NSAが、国家安全保障への実際の脅威かどうかに関わらず、あらゆる場所、あらゆる場所でほぼすべての人々をスパイしていると聞いたことがあるかもしれません。RSAがNSAに協力する見返りに1,000万ドルを受け取ったという疑惑を受け、一部の人々は先日開催されたRSAカンファレンスをボイコットしたり、近くで開催されていた対抗カンファレンスであるTrustyConに参加したりしました。しかし、結局のところ、ほとんどのITプロフェッショナルはNSAの活動をそれほど懸念していないようです。
AppRiverはRSAカンファレンスの参加者を対象に調査を実施しました。AppRiverのFred Touchette氏はブログ記事の中で、TrustyConのボイコットと一見成功したように見える出来事が、政府機関によるハッキングがITプロフェッショナルにとっての脅威の全体像の中でどのような位置を占めているのかという関心を喚起したと述べています。
IT プロフェッショナルは、政府のスパイ活動よりもハッカーのことをはるかに懸念しています。
「私たちは、カンファレンス参加者と一対一で対面調査を行い、これらの問題についていくつかの簡単な質問をしてデータを収集し、人々が何を考えているのかを探ることにしました」とタシェット氏は説明する。「参加者は日々セキュリティに携わり、ネットワークの安全維持を仕事とし、脅威を理論や哲学の問題としてではなく、現実的な問題として捉えている人々です。」
AppRiverの調査では、約25,000人の参加者のうち、わずか110人からの回答しか含まれていないため、科学的に意味のあるサンプルとは言えません。それでも、結果は興味深いものです。
AppRiverの調査結果によると、政府によるハッキング行為を外部からの脅威として最大の脅威と挙げた回答者はわずか5.3%でした。NSAのような政府のスパイ活動は、エドワード・スノーデンのような権限を持つ人物が意図的にデータを侵害または漏洩する悪意のある内部関係者と並んで、調査結果の最下位にランクされました。
回答者の3分の1は、悪意のない内部者による脅威を最大の脅威として挙げています。つまり、セキュリティ制御の回避、セキュリティポリシーの無視、あるいは単なる人為的ミスによって、不特定多数のユーザーがデータを侵害したり、ネットワークを危険にさらしたりすることを意味します。
しかし、依然として最大の懸念は、外部のハッカーです。調査回答者の56%以上が、ネットワークの外部から悪意のあるハッカーが侵入し、PCに感染させようとすることを、セキュリティ上の最大の懸念事項として挙げています。
興味深いことに、最大の脅威が何であるかに関わらず、調査対象者のほぼ4分の3が、ネットワークやエンドポイントへの侵入につながるセキュリティチェーンの弱点は、ほとんどの場合、人であると考えています。20%以上がポリシーの不備に原因があると主張している一方で、テクノロジーが障害の原因であると指摘したのはわずか7.2%でした。
政府による情報収集をめぐる議論は、まだ終わっていない。しかし、AppRiverがITセキュリティ専門家を対象に実施した非科学的な調査によると、マルウェアやサイバー攻撃の防御において、NSAの活動の倫理性や合法性は、日常的な懸念事項には含まれていないようだ。
