第三者機関のソースコードレビューなど、セキュリティの透明性担保に取り組むカスペルスキーに聞く
事実より「政治と感情」が優先される時代、信頼性をどう確保するか?
2019年02月14日 09時00分更新
2017年9月13日、米国土安全保障省(DHS)はすべての連邦政府機関において、セキュリティベンダーであるカスペルスキー製品の使用を禁止した。続く2017年10月、「ロシア政府に関連するハッカーが、NSAの請負業者の自宅PCからカスペルスキーのアンチウイルス製品を介して機密データを窃取した」との報道が流れる。「2016年の米大統領選挙に影響を与えたのではないか」という憶測も飛び交う中で、一部政府機関はカスペルスキー製品の採用を中止。大手家電量販店のBest Buyも製品の取り扱いを中止するなど、米全土を巻き込む事件に発展した。
こうした動きを受けて2017年10月、カスペルスキーはセキュリティ製品のソースコードや社内プロセスの完全性を内外で検証し、社外への透明性を担保するための取り組み「Global Transparency Initiative」を発表した。
まず、2018年3月にバグ報奨金プログラムの報償を最高10万ドルに引き上げ、次にソフトウェアアセンブリライン(製品や脅威検知ルールの更新データを作成するシステム)と、脅威インテリジェンスサービス「Kaspersky Security Network」(KSN)のデータ保管および処理のためのサーバーインフラをスイスに移転した。すでに欧州ユーザーのデータ移行を開始しており、2019年第4四半期までに完了予定。その後、北米、シンガポール、オーストラリア、日本、韓国ユーザーのデータについても順次移転を実施する。
合わせて、スイス・チューリッヒに2018年11月13日、「Transparency Center」を開設した。同センターでは、サードパーティー(信頼できるパートナーおよび政府のステークホルダー)が、B2C向けの「カスペルスキーセキュリティ」とB2B向け「Kaspersky Endpoint Security」のソースコードをレビューすることができる。同センターの運営に関する信頼性については、業界トップ4の監査法人の1社が監査。国際基準のSOC2(Service Organization Control)およびSSAE 18(Statements on Standards for Attestation Engagements)の認証取得を予定している。
Transparency Centerは2020年までに欧州、アジア、北米の3箇所に開設予定。現在、シンガポールや日本などアジアの開設国を検討しており、2019年3月末までに決定する方向だ。
アメリカではなくスイスから透明性の取り組みを開始した理由
そもそも今回の騒動はアメリカが中心で発生している。なぜ欧州から先に手をつけたのだろうか。
Kaspersky Labs、パブリックアフェアーズ担当バイスプレジデントを務めるアントン・シンガリョーフ氏は、「実はわたしも最初はそう疑問に思った」と苦笑いしつつ、その理由の1つとして「政治と感情」を挙げた。
「疑わしいことが存在しないことを証明するには、ソースコードのレビューの受け入れや第三者機関による監査など、透明性のある取り組みが重要だとわたしたちは考えます。しかし、特にアメリカでは現在、そうした事実よりも“政治と感情”が優先されてしまいます」
欧州でも、ロシアに対する政治的な摩擦は以前より存在する。さらに最近ではGoogleやFacebookなどが、ユーザーの意図しないかたちで個人情報を利用し、第三者と共有していたことが問題視され、テクノロジー企業に対する強い反発も生まれている。しかし、カスペルスキーについては上述した活動や事実検証に基づいて、正当に評価する流れにあるという。実際、ベルギー首相はカスペルスキー製品が悪意ある振る舞いをし、何らかの脅威になることを証明する技術的な調査結果は存在せず、同国サイバーセキュリティセンターに導入を禁止する理由はないと表明。フランスやドイツでも同様の見解が広がっている。
「たしかに政府機関のシステムは機密性が高いので、外国製品ではなく自国製品で優先的に構成するという判断は理解できます。問題はそれを要件としてきちんと提示せず、感情論に基づいていきなり取り扱いを禁止したことです。ゲームに“ルール”が存在せず、アンフェアな判決が下されるのは納得がいきません」
採用側も、自国のスタッフを何名以上採用する、検証施設を自国内に設置するといったルールを明示し、透明性をもって対応してほしいとシンガリョーフ氏は訴える。
2019年は透明性を担保する取り組みの正念場
チューリッヒへの移管においては、社内だけで取り決めすると客観性が失われる恐れがあることから、欧州の監査監督機関などと協議し、意見や提案を取り入れながら進めたという。たとえばイギリス含むEUからは、マルウェアサンプルを収集する際に機密性の高い内容を含むデータも吸い上げられる可能性があることや、セキュリティエンジン側で違法に収集データを窃取、盗聴される可能性があること、ソフトウェアにバックドアが仕込まれる可能性もあることなど、多数の懸念が示された。
たしかに、これらは理論上では可能である。こうした懸念を受け止め、世界で最も厳しいデータプライバシー規制があるスイスにインフラの一部やデータを移管することを決定した。そして、Transparency Centerの独立した施設「Sensitive Compartmented Information Facility」ではカスペルスキーの専門家とともにコードレビューできるようにした。同施設は監視カメラや金属探知機などが設置され、スマートフォンやカメラの持ち込み禁止など厳しい物理セキュリティ対策が敷かれている。
各国のセキュリティ業界のコミュニティからは、「個人的な意見ですが、今回の事態がアンフェアであると理解を示してくれる人は多く、取り組みについても前向きな反応をもらっています」とシンガリョーフ氏。
「これは、政治的摩擦で国家間の関係が不安定な現代において、どのテクノロジー企業もぶつかる可能性のある壁だと言えます。その壁に、カスペルスキーが最初にぶつかったというだけ。そんな私たちがどのように問題と対峙していくのか、見守っているのでしょう」。むしろ、最初に取り組みを始めることができたという意味で、今回の件に「感謝している」とすら同氏は述べる。
2019年は、Global Transparency Initiativeの取り組みに対してフィードバックが返ってくる年。どのような成果が出せるか正念場になるとシンガリョーフ氏は力を込めた。政治や感情、疑義に晒されたとき、テクノロジー企業は何ができるのか。透明性の取り組みは報いるのか。同社を取り巻く状況の、今後の動向が注目される。