Name: 新たなる脅威！米国のサイバーセキュリティーはなぜ不完全なのか？
Uploaded: 2022-05-27T21:01:20.000Z
Duration: 6 min 36 s

程度の副詞

Cyberattacks seem to be really having a moment.

サイバー攻撃は、本当に一瞬の出来事のようです。

Take the U.S., for example: the FBI has reported 4,000 attacks a day since the COVID pandemic began, and there's no sign of things slowing down.

例えば米国では、COVID の流行が始まって以来、1日に 4,000 件の攻撃があると FBI が報告しており、事態が沈静化する兆しはありません。

様態の副詞

But how exactly did we get to this point, and how can cybersecurity help us get out of this mess?

しかし、私たちは一体どのようにしてここまで来てしまったのでしょうか？そして、サイバーセキュリティはこの混乱からどのように抜け出すことができるのでしょうか？

The infrastructure that we use every single day, in our houses, in our cars, in our workplaces, and generally in the country as a whole, is full of computing systems.

私たちが毎日使っているインフラ、家、車、職場、そして一般的に国全体が、コンピューティングシステムでいっぱいです。

Anything that prevents us from getting those things done, or in some way makes that computing infrastructure create a negative event, you know, we could consider that to be a threat.

それを妨げるもの、あるいは何らかの形でコンピューティングインフラにネガティブな事象を生じさせるものは、脅威と見なすことができますね。

Basically, cybersecurity refers to the practices, technologies, and processes designed to keep all of those threats at bay.

基本的に、サイバーセキュリティとは、これらの脅威を寄せ付けないように設計された実践、技術、およびプロセスを指します。

And these threats have evolved a LOT since the 1950s, back when Steve Jobs was hacking phones to make free long-distance calls.

また、このような脅威は、スティーブ・ジョブズが電話をハッキングして無料で長距離電話をかけていた 1950 年代から、大きく進化しているのです。

A watershed moment for the world of cyberthreats came in 2010 with the discovery of STUXNET, the world's first digital weapon.

2010 年、世界初のデジタル兵器「STUXNET（スタックスネット）」が発見され、サイバー脅威の世界に大きな転換点が訪れました。

It was found targeting Iran's nuclear facilities, and in the process, proved that cyberattacks could have devastating consequences beyond the digital realm.

イランの核施設をターゲットにしていることがわかり、その過程では、サイバー攻撃がデジタルの領域を超えて壊滅的な影響を与えることを証明しました。

That kind of cyber-physical environment is really quite a modern phenomena in the last few decades, and so securing that environment is really what cybersecurity is all about.

このようなサイバーフィジカル環境は、ここ数十年の現代的な現象であり、その環境を保護することが、まさにサイバーセキュリティの全てであると言えます。

Computers today are more complex than ever, as are the types of threats they face.

今日のコンピュータはかつてないほど複雑であり、コンピュータが直面する脅威の種類も増えています。

The more we ask our computers to do, open an email, visit a webpage, join a network, the more potential points of attack emerge.

電子メールを開く、ウェブページにアクセスする、ネットワークに参加するなど、コンピュータに求めることが増えれば増えるほど、潜在的な攻撃ポイントが浮かび上がってきます。

To exploit these vulnerabilities, hackers have countless tools up their sleeves.

これらの脆弱性を利用するために、ハッカーは無数のツールを用意しています。

Create computer viruses, send out fraudulent emails, or flood a server with requests until it becomes totally unresponsive.

コンピュータ・ウイルスを作ったり、不正なメールを送ったり、サーバが全く応答しなくなるまでリクエストを殺到させたりです。

This ever-shifting threat landscape is of particular concern for governments and other organizations that use computers to deal with sensitive data and networks, like, say, the ones used to manage our power grids.

このように刻々と変化する脅威の状況は、政府機関やその他の組織で、機密データやネットワーク（例えば、電力網の管理に使用されているもの）を扱うためにコンピュータを使用している場合、特に懸念されるものです。

But it's not always easy to tell what's going on.

しかし、何が起こっているのかを見分けるのは簡単ではありません。

So, if we're talking about a very low competence, crude attack, there will be sort of digital fingerprints if you like, that will show you very quickly that actually something deliberate has been done here.

つまり、もし私たちが非常に低能力で粗雑な攻撃について話しているなら、デジタル指紋のようなものがあって、実際に意図的なことが行われたことをすぐに知ることができます。

However, for more sophisticated attackers, if they want to hide their tracks a little bit, then the real problem with cybersecurity is that, that's possible to do.

しかし、より洗練された攻撃者にとっては、自分の痕跡を少しでも隠したいのであれば、サイバーセキュリティの本当の問題は、それが可能である、ということなのです。

And that's the kind of thing that you see in national level cyber attacks and defense postures.

それが、国家レベルのサイバー攻撃や防御態勢に見られるものです。

And nowhere have we seen these concerns materialize so dramatically as in the U.S.

そして、このような懸念がこれほどまでに劇的に現れたのは、米国が初めてです。

For years, experts have warned that if the U.S. government didn't change its behaviors, the fallout from cyberattacks would only get worse. But our ability to pivot hasn't kept pace.

専門家は何年も前から、米国政府が行動を変えない限り、サイバー攻撃による被害は悪化する一方であると警告してきました。しかし、私たちのピボット能力はそれに追いついていません。

For one, many U.S. federal agencies still rely heavily on “legacy systems” aka old, which are not only costly to maintain but also super vulnerable to hackers because of their outdated code and architecture.

ひとつには、多くの米国連邦政府機関がいまだに「レガシーシステム」と呼ばれる古いシステムに大きく依存しており、維持費がかかるだけでなく、コードやアーキテクチャが古いため、ハッカーに対して超脆弱であることが挙げられます。

That's not to say the government hasn't invested in new technology, notably, EINSTEIN, with the first version coming onto the scene in 2003.

しかし、政府が新しい技術に投資していないわけではなく、特に EINSTEIN は2003年に最初のバージョンが登場しました。

This machine learning tool is used by nearly every federal agency to detect suspicious activity and identify potential attacks.

この機械学習ツールは、ほぼすべての連邦政府機関で使用されており、不審な活動を検出し、潜在的な攻撃を特定しています。

But even EINSTEIN has its limitations, because it's only one tool in our many layers of defense.

しかし、EINSTEIN にも限界があります。なぜなら、EINSTEIN は何重もの防御の中の一つのツールに過ぎないからです。

Because cybersecurity is such a big job, the government outsources a lot of its needs to 3rd party providers, like SolarWinds.

サイバーセキュリティは非常に大きな仕事であるため、政府はソーラーウインズのようなサードパーティのプロバイダーに多くのニーズを委託しています。

But when the company got hacked in 2020, EINSTEIN failed to detect the intrusion.

しかし、2020年に同社がハッキングされたとき、EINSTEIN は侵入を検知できませんでした。

It wasn't until after that programmers introduced signatures of the SolarWinds attack to EINSTEIN's system, so that it could learn to do better next time.

プログラマーが EINSTEIN のシステムに SolarWinds の攻撃のシグネチャを導入したのは、その後のことです。なので、次回はもっと上手くいくことでしょう。

This so-called "penetrate-and-patch" approach to cybersecurity is sort of like patching up an old pair of jeans.

サイバーセキュリティに対するいわゆる「ペネトレイト・アンド・パッチ」アプローチは、古いジーンズにパッチを当てるようなものです。

The more patches you sew onto them, the more embarrassing they look and the less they function like actual jeans.

縫えば縫うほど恥ずかしくなり、ジーンズとしての機能を果たせなくなります。

Patching introduces risk, and also makes it so that we're constantly working to fix the mess that cyber threats leave behind.

パッチを当てることでリスクが発生し、また、サイバー脅威が残した混乱を修正するために常に努力しなければなりません。

And these messes are expensive. Losses from cybercrime now total over $1 trillion globally.

そして、このような混乱は高くつきます。サイバー犯罪による損失は現在、全世界で1兆ドルを超えています。

何かを変えなければならないのは明らかです。

One approach that's gaining traction is to implement zero-trust architecture.

最近注目されているのは、ゼロトラスト・アーキテクチャの導入です。

Basically, this means every user in a system must be authenticated on a continual basis, no matter if they're operating from inside the organization or not.

基本的に、これはシステム内のすべてのユーザーが、組織の内部から操作しているかどうかに関係なく、継続的に認証される必要があることを意味します。

As part of a recent executive order by President Biden to modernize the government's cybersecurity, this zero-trust model will now be required.

最近バイデン大統領が出した政府のサイバーセキュリティを近代化するための大統領令の一環として、今後はこのゼロトラストモデルが求められることになります。

Another emerging solution is called secure by design.

もう一つの新しいソリューションは、「セキュア・バイ・デザイン」と呼ばれています。

Its basic approach is to bake security into the design of computer hardware and software.

その基本的な考え方は、コンピュータのハードウェアやソフトウェアの設計にセキュリティを焼き付けることです。

So, every step of the way, as you're developing that product, the security is a core feature of it.

つまり、その製品を開発する際には、あらゆる段階で、セキュリティはその核となる機能なのです。

So that by the time you get to the end, there's no bolting on.

そのため、最後までボルトで固定する必要がありません。

One core tenant of this approach is to keep the system's architecture simple, so that the risk of design error is kept low.

この手法では、設計ミスのリスクを低く抑えるために、システムのアーキテクチャをシンプルにすることが一つのポイントになります。

But this approach can't always react to new vulnerabilities, which is why developing cyber resilience is so important.

しかし、この方法では新たな脆弱性に常に対応できるわけではありません。だからこそ、サイバーレジリエンスを高めることが重要なのです。

The idea is that by employing certain strategies, like automatically backing up your data, blocking threats before they infiltrate your network, and training a system's users to identify problems before they arise,

データの自動バックアップ、ネットワークに侵入する前の脅威のブロック、問題が発生する前に問題を特定するためのシステムユーザーの訓練など、特定の戦略を採用することで、

we'll be prepared whenever a cyber attack does hit.

サイバー攻撃が発生したときに備えようというものです。

Because at the end of the day, we're all playing a role in our cyber infrastructure.

なぜなら、結局のところ、私たちは皆、サイバーインフラストラクチャーの一翼を担っているのですから。

So we should all be aware of the vulnerabilities out there and keep pressuring our government representatives to take them more seriously too.

ですから、私たちは皆、世の中に存在する脆弱性を認識し、政府の代表者たちにももっと真剣に取り組むように圧力をかけ続けるべきです。

It's easy to think about cyber as just being about computers, but it's actually about human beings working with computational systems, right?

サイバーというと、コンピュータのことだと思いがちですが、実は人間が計算機システムを扱うことでもあるんですね。

So we're all involved in it. So we should all be conscious of it, and understand how we use that infrastructure and maybe what the vulnerabilities are that we might face.

つまり、私たちは皆、インフラに関与しているのです。ですから、私たち全員がそれを意識し、そのインフラをどのように使っているのか、また、どのような脆弱性に直面する可能性があるのかを理解する必要があります。

You may remember me saying that Steve Jobs used to hack phones.

スティーブ・ジョブズが携帯電話をハッキングしていた、という話をしたのを覚えているでしょうか？

He was part of a group called the phreaks, spelled ph-, for phone, who reverse-engineered the tones used by telecom companies to route long-distance calls.

彼は「フリーク」と呼ばれるグループの一員で、「PH-」とは電話のことで、通信会社が長距離電話をかける際に使用する音声をリバースエンジニアリングしていました。

ああ、ハッキング文化黎明期。

But if you want to learn more about hacking today, check out this video on the 2020 cyberattack that took out SolarWinds.

しかし、今日のハッキングについて知りたいのであれば、ソーラーウィンズ社を襲った2020年のサイバー攻撃に関するこのビデオをご覧ください。

Let us know if there's anything else you want us to cover.

他に取材してほしいことがあれば教えてください。

Be sure to subscribe, and as always, thank you so much for watching. I'll see you next time on Seeker.

ぜひご購読ください。そしていつもご覧いただきありがとうございます。次回はシーカーでお会いしましょう。