英国は Apple に対し iCloud へのバックドアの組み込みを迫り、Apple はこれを受けて英国のユーザー向けにエンドツーエンド暗号化機能である Advanced Data Protection を無効化しました。犯罪対策として打ち出されたこの措置は、クラウドが約束してきた保護を骨抜きにするものであり、他の国々もこれに続くでしょう。
政府が Apple に対し iCloud への バックドア の導入を迫っている米国と英国での最近の動きは、私たちのデジタルデータの安全性にとって警鐘となる兆候です。犯罪対策として打ち出されているものが、実際には世界中のデータ保護と IT セキュリティへの直接的な攻撃であることが明らかになっています。しかも、これは始まりにすぎません。クラウドサービスを利用している方は、遅くとも今こそ、自分がどれほど大きなリスクにさらされているかを認識すべきです。
問題点
政府が暗号化データへのバックドアを要求している
英国政府は、クラウド上の暗号化データへアクセスする権利を主張し、Apple をはじめとするプロバイダーに対してセキュリティ上の抜け穴を意図的に組み込むよう求めました。Apple はこれに撤退という形で対応しました。iCloud データのエンドツーエンド暗号化を可能にする「Advanced Data Protection」(ADP)機能が、英国のユーザー向けに無効化されます。
これは具体的に何を意味するのか
-
クラウドに保存するデータは、もはや本当の意味で安全ではありません
国家が直接のアクセスを強制すれば、すべてのデータが復号され、くまなく調べられてしまいます。 -
バックドアはいったん存在すれば「善良な側」だけのものではありません
ハッカー、諜報機関、さらには競合企業までもがそれを悪用しうるからです。 -
国際的な波及効果
英国がこの一歩を踏み出せば、他の国々も続くでしょう。米国や中国が同様の要求を突きつける可能性もあります。これは安全なクラウドストレージの終わりを意味しかねません。
最大のリスク
なぜこれがすべての利用者にとって極めて危険なのか
1. 国家があなたのデジタル上のプライバシーを左右する
政府はテロ、児童虐待、その他の重大犯罪との闘いを論拠に挙げます。一見すると理解できる話です。しかし、暗号化されたクラウドデータへのアクセスは、結局のところ、何を私的なものとして守り、何を守らないかを国家が決めることを意味します。このアクセスが政治的な目的に使われないと、誰が保証できるでしょうか。権威主義的な政府がこうしたバックドアを大規模な監視に用いるまでに、どれほどの時間がかかるでしょうか。
2. バックドアはハッカーへの招待状
意図的に組み込まれたセキュリティ上の抜け穴は、常に危険です。どれほど巧妙に隠され、保護されていても、いつか誰かが侵入する道を見つけ出します。その際、アクセスを得ようとするのは国家機関だけとは限りません。サイバー犯罪者やスパイもまた、あらゆるバックドアから利益を得ます。
リスク:
- 個人データ、金融情報、業務データが誤った手に渡るおそれがあります。
- 個人や企業を狙った標的型サイバー攻撃が容易になります。
- 内部告発者、ジャーナリスト、反体制派が深刻な危険にさらされます。
3. クラウドストレージが再び安全でなくなる:2000 年代への後退
ここ数年、クラウドは SaaS ソリューション、バックアップ、データ交換、デバイス間の同期にとって、実用的で比較的安全な手段でした。しかし、プロバイダーが暗号化を弱めたり、あるいは妨害したりすることを強いられるようになれば、こう問わざるを得ません。クラウドへの保存は、そもそもまだ選択肢たりうるのか。企業も個人も、いざとなればいつでも政府に調べられかねないサーバーに、本当に機微なデータを保存したいのかを考えなければなりません。
4. 企業がクラウドプロバイダーへの信頼を失う
クラウドサービスは巨大な事業ですが、顧客が自分のデータが私的に保たれると確信できなくなれば、代替手段を探すようになります。
- 企業秘密を守らねばならない企業は、自社サーバーへの回帰を強める可能性があります。
- 人権団体やジャーナリストは、安全な代替手段を探すでしょう。
- これまでクラウドサービスを当然のものと考えてきた消費者も、分散型のソリューションに目を向けるかもしれません。
端的に言えば: クラウドストレージは、その核心的な価値である信頼と安全性を失う危機にあります。
これに対して何ができるのか
1. アップロード前のローカル暗号化
今後もクラウドストレージを使い続けたい方は、アップロードする前にデータを暗号化すべきです。プロバイダーがバックドアを開くことを強いられたとしても、データを安全に保管できるツールはさまざまにあります。残念ながら、それには追加の手間がかかります。
2. 分散型ソリューションへの注力
データはローカルに保存しましょう。自己ホスト型のサーバーソリューションといった代替手段は、プロバイダーがいつかバックドアの組み込みを強いられるリスクなしに、自分のデータをコントロールできるようにします。
3. 常識を働かせる
今後の動向を見守りましょう。英国での動きは、まず間違いなく始まりにすぎません。さらに多くの国が同様の要求を突きつけてくる可能性が高いでしょう。クラウドサービスを利用する方は、そのプロバイダーが暗号化データへのアクセスを要求する国で運営されていないか、定期的に確認すべきです。
まとめ
クラウドはもはやかつてのものではない
クラウドストレージは長らく便利な手段でしたが、政治的な介入によってますます安全でなくなりつつあります。国家が暗号化データを復号する手段を手にした時点で、堤防は決壊し、世界中のデジタル上のプライバシーに対する脅威は計り知れないものになります。とりわけ企業は、手遅れになる前に、遅くとも今こそ、どのようにデータを守るかを考えるべきです。
このブログ記事についてご質問やご意見がございましたら、ぜひフォーラムへのご投稿をお待ちしております。
