クラウドサービスは信頼できるのか?
みなさん、こんにちは!
株式会社カチカのリモート&コールドバックアップ業務担当の村島です!
寒いですね。
寒い時期の果物といえばみかんが思い浮かびますが、りんごも寒い時期の果物でしょう。
たまに4つ5つ貪り食いたくなるりんごなんですが、味っていうより食感なんでしょうね。あのショリショリした食感は歯にまことに心地いいものがあります。
あんまりまとまりない文章になっていきましたが、今回もレッツスタディセキュリティ!なのです。
Siriの問題の噂
上のりんごの話題でお気づきの方もいらっしゃるとは思うんですが、私のやや苦手とするApple製品の話題です。
Apple製品ってオシャンティーですがその分高いので、私は滅多に使いません。私のPCなんて酷いもんで、PCI expressをPCIスロット2つに変換するボードを2枚入れていますが、このボードには決まった固定方法というものが存在せず、無理矢理ケースに突っ込んで蓋をしてあるというオシャンティーの対極を行くような機械ですから。
さて、そのSiri問題ということなんですが、ニュースとしてはこういうことなんですね。
ローカル新聞の記事になってしまいますが、なんかもう記事が削除されていることが多くて…。
つまり、Apple製品でSiriが載っているデバイスを利用している人たちが、Apple製品が誤ってSiriを起動した際に記録された会話を録音し、その会話の情報を第三者の広告主と共有した、と主張してアップルに対して訴訟を提起しているわけなんです。
AppleのSiriの起動キーワード(?)って「Hey! Siri」ですよね?多分。日本では「名探偵コナン」の映画で「平次!」とコナンが叫んだときに一斉にSiriが起動したなんて話もありますが。
まあ話題はそれますけど、みんなで鑑賞する系のエンタメを見るときには携帯の電源は落としましょうよ。本当にねえ、不愉快な思いを何回もしてるんです。私は落語好きですが、以前はトップバッターの重要な仕事は「携帯の電源を落として下さい」と注意喚起することでした。しかし、最近それ言わないんですよね。おそらく、言っても無駄だって判断されちゃったんだと思うんですが。「書き割り盗人」という泥棒が出てくる噺があるんですが、いままさに泥棒が忍び込んでいる静かなシーンで六甲おろしが鳴り始めたときには本当に殺意すら覚えました。
閑話休題。これ、訴訟そのものは結構前に起こっているんですよね。
事件の内容はどんなものかと言いますと
Siriの仕様がこうなっているというのがまずあり、その後その録音に基づいて
ターゲッティング広告が表示されるようになっている、というのが原告の主張なんですね。いや、別にアメリカで納豆を巡った訴訟が起きているわけではありませんが、例としてね。ちなみに実は川口納豆というのは日本酒の名前なんですが。
えーと、経緯としてはまず2019年7月に「Siriの録音を人間が聞いている」ということを一部マスコミが報じたんです。内部告発という体だったそうです。
で、これに対してはAppleはYesと言っています。わずかな時間の録音ですがSiriのトラブル回避、Siriの性能向上などなどのために外部の委託業者に聞かせているということは認めました。
というわけで対応早く翌月にはSiriのプライバシー保護機能を強化しました。さらに2ヶ月後の10月にはiPhone等でSiriの音声共有オフ機能が載りました。
ところがですね。2021年の9月にアメリカの地方裁判所は「AppleはSiri訴訟に向き合うべきだ」とAppleに促したんです。
で結局2025年1月つまりつい最近Appleが原告に対して9500万ドルを支払うことで和解したとのことなんです。ただし、Appleは悪いことはしていないというスタンスは変えていません。ただ、問題を長々と引っ張りたくなかったということなんだと思います。
さらにAppleはSiriに関するプライバシーの取組を発表しています。Siriが得た情報はデバイスの中で完結していますということをアナウンスしています。
問題をややこしくしている要因
いくつか問題をややこしくしている要因があるんですが、まず、Appleが会話を録音して利用しているということを原告が証明するのが非常に困難だということが挙げられます。
そして、TVCMで「Hey! Siri」と言ったときにデバイスが反応してしまうという苦情に対して、Appleが調査を始めたわけですけども、その調査作業を下請けに投げて、ユーザー側の許可を取らずに調査をしていたということなんですね。しかもそれが人力調査だったので、下請け会社の人が聞いていたという事になったようなんですよ。ただあくまでもSiriが動き始めた直後の音声を聞いていたという事なので、ずーっと音声を聞かれていたわけではありません。
この問題を受けてAppleは声明を発表し、まあプライバシーを大切にしますよというような内容なんですが、この後は調査に協力することを表明した人だけを対象とすることに決めました。
上の例ですと納豆の話をしていたら納豆の広告がバカスカ出るようになったというのはiPhoneユーザーの間でも良く言われていることらしいんですけども、言う人に言わせたらこれはカクテルパーティ効果とかバーダーマインホフ現象とか言われるもので、自分に関連性がある情報に自然と注意が向くと、それだけの話だと言いますね。
そしてですね、上で述べました埼玉新聞の記事の見出しだけ見ますと「Appleが認めた」っていう印象になりません?そういう記事をXとかにポストされて、それがまたリポストされて広がっていったということになるようなんですね。
クラウドで情報を処理するということ
この件をややこしくしたもうひとつの要因として、クラウドでデータを処理する以上、どのように活用されるかはユーザーには不明であるということが挙げられるように思います。
Appleがいかに「Siriデバイスの情報を勝手に集めてはいません」と主張しようとも、まさに悪魔の証明というやつで完全に証明しきることはできません。ユーザー側から確認することもできません。結局、信じるしか道はないということになります。
今回はAppleがやり玉に挙げられましたが
というわけで、今回の件に関しましては、Appleが「悪いことはしていないと主張するけれども和解金を払う」という行動に出ました。上で書きましたように、悪いことはしていないというのを証明することが非常に難しいことなので、徹底抗戦していたらむしろダメージの方が大きくなると判断してのことなんだと思います。なんともアメリカらしい決着のような気もしますが。
と、ここで私が気になったのは、クラウドを使ったサービスで、サービス提供会社が利用者のデータを利用者に断りなく使う可能性はないのか?ということなんですね。
これこそまさに悪魔の証明ですのであるともないとも言えるし言えないというもどかしい状況になってしまうわけですが、少なくとも技術的には可能と言えるのではないでしょうか。
なんか関連するデータはないかということでググってググってしていたわけですが、総務省の平成25年度版「情報通信白書」に「クラウドサービスを導入しない理由」というグラフがありました。
12年も前の調査ですからその後いろいろと事情も変わってきていると思うんですが「必要がない」というのが理由のトップ、その次に「情報漏洩などセキュリティに不満がある」というのが来ていますね。この情報漏洩というのは、クラウドストレージ提供会社、そしてユーザー以外の第三者によるもののことを考えているのでしょうか。まあ多分そうだと思いますね。
私には外国人の知り合いが何人かいますので話を聞くんですが、日本人っていうのは徹底して性善説なんだなというのを時々感じます。
例えば、自由席であるなにものか、例えば列車の席取りとかなんかの舞台鑑賞とか、フードコートの座席とか、そういうものを「私が取りました」のサインとして、日本人って荷物を置くじゃないですか。これ、外国では意味が異なるんだそうです。その意味とは「置き引きして下さい」。
街中に立っている自動販売機なんて、外国では存在し得ないというんですよね。あっという間に壊されて中身を抜かれる。商品もお金も。
おそらくいまはクラウドストレージ提供会社は、暗号化をしていますのでデータを抜かれる心配はありませんよ、と言うと思います。しかし、そうやって暗号化をしているクラウドストレージ提供会社そのものはデータの中身を見ることは可能なわけです。
上のグラフで見る限り「法制度が整っていない」「クラウドの導入によって自社コンプライアンスに支障をきたす」あたりはその辺の心配から来るものじゃないかなあ、なんて思うんですが、どう思われます?
日本国憲法第21条の2
以前私が行政書士試験なんかに合格しているというお話は申し上げましたが、それに伴って日本国憲法なんか丸暗記したものです。いま思い出そうとしても全く思い出せなかったので調べたんですが、第21条の2後段ですね。
通信の秘密は、これを侵してはならない。
一応、これが「クラウドストレージ提供会社は勝手に情報の中身を見てはいけない」ということの大元の大元になる根拠なのかななんて思います。
でも、クラウドストレージにデータを静的に置いておくっていう行為って、通信でしょうか?まあ日本国憲法ができたころには想像もできなかった事態であって、拡張解釈するからこれでいいんだ、というのが現状この点を問題視する人がほとんどいないことの暗黙の考え方なんでしょうが…。
でも通信の秘密という概念がない国なんて結構あるんですよ。近場で言うと韓国。韓国ではもう、政府高官が「通信の傍受はするしそれが役に立つようであれば利用もする」ってはっきり言っちゃってますんでね。
ソフトバンクという会社がありますが、あの会社は拡張し続けてないと倒れてしまうという非常に危ない会社だと私は思っています。そしてそのソフトバンクが新しい会社を傘下に収めるたびにバックアップサーバを韓国に置きたがるんですよね。これが一部の人から非常に不評でして。
契約時には確認した方がよい?
クラウドストレージの利用を申し込むときには当然契約書の取り交わしがあると思います。その中にはデータを勝手に横流ししないという条項はあると思うんですが「御社が弊社のデータを勝手に利用しないということはどうやって保証してくれますか?」って確認してみるのもいいかもしれませんね。具体的に「こうやって保証します」ってはっきり言える会社ってまずないと思いますが、そういうところに配慮している会社か否かというのは、その時の対応によって何となくわかるはずです。
クラウドストレージに置くデータの暗号化
というわけなんですが、いつもいつも申し上げておりますバックアップの件ですね。ほぼ自動的にローカルと同期されるクラウドのデータは、正規の利用者が使う分にはふつうに使えるけれども、そうでないユーザーが使おうと思ったら暗号化されているというタイプの暗号化ソフトがいくつか出ています。
クラウドストレージ提供会社に対して「も」油断しないためにはそういうソフトの利用が有効なんだろうと思います。
そしてバックアップは活躍するのか?
弊社はあくまでもバックアップをお預かりする会社です。クラウドストレージにバックアップを置いていたとして、クラウドストレージからデータを抜かれてしまったことに対しては正直なところを申し上げて弊社の出番はほとんどないと考えています。それが、第三者の攻撃によるものなのか、クラウドストレージ提供会社が自ら行ったものなのかにかかわらず。
考えてみますと、これは非常に頼りがいがあると考えられていたバックアップというデータ保護方法に意外にも見つかった非常に大きな穴であると言えると思います。
クラウドであるか否かにかかわらず…ということは、弊社にご依頼いただく際にももちろんかかわってくることですが…情報の秘匿に関してはもちろん契約書の中に条項を設けてはおりますが、結論と致しましては「最終的には信じていただくことしかできない」ということになってしまいます。
弊社と致しましては今後とも認証取得など信じていただける安心要素になる制度を積極的に利用していこうとは考えておりますが、例えばプライバシーマークの取得をしている会社は絶対に情報の秘匿を守るかというとそうとも言い切れません。
データを扱う会社は、Appleのような巨大企業から弊社のような小規模事業者に至るまで、同じ困難を抱えているんだなあと感じさせられたAppleのSiri事件でした。
小括
最終的には、IT関連企業には「データが適切に扱われることを信じる」ということを信じるしかないんだと思います。企業同士の契約にしても、企業と個人の契約にしても。
特に企業は、業務として扱っているデータの適切な取扱という実績を日々積み上げて信頼を勝ち得ていくしかないんだろうなと思います。
今後とも、弊社と致しましてはお客さまの信頼に応えてゆくという実績で、本当に大丈夫なのかというご質問にはお応えしてゆくつもりでございます。
何卒よろしくお願いいたします。
弊社としてはそういうつもりではおりますが、悪いことをやって逃げ切った方が最終的には得になる、という考え方の人間もいるんだろうなあと思います。
そういう存在も頭の中においておいた上で、いかに安全を確保するか、情報を扱うものの課題として考えてゆきたい、それも課題だと思っております。
ぜひよろしくお願いいたします。
目次
クラウドストレージが持つ特有のリスク
クラウドストレージが持つ特有の脆弱性
クラウドストレージと遠隔地バックアップの相互補完性
クラウドストレージのデータ消失に関する責任の所在
ディザスタリカバリ手順をあらかじめ決めておくべき理由
弊社でお取り扱いしておりますデータ・OSにつきまして
クラウドストレージのメリット・デメリット
Windowsからの乗り換え先になるか? Linux MintとChrome OS Flex
バックアップの方法 オフライン・オンラインバックアップとは?
IPAの言うセキュリティ対策の基本を見ていきましょう! その1
IPAの言うセキュリティ対策の基本を見ていきましょう! その2
IPAの言うセキュリティ対策の基本を見ていきましょう! その3
IPAの言うセキュリティ対策の基本を見ていきましょう! その4
IPAの言うセキュリティ対策の基本を見ていきましょう! その5
IPAの言うセキュリティ対策の基本を見ていきましょう! その6
IPAの言うセキュリティ対策の基本を見ていきましょう! その7
IPAの言うセキュリティ対策の基本を見ていきましょう! その8
IPAの言うセキュリティ対策の基本を見ていきましょう! その9
IPAの言うセキュリティ対策の基本を見ていきましょう! ラスト
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その2
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その3
内閣サイバーセキュリティセンター(NISC)を見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その1
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その2
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その3
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その4
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その5
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その6
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その7
ランサムウェア・インシデント発生時の組織向けガイダンスを見ていきましょう!その8