2019年に開催されたRSAカンファレンスのテーマは「信頼、サイバー犯罪、被害者」の3つのキーワードに集約することができる。最初に、「信頼」について解説する。冒頭の基調講演において、「大惨事が未来に起こるのを阻止するには、強力な信頼関係にもとづく未来を描いていく必要がある」との見解をRSAセキュリティ社の社長ロヒット・ガイ（Rohit Ghai）は示している（eWeek）。

このメッセージは希望を抱かせるものであった一方、失望を招くものでもあった。ガイ氏の見解は確かに正しい。しかし、過去に多くの人々が同様のメッセージを発しておきながら、ほとんどが聞く耳を持たなかった。今回こそはメッセージを受け止めてくれることを心から願っている。さもなければ、サイバー攻撃に遭遇する被害者の姿を今後も見続けていくことにならざるをえない。

何事も信頼が重要

セキュリティの脆弱性がデジタルテクノロジーに対する信頼を揺るがしかねない。私（Stephen Cobb）と私の妻はそのような警告を発していた。私たちは1990年代にCISSP (情報システムのセキュリティ専門家認定) を取得し、1990年代末には増え続けるデジタルテクノロジーの乱用を阻止できなければ、電子商取引やスタートアップのビジネスなどに対する信頼が失われかねないとの主張をしていた。
サイバー攻撃をおこなう者が増加し、その規模も大きくなっていた。しかし、情報システムのセキュリティ投資は十分とはいえない。そうした状況を打破するには信頼毀損のリスクを訴えることが効果的だと考えたのだ。

2000年代初頭にかけ、私たちはこれらの趣旨を記事にしてきた。私たちはともに、大企業や政府機関にて情報システムの防衛を試行錯誤してきている。だからこそ、こうした経験から得られた教訓を可能な限り共有することにしたのだ。私の妻は2002年に「Network Security for Dummies（初心者向けのネットワークセキュリティ）というタイトルで、私はビジネス用途のデータプライバシーに関する著書をそれぞれ執筆した。

2011年までに、サイバー犯罪が従来の犯罪に代わるものとしての地位を確立し、盗み出したデータやサーバー攻撃のためのスキルやツールの売買をおこなう市場（ダークマーケット）が伸長することは予測できていた。このタイミングで私がESETに入社したのは、ESETがサイバーセキュリティにおける問題の深刻さを理解し、それらの問題の解決に全力で取り組んでいたためである。（ESETというセキュリティソフトがどれほど優秀かどうか、売れているかどうかはさておき）

2014年、ESETからの奨励とサポートを受け、私は英国レスター大学犯罪学科に入学し、学術的な見地からサイバー犯罪問題の研究を始めた。2015年にはTEDxで、自身の研究について講演する機会を得ることができた。そこではガイ氏の基調講演「イチとゼロ（全か無か）：ふたつの未来の物語」と似た観点からサイバーセキュリティという課題について論じている。

2015年のTEDxにて

私は講演で、これらふたつの未来について次のように言及した。「ひとつは、テクノロジーが逆境を克服した明るく輝かしい未来。もうひとつは、希望すらない悲惨たる未来」。サイバー犯罪の阻止に尽力する、セキュリティレベルの高いデジタル製品の追及、テクノロジー労働者の多様化、といった適切な対応がとられなければ、ガイ氏が言う「私たちにとって理想的ではない未来」が訪れることになる。

2019年現在、信頼の毀損はすでに始まっているといえるかもしれない。ESETによるインターネットを利用している米国成人2,500人への昨年の調査では、「セキュリティやプライバシーに懸念があるため、オンラインで買い物や銀行取引をあまりしない」という回答が一定数（買い物が19%、銀行取引が20%）に上っている。さらに、調査した米国人のうち44%が、同様の理由で、最近はウェブサイトに自分のプライバシーに関する情報の公開を避けているとのことだ。

企業や政府がオンラインで一般市民とやり取りするにあたり、簡単に信頼を得ることはできない。調査対象者の80%が「オンライン上の自分の個人情報が、ウェブサイトで保護されていないのではないかと心配である」という意見に賛同している。内訳は、「やや賛同」が46%、「全面的に賛同」が34%であった。別項目として「オンライン上の自分の個人情報が公的機関で保護されていないのではないか心配である」という意見への賛否については、米国の回答者の76%が「やや賛同」または「全面的に賛同」と回答している。

サイバー犯罪とその被害者

同調査は、失った信頼を取り戻すには多大な努力が必要であることを顕著に示している。回答者の87%は、サイバー犯罪の被害に遭遇するリスクが増加していると考えている。要するに、多くの企業や消費者にとってサイバー犯罪は頭の痛い問題なのである。ポジティブに捉えると、2019年のRSAカンファレンスはこうした意識の高まりを反映した内容だったと集約できる。

通路やブースで交わされた会話をからは、以前よりもサイバー犯罪対策の必要性を話題にしている人が増加した印象を受けた。RSA展示ホール内で配布されていた「SC Magazine（米国のセキュリティ専門誌）」2月号では、表紙と6つの記事でサイバー犯罪を取り上げていた。Infosec Institute社のブースは 「サイバー犯罪者と闘う」をテーマとしており、スタッフは「___年以来、サイバー犯罪者と闘う」と書かれたステッカーを用意し、来訪者に「___年」への記入を促していた。 （私の場合、「___年」に入れるとすれば、仕事で対応した最初のコンピューター犯罪となるので「1987年」を記入することになる)。

他にも、RSAのポジティブなトピックとして、公式な動きではないものの、サイバー犯罪の被害者を支援するプログラムの積極的なロビー活動がおこなわれていた。このプログラムは、リニューアルされた「サイバー犯罪サポートネットワーク」のウェブサイトから、サイバー犯罪の被害者からの電話相談のために米国内の「2-1-1」サービス^*1を改善する計画まで多岐にわたっている。

^*1 米国、カナダにおける総合的な社会福祉相談窓口

現時点では、サイバー犯罪の通報を受けても、「9-1-1」サービス^*2は適切に対応する体制が整っていない。サンディエゴ地区などアメリカの一部では、サイバー犯罪に対処するための法執行プログラムが策定されているが、全米的な動きとはなっていない。サイバー犯罪で被害に遭った人たちはどこに支援を依頼すべきかわからないと感じている。つまり、法執行機関や他の関連政府機関は被害者の規模や性質に関する貴重なデータを収集していないのだ。

^*2 米国における緊急通報のこと

以前から、犯罪統計は法執行に関わる政府や、一般市民に注意を呼び掛けるプログラムなどの犯罪対策を立てる上で重要な要素となっている。「犯罪が通報される件数」は犯罪の総数と一致しておらず、すべての通報が実際に起きた犯罪と合致しているわけではない。そして、現段階でサイバー犯罪の被害者への支援が足りていないという実情は、明らかに有用かつ実用的なデータの多くを見逃しているということを意味しているのではないだろうか。

2017年に、犯罪に遭ったことをFBI／IC3に通報した被害者は30万人に上り、経済的損失は14億ドルに達している。IC3は「Internet Crime Complaint Center（インターネット犯罪苦情センター）」の略称で、長年にわたり非常に優れた活動をおこなってきている機関だ。一方、ESETが実施した指標調査では、回答者はすべて18歳以上の米国における成人で、その30%以上が個人情報の窃取に遭っているという。2017年の人口をもとに計算すると、7,500万人以上が被害に遭遇していることになる。ここで重要なのはふたつの調査の間で、「7,500万人」と「30万人」と数字に大きな開きがあるということだ。

「状況は良い方向に向かっている」と、私は希望を抱きつつ、2019年のRSAカンファレンスから家路についた。「技術の輝かしい側面がもたらす明るい未来。はたまた、デジタルテクノロジーが生み出すカオスに包まれた闇に閉ざされた未来が待ち受けるのだろうか。」という選択肢の前で、人々はどちらを選ぶことになるのだろう。ガイ氏のメッセージでこのことを改めて思い起こすことができたことに感謝したい。