創刊20周年を記念して、Dark Readingは、長年にわたりブログやコラムを寄稿してきたサイバーセキュリティ業界のリーダー5人に、お気に入りの記事を選び、今日の視点からの振り返りを共有するよう依頼しました。これは私が担当したセクションです。
著名な技術者・著述家のブルース・シュナイアーは、2010年6月20日のコラムで、現代のネットワークを守る上での暗号技術の限界について警告しています。これは2000年以来、同氏が繰り返し主張してきた論点です。
「長年にわたり私は、暗号技術が今日のネットワークセキュリティの主要な問題を解決するには根本的に不向きであると指摘してきました。サービス拒否攻撃、ウェブサイト改ざん、クレジットカード番号の盗難、個人情報の窃取、ウイルスやワーム、DNS攻撃、ネットワーク侵入——これらがその例として挙げられます。
「最近、あるカンファレンスで元NSAの職員と話す機会がありました。彼によると、1990年代、フォートミードで働く多くの暗号学者たちと同様に、私の著書『Applied Cryptography』を机の脇に置いていたといいます。参照することは許可されていましたが、引用することは認められていませんでした。
「1990年代は暗号学にとって重要な10年でした。インターネットが一般に普及する以前のことで、暗号学はニッチな学術分野からメインストリームのエンジニアリング領域へと移行しつつある時期でした。プログラマーが参照できる資料はほとんどありませんでした。NSAが私の本を活用したのは、それがベストセラーになったのと同じ理由からです。当時の学術的な暗号理論をひとつにまとめ、数学者でなくても理解できるよう提示していたからです。彼らがその本を恐れたのも、まったく同じ理由でした。
「Dark Readingに寄稿した2010年の論考『The Failure of Cryptography to Secure Modern Networks』を読み直しながら、私はその会話を改めて思い返しています。暗号技術には、防御側を大きく有利にする数学的な特性が備わっています。鍵の長さに1ビット追加しただけで、防御側の作業負担はわずかに増えるだけですが、攻撃側の作業量は2倍になります。鍵長を2倍にすれば防御側の負担も2倍になりますが(大まかな目安として)、攻撃側の作業量は指数関数的に増大します。長年にわたり、私たちはこの数学的な非対称性を活用してきました。
「コンピュータセキュリティは、これよりずっとバランスが取れています。新しい攻撃が現れれば新しい防御が生まれ、また新しい攻撃が来て、また新しい防御が現れる——攻撃者と防御者の絶え間ない軍拡競争です。しかもそのペースは非常に速い。新たな脆弱性は常に発見され続け、優勢は一夜にして防御側から攻撃側へと移り、翌晩にはまた逆転することもあります。コンピュータセキュリティの防御手段は、本質的に非常に脆弱なのです。
「これは新しい考えではありません。2000年に刊行した著書『Secrets and Lies』の序文でも、ほぼ同じことを述べています。
「『暗号学は数学の一分野です。そしてすべての数学と同様に、数字・方程式・論理を扱います。しかし、私たちの日常生活で実際に役立つセキュリティとは、人間を対象とするものです——人が知っていること、人と人との関係、そして人と機械の関わり方。デジタルセキュリティが扱うのはコンピュータです。複雑で、不安定で、バグだらけのコンピュータです。』
「特に気に入っているのは2016年の表現です。『暗号技術は、一見数学のように見えるがゆえに、実際よりも容易に思われがちです。アルゴリズムもプロトコルも、正確に定義し分析することができます。これは簡単ではなく、世の中には安全性の低い暗号実装が数多く存在しますが、暗号学者たちはこの部分をうまく処理できるようになってきました。しかし数学には主体性がありません。数学それ自体は、何かを守ることができないのです。暗号技術が機能するためには、ソフトウェアとして実装され、より大きなソフトウェアシステムに組み込まれ、OSに管理され、ハードウェア上で動作し、ネットワークに接続され、ユーザーによって設定・運用される必要があります。これらの各ステップには、それぞれ困難と脆弱性が伴います。』
「これは私たちが何十年もかけて学んできた教訓です。暗号技術は現在もサイバーセキュリティに不可欠ですが——当時はそのような言葉を使っていませんでしたが——それだけでは十分ではありません。暗号技術が防いでくれる特定の攻撃や大規模な監視活動も確かにあります。しかし、コンピュータが私たちの生活のあらゆる場面に入り込み、ネットワークがすべてのコンピュータを結ぶようになった今、サイバーセキュリティのそうした側面はますます重要性を増すと同時に、脆弱性も高まっています。
「今日、サイバーセキュリティの世界はまた新たな変化を迎えています。今回の主役は人工知能の能力です。AIは暗号技術そのものを進化させているわけではありませんが、サイバーセキュリティの様相を変えつつあります。AIはソフトウェアの脆弱性を発見し、エクスプロイトを記述する能力において、すでに人間を超えた力を示しています。パッチを作成する同等の能力も、遠からず登場するでしょう。これは攻撃者と防御者の双方に深刻な影響を与えます。そして、私が「インスタントソフトウェア」と呼ぶ世界におけるこの軍拡競争で誰が勝利するかは、まだ明らかではありません。」
翻訳元: https://www.schneier.com/blog/archives/2026/06/the-intersection-of-encryption-and-ai.html