Kasperskyが透明性向上に向けスイスに新拠点を開設:「テクノロジーナショナリズム」の時代にセキュリティ企業に求められることは?
ロシアのKaspersky Labは、同社製品にロシア政府が干渉しているのではないかという懸念を払拭するため「透明性の確保」を掲げ、「Global Transparency Initiative」(GTI)と呼ばれる施策を発表。その軸の一つであるTransparency Centerをスイスのチューリッヒに開設した。
セキュリティ製品は本来、われわれの資産やデータを保護するためのものだ。最新の脅威情報を把握してその目的を果たすため、ユーザーはセキュリティ製品がシステムやトラフィックを見張り、不審なファイルに関する情報を収集することに同意し、許可している(もちろん、情報収集に「同意しない」という選択肢もある)。何らかの政治的な目的であれ、あるいは営利目的であれ、ユーザーに無断で情報を収集して外部に送信するようなことがあっては、セキュリティ製品に対する信頼は地に落ちることになるだろう。
実際、今、内外でそうした懸念が高まっている。
米国土安全保障省は2017年9月、ロシアのセキュリティ会社、Kaspersky Lab(以下、Kaspersky)製品の使用を米連邦政府機関において禁じる通達を出した。2016年の米大統領選挙にロシア政府が介入した恐れがあり、その諜報活動にKasperskyの製品が使われた、という懸念によるものだ。
Kasperskyは米国政府の主張に反論するとともに、こうした懸念を払拭するため「透明性の確保」を掲げ、「Global Transparency Initiative」(GTI)と呼ばれる一連の施策を2017年10月に発表した。
GTIには3つの軸がある。
1つ目は、同社製品をインストールしたユーザーから脅威対策のために収集した情報を、これまでのモスクワではなく、スイスに設置したサーバで保管、解析するようインフラを変更することだ。不審なファイルおよびそのメタデータは匿名化された上で自動的に処理され、クラウドベースの脅威情報データベース「Kaspersky Security Network」(KSN)のレピュテーション情報として反映される。ただし、高度な偽装が施されており詳細な解析が必要なデータには、ロシアなどからリサーチャーがアクセスして解析する仕組みだ。
2つ目は、ソフトウェアのアセンブリ作業ならびに検知ルールデータベースの更新作業を行う拠点も、モスクワからスイスに移すこと。
3つ目は、顧客やパートナー、あるいは政府機関関係者などの求めに応じてソースコードのレビューを行える「Transparency Center」を設けることだ。
一連のファシリティーやプロセスは、名前が明らかにされていないが、業界ビッグ4の一つである監査法人による監査を受け、2019年にはSSAE 18/SOC 2認証を取得する予定だ。第三者の目による監査を受けることで、同社がロシア政府の干渉を受けているのではないかという懸念を払拭する狙いだ。
Kasperskyは2018年11月13日、取り組みの柱の一つであるTransparency Centerを、永世中立国であるスイスのチューリッヒに設立し、まずヨーロッパの顧客から収集する情報の処理を同センターで開始した。追って米国やカナダ、オーストラリア、韓国、シンガポール、それに日本の顧客の情報も同センターで処理されることになる。
同社は今後、北米ならびにアジア太平洋地域にも同様のセンターを設立する方向で準備を進めている。具体的な決定事項はまだないが、同社パブリックアフェアーズ担当バイスプレジデントを務めるアントン・シンガリョーフ(Anton Shingarev)氏によると「日本も選択肢の一つ」という。
グローバル化と同時にバルカン化が進む「つながる世界」
シンガリョーフ氏はセンター開設のセレモニーにおいて、GTIの背景を次のように説明した。
「グローバリゼーションによって、食べものも衣服も、そしてITもまた共通化している。それは手元のモバイルアプリに限った話ではなく、エンタープライズシステムも同様だ。『つながる世界』の中で多くの企業がSAPやCisco Systems、あるいは富士通といったグローバル企業のITシステムを利用している。だが、この複雑なシステムが実際にどのように機能しているか、誰が開発しており、バックドアなどが含まれていないことをどう保証していくかが課題だ」
シンガリョーフ氏はさらに、グローバル化と同時に「バルカン化」も進んでいると指摘した。「各国政府は、情報システムやサイバーセキュリティに関するさまざまな法規制を定め始めており、その製造国、開発元の国によって特定のシステム、特定のソフトウェアの利用が禁止される恐れがある」。
事実、そうした動きは顕在化している。例えば米国やオーストラリア政府では、ロシア製製品だけではなく、中国製の一部のIT機器を政府調達から排除する方針を明らかにした。中国政府はセキュリティ対策を理由に、中国製IT機器の利用を義務付けるなどネット規制の強化を続けているし、ロシア政府も、欧米系ソフトウェア企業に対しソースコードの開示を要求している。シンガリョーフ氏はこうした動きを踏まえ、「われわれは今や、テクノロジー的なナショナリズムの時代に生きている」と述べた。
事実としてこうしたトレンドがある以上、好む、好まざるにかかわらず、「受け入れ、乗り越えていかなければいけない」とシンガリョーフ氏は述べ、Kasperskyはこの波の中で信頼を再構築するためにGTIを開始したという。
KasperskyはGTIの以前から、製品に存在する脆弱(ぜいじゃく)性の報告を受け付ける「バグバウンティー制度」などの取り組みを進めてきた。だが、「個別の取り組みだけではうまくいかない。ソースコードのレビューや第三者による監査など、複合的な取り組みをともに進めることで前進できると考えている」。
Transparency Center開設を記念したイベントには同社CEOのユージン・カスペルスキー氏も登場し、冗談混じりにスイスの物価の高さを引き合いに出しつつ、「Transparency Centerの設置はKasperskyにとって決して安い投資ではなかった。それでも、GTIはKasperskyにとって必要な取り組みだ。ファシリティーを作り、こうした枠組みの下で顧客のデータを処理する初の企業になったことを誇りに思う。引き続き他国やパートナーからのリクエストに応えていきたい」と述べた。
テクノロジーナショナリズムが高まるからこそ「透明性」が重要に
シンガリョーフ氏は、「グローバルにビジネスを展開しようと考えるなら、競合他社も今後、この種の問題に直面する可能性がある」とも述べた。
今や米国とロシア、米国と中国、あるいは中国、北朝鮮と韓国といった具合に、世界中で高まりつつあるさまざまな地政学的な緊張が、ITシステム、とりわけセキュリティ製品の在り方に影響を及ぼしている。たびたび「スマートフォンにバックドアが仕掛けられている」といった報道が浮上している他、メーカーが意図しなくても、流通の段階で、あるいは利用し始めた後にサプライチェーン攻撃を受け、ユーザーが知らないうちに情報が外部に送信されるリスクはゼロではない。
意図的なスパイ活動だけではなくユーザーのプライバシー確保という意味でも、ソーシャルネットワークサービスやIT製品、セキュリティ製品の在り方が問われている。何のためにどういった情報が収集されているかをユーザーに示し、同意を得ることは企業の社会的責任ではないだろうか。
シンガリョーフ氏はこうした時代だからこそ、GTIを通じて「デザイン段階からの透明性」を確保していきたいという。サプライチェーン攻撃のように、ソースコード、あるいはアップデートの中に何らかの意図せぬコードが含まれる可能性を完全にゼロすることは不可能だと認めつつ、「少なくともそのリスクを減らしていくことはできる」。
「医者にかかるとき、その医者が信頼できるかどうかは、免許だけではなく、その医者の評判などを見て決めるのと同じように、セキュリティ製品についてもレビューし、検証し、チェックすることで、信頼を形作っていきたい」(シンガリョーフ氏)。ブラックボックス化する代わりに公開できる情報は公開し、第三者の目も含めてダブルチェック、トリプルチェックを重ね、透明性を高めていくことが重要だという。
「これはKasperskyに限らず、ある特定の国だけでビジネスをするのではなくグローバルに展開する企業に求められる要素になるだろう。この方法がベストかどうかは分からないが、少なくとも方向性は正しいと信じている。競合する他のベンダーとも話し、ともに道を見いだしていきたいし、もし競合がこうした枠組みに参加したいというなら歓迎したい」(シンガリョーフ氏)
Copyright © ITmedia, Inc. All Rights Reserved.