(左から)カスペルスキー代表取締役社長の小林岳夫氏、クリス・コーネル氏、ユージン・カスペルスキー氏、ジーニー・ガン氏、ブラティシュ・ジャア氏
株式会社カスペルスキーは、プレス向けのセミナーを3月16日に開催した。カスペルスキー氏のプレゼンテーション(関連記事「ユージン・カスペルスキー氏が3年半ぶりの来日、セキュリティの最新動向について解説」)ののちに、同社のビジネス状況とコンシューマー向けの新製品について、APACマネージングディレクターのクリス・コーネル氏が説明した。
カスペルスキー APACマネージングディレクターのクリス・コーネル氏
政治的情勢によって、米国とヨーロッパの売り上げが落ちたことについて否定はしなかったが、「世界的に見ると他の地域でプラスになっていることもあり、堅調にビジネスを進めている。今年も成功を維持させつつ、2022年の結果を上回りたい」とコメントした。
米国とヨーロッパは売り上げが下がったが、他の地域でカバーしておりビジネスは堅調だという
2023年はB2B向けに市場をリードするXDR製品を開発し、B2Cに対しては4月にコンシューマー向けの製品をサブスクリプションベースで発表を予定する。この製品は3つのサービスプランから選択でき、4つの安全対策と500以上の検知技術を持つマルチOS製品でアンチウイルスに留まらない製品となるという。
個人向けの新製品はサブスクリプションのランクで機能レベルが変わるようだ
単なるアンチウイルスだけでなく、アイデンティティ対策も含めたトータル製品で、UIも刷新する
カスペルスキーが説明する「透明性」向上に向けた取り組み
次に透明性に関する取り組みについて、カスタマーサポート本部本部長のプラティシュ・ジャア氏が説明した。
1つ目はサイバー脅威関連データをカスペルスキーのあるロシアからスイスに移転したことを紹介。この取り組みは2017年に発表されていたが、2020年11月に日本を含む主要地域の対応を完了したという。
カスペルスキーカスタマーサポート本部本部長のプラスティシュ・ジャア氏
透明性確保施策の1つが脅威関連データをスイスに集約する事。2020年11月に主要地域の対応が完了した
続いて、製品の透明性が確認できる「トランスペアレンシーセンター」で東京を含む世界9カ所に設置していることについて紹介。Blue piste/Red piste/Black pisteの3つのオプションがあり、最も高レベルなBlack pisteではソースコードやSBOM(ソフトウェア部品表)を詳細かつ包括的にレビューできる。
東京のトランスペアレンシーセンターは2022年6月に開設され、9月に東南アジアの政府関係者が法人向けの製品レビューを行ったほか、2023年2月にはISP企業が利用し、3月にも利用がある予定になっているという。東京での事例はBlue piste/Red pisteでのレビューまでだが、世界的に見るとBlack pisteでのレビューも行われている。ただし、Black pisteのレビューを行うためには、レビュー者に高いプログラム解析能力も必要で、難しいようだ。
ソースコードの開示が行えるトランスペアレンシーセンターを世界中に開設。東京もその1つ
開示レベルは3段階。一番下のBlack pisteが最も開示範囲が広いものの、評価する人の技術レベルを要求するため利用は少ない
開示されるソースコード、SBOMのサンプル
東京のトランスペアレンシーセンター
第三者機関によるアセスメントとして、四大会計事務所の一社によるSOC2 Type1監査を受けており、ISO/IEC 27001(情報セキュリティマネジメントシステムに関する国際規格)認証を取得したと紹介。
SOC2 Type1の監査を受けたという。企業が監査してほしいサービスやシステムを対象に、セキュリティや可用性などの統制を評価するもの
国際的な情報セキュリティマネジメントシステムに関する国際規格ISO/IEC 27001も取得
脆弱性管理として、他社の脆弱性に関しては「責任ある脆弱性開示のための倫理原則」を公開しており、自社製品に関しては外部の研究者による「バグ報奨金プログラム」がある。これまでに53の報告に対して報奨金が合計75750ドル支払われた。
他社の脆弱性を発見した場合の倫理規範を公開。自社の脆弱性は報奨金制度を行っており過去53の報告に対して合計75750ドルの報奨金が支払われた
また、政府、研究学術機関、企業が使用しているICT製品のセキュリティ評価の仕組みやスキル開発の支援として「サイバーキャパシティビルディングプログラム」を実施している。さらに法執行機関および政府機関からのリクエストに対する基本原則を定めており、「ユーザーデータやインフラのアクセス、暗号鍵の提供依頼、未申告機能追加要求」に関してはに拒否。リクエストに関して、法令および法的手続きを遵守しているか確認し、必要ならば拒否または申し立てを行う。一方で、国際的サイバー犯罪捜査への協力を行っていると説明する。
法執行機関からの要求に応じて、マルウェアの詳細や犯罪者に関するプライベートリポートを提出しているほか、有名トップレベルの悪意のあるアプリケーションやプロジェクトが出た場合に技術情報を関連機関に提供しているという事例も紹介した。
ICT製品のセキュリティ評価の仕組みやスキル開発の支援を行うサイバーキャパシティビルディングプログラムを実施
法執行機関および政府機関からのリクエストに関する基本原則
法執行機関および政府機関からのリクエストの対応レポートも公開
日本向けのトランスペアレンシーセンター利用促進プログラムとして、「サイバーキャパシティビルディングプログラム」の無償提供を行う。カスペルスキー製品のユーザー企業で、東京のトランスペアレンシーセンターの利用に限り、xTrainingに登録後6週間利用可能。申し込みは2023年9月までとなる。
サイバーキャパシティビルディングプログラムの無償提供プログラムを実施する。条件等は画像のとおりだ
米国連邦通信委員会の告示(国家安全保障と米国人の安全に容認できない脅威をもたらし得る「対象機器・サービス」に追加された)とドイツ連邦政府情報セキュリティ庁の警告(ロシアが行っている軍事活動や諜報活動および現在行われている武力紛争において、ロシアが欧州連合や北大西洋条約機構およびドイツ連邦共和国を標的としたサイバー攻撃が成功するリスクに関連していると説明)に対しては、カスペルスキーの製品のデリバリーはこれまでと変わらず、トラスペアレンシーセンターであらゆるソースを開示しているとコメントした。
