んだのか？Anthropicのmythosで強調されたばかりのように、自動化されたAI発見の脆弱性の波に直面しているので、シンプルをスケールする能力は、これまでのようにセキュリティの状態を定義するからです。」

IT-Harvestのチーフリサーチアナリストであるリチャード・スティエノンは、2006年11月にDark Readingのコラムで支払いカード業界によるPCI Data Security Standardの採用を称賛していました。タイトルは「やっと歯のある標準」。

「2006年に、支払いカード業界は2年前のPCI Data Security Standardについて真摯に取り組み始めました。PCI Security Standards Council（PCI SSC）の設立を発表したとき、それについて書くようにトリガーされたに違いありません。12月までに、彼らはより強力な執行措置も発表しました。

「PCI DSSは歯があるため、最も効果的なセキュリティ標準の1つだと私はまだ感じています。また、継続的なセキュリティスキャンを提供するための業界全体を生み出しました（それは今日も私たちと一緒にあります） – さらに、サードパーティのリスク採点、侵害とトラックシミュレーション、およびエージェンティックレッドティーミングに進化しました。

「歯がないと暗示した標準と規制は、それぞれの有意義な執行措置を記録して自分たちの門歯を成長させました。最も怖い牙はSECに属しており、ふらふらのSarbanes-Oxley執行からSolarWindsのCISOの起訴へと進化しました。

「セキュリティ業界が成熟していることの最も確実な兆候は、過去20年間に生じた多くの規制です。それらの規制は業界を形成しています。私が追跡している4,029のアクティブなベンダーのうち、最大のカテゴリ（587ベンダー）はガバナンス、リスク、およびコンプライアンスです。」

著名なテクノロジストと著者のブルース・シュナイアーは、2010年6月20日にコラムを投稿し、暗号化の現代ネットワークを保護する能力の不足について警告しました。これは彼が2000年以来主張しようとしていたポイントです。

「ここしばらく、暗号化は今日の主なネットワークセキュリティの問題を解決するのにはまったく不適切であると指摘してきました。サービス拒否攻撃、ウェブサイトの改ざん、クレジットカード番号の盗難、アイデンティティ盗難、ウイルスとワーム、DNS攻撃、ネットワーク侵入などです。

「最近、私は会議で元NSA従業員と話しました。彼は1990年代に、メイド砦で働く多くの他の暗号化学者と同様に、彼の机の上に私の本Applied Cryptographyのコピーを持っていたと言いました。人々はそれを参照することが許可されていましたが、それを引用することは許可されていませんでした。

「1990年代は暗号化にとって重要な十年でした。これはインターネットが大規模市場に行く前であり、暗号化はニッチアカデミック分野から主流エンジニアリング分野に出現しました。プログラマーが読むことができるものはあまりありませんでした。NSAは同じ理由で私の本を使用していました。なぜなら、それは一箇所にそれとすべての学術暗号化を集め、数学者ではない人々に理解できるようにしたからです。彼らは全く同じ理由でそれを恐れていました。

「私はDark Readingのために2010年に書いた「The Failure of Cryptography to Secure Modern Networks」というエッセイを再訪しながら、その会話について考えています。暗号化は、防御者を大きく有利にする固有の数学的特性を持っています。キーの長さに単一のビットを追加すると、防御者の作業量は少ししか増えませんが、攻撃者がしなければならない作業量は2倍になります。キーの長さを2倍にすると、防御者がしなければならない作業量が2倍になり（もし私が近似しているなら）、攻撃者のワークロードを指数関数的に増加させます。多くの年間、その数学的不均衡を利用してきました。

「コンピュータセキュリティはより多くバランスが取れています。新しい攻撃があり、新しい防御があり、新しい攻撃があり、新しい防御があります。攻撃者と防御者の間の腕前です。それは非常に速い腕前です。新しい脆弱性が常に発見されます。バランスは一晩で防御者から攻撃者に傾く可能性があり、その後の夜に戻ります。コンピュータセキュリティ防御は本質的に非常に脆弱です。

「それは新しいアイデアではありません。私は2000年の本、Secrets and Liesの序文で非常に同じことを言いました：

「「暗号化は数学の一部です。そして、すべての数学のように、数字、方程式、および論理が含まれます。セキュリティ、あなたまたは私が私たちの生活で役に立つかもしれない実際のセキュリティは、人々を含みます。人々が知っていることが、人々間の関係、人々、そして彼らが機械とどのように関連しているかです。デジタルセキュリティにはコンピュータが含まれます。複雑で不安定でバグのあるコンピュータです。」

「特に2016年に句に物語りました。「暗号化は見た目より難しいです。主に数学のように見えるからです。アルゴリズムとプロトコルは両方、正確に定義および分析できます。これは簡単ではなく、そこに多くの不安定な暗号化があります。しかし、私たちの暗号化学者はこの部分を正しく得るのにかなり上手になりました。ただし、数学には代理店がありません。実際には何もセキュアできません。暗号化が機能するためには、ソフトウェアで書き込まれ、より大きなソフトウェアシステムに埋め込まれ、オペレーティングシステムで管理され、ハードウェアで実行され、ネットワークに接続され、ユーザーによって設定および操作されている必要があります。これらの各ステップは、それぞれ困難と脆弱性をもたらします。」

「これは何十年もの間、すべてが学んだ教訓です。暗号化はサイバーセキュリティにはまだ必要です – 私はその時点でその言葉を使っていませんでしたが – しかし十分ではありません。暗号化が防ぐ特定の攻撃と大量監視の形があります。しかし、コンピュータが私たちの生活全体に注入され、ネットワークがそれらのすべてのコンピュータを接続したので、サイバーセキュリティのそれらの側面はますます重要で脆弱になりました。

「今日、サイバーセキュリティの世界は再び変わっています。今回は人工知能の能力のためです。AIは暗号化を進めていませんが、サイバーセキュリティを変えています。AIは、ソフトウェアの脆弱性を見つけし、エクスプロイトを書き込む超人的な能力を実証しました。パッチを書き込む同様の能力がおそらく来ています。これは攻撃者と防御者の両方に深刻な意味があり、私が「インスタントソフトウェア」と呼ぶ世界で特定の腕前に勝つかは不明です。」