政府の詮索の手からお客様のデータを保護
(この記事は 2013 年 12 月 4 日に Microsoft on the Issues に投稿された記事 Protecting customer data from government snooping の翻訳です)
今回は、法務本部ゼネラルカウンセル兼エグゼクティブバイスプレジデントを務める Brad Smith の記事をご紹介します。
多くのお客様が、政府によるインターネットの監視について深刻な懸念を抱いています。
マイクロソフトはお客様の懸念を理解し、政府がお客様のデータにアクセスする際に、テクノロジを利用した強引な方法ではなく、法的な手続きが経られるように対策を講じています。
多くの IT 企業と同様に、マイクロソフトが特に警戒しているのは、オンラインのセキュリティ対策を (さらに、マイクロソフトの見解では、法的な手続きや保護をも) かいくぐって、ひそかにお客様の個人データを収集するために、複数の政府が協力して幅広い活動を推し進めている疑いがあるという点です。特に、最近のメディアの報道によると、お客様とサーバー間、あるいは IT 企業のデータ センター間でお客様のデータが送受信される際に、政府が捜索令状や召喚令状を用意することなく、データの傍受および収集を行っている疑いがあるとのことです。
これが本当であれば、このような活動によってオンライン コミュニケーションのセキュリティとプライバシーへの信頼性が大きく傷つけられるおそれがあります。実際に、政府による詮索の可能性は、高度なマルウェアおよびサイバー アタックと共に、「高度な持続的脅威」と考えられるようになりました。
こうした疑いを踏まえて、マイクロソフトでは次の 3 つの分野において、早急に組織的な対策を講じることを決定しました。
- サービス全体に暗号化を拡張。
- お客様のデータに対して法的な保護を強化。
- マイクロソフトの製品にバック ドアが含まれていないことをお客様がより簡単に確認できるように、ソフトウェア コードの透明性を向上。
以下に、マイクロソフトの取り組みについて詳細をご紹介します。
暗号化の拡張
マイクロソフトでは長年にわたり、製品およびサービスに暗号化を使用することで、オンライン犯罪やハッキングからお客様を保護してきました。お客様のデータに対して政府による不正なアクセスが行われたという直接の証拠はありませんが、万全の対策を講じて、この問題に真摯に対処する所存です。そのためには、総合的なエンジニアリングの取り組みを進め、マイクロソフトのネットワークおよびサービス全体に存在するお客様のデータの暗号化を強化する予定です。
この取り組みには、Outlook.com、Office 365、OneDrive、Microsoft Azure などの、マイクロソフトの主要なコミュニケーション、生産性、および開発者向けサービスが含まれ、お客様が作成したコンテンツのライフサイクル全体にわたる保護が提供されます。詳細は、以下のとおりです。
- お客様とマイクロソフト間で送受信されるお客様のコンテンツが既定で暗号化されます。
- すべての主要なプラットフォーム、生産性、およびコミュニケーション サービスでは、お客様のコンテンツがマイクロソフトのデータ センター間での送受信時に暗号化されます。
- これらのチャネルの保護には、Perfect Forward Secrecy や 2048 ビット キーなど、業界最高レベルの暗号化技術が使用されます。
- 上記のすべてへの対応が 2014 年末までに完了し、その大部分は即日有効になります。
- マイクロソフトが保存するお客様のコンテンツも暗号化されます。サードパーティが開発した Microsoft Azure で実行されるサービスなど、一部の例では開発者に選択を委ねますが、その場合でも簡単にデータを保護できるようにマイクロソフトからツールを提供します。
- 業界内の他社との協力により、電子メール プロバイダー間など、サービス間で送受信されるデータが暗号化されることを徹底します。
マイクロソフトが提供する多数のサービスや、何億にも上るお客様の数を考慮すると、これは非常に大規模なエンジニアリングの取り組みとなりますが、早急に対応することをお約束します。実際に、多くのサービスでは、ライフサイクル全体または一部に対して強力な暗号化技術が既に適用されています。たとえば、Office 365 や Outlook.com では、お客様とマイクロソフト間で送受信されるお客様のコンテンツが既に暗号化されており、Office 365 のワークロードや Microsoft Azure のストレージでも、データ センター間での転送時に暗号化されるようになりました。その他の分野でも、暗号化を提供する計画を迅速に進めています。
法的な保護の強化
マイクロソフトでは、お客様のデータに対して法的な保護を強化するために新しい対策を講じています。たとえば、法的な命令により、企業および政府のお客様のデータを求められた場合は、該当するお客様に通知を行います。報道禁止令により、お客様への通知を行えない場合には、法廷で異議申し立てを行います。過去にこの方法で異議が認められた実績があり、今後も同様の手段を取ることで、政府がお客様のデータの入手を求める場合に、お客様への通知を行う予定です。さらに、他国に保存されているお客様のコンテンツに対して、政府が同様の要請を行った場合には、有効な異議申し立てを行います。
非常に限定的な状況を除き、企業のお客様や政府機関のお客様がクラウドに移行する前と同じように、政府機関はお客様に直接連絡を取り、自らの調査を損なうことや国家の安全を侵害することなく、従業員や職員に関する情報またはデータを要請するべきであるとマイクロソフトは考えます。そして、その限定的な状況が発生した場合には、裁判所がその問題を検討したうえで、判断を下す必要があるはずです。
透明性の向上
これらの問題について政府に透明性の向上を求めるからには、マイクロソフト自身も透明性を向上してしかるべきと考えています。そこで、マイクロソフトでは透明性を向上させるために、政府機関のお客様が適切にマイクロソフトのソース コードのレビューを行い、その整合性を確認し、バック ドアが含まれないことを検証できる従来のプログラムを利用して、さらなる対策を講じています。また、透明性センターのネットワークを開設することで、政府機関のお客様はマイクロソフト製品の整合性をさらに詳細に確認することができます。透明性センターはヨーロッパ、北米、南米、アジアに開設され、これらのプログラムに含まれる製品についても今後さらに拡大する予定です。
結局のところ、テクノロジ、セキュリティ、法律の問題に取り組むにあたっては最適なバランスを慎重に考慮する必要があります。誰もが安全かつ安心な暮らしを求めていますが、同時に、憲法上の権利の保障も求めています。マイクロソフトは、政府のデータ アクセスに関する重要な問題について、テクノロジを使用して強引に推し進められるのではなく、裁判所に適切に判断されることを望んでいます。また、これらの問題および課題が全世界に関わることを認識し、世界規模で新しい保護対策を適用できるように対応を行っています。これらの新しい対策によって、適切なバランスが実現され、必要とされるセキュリティと、保障されたプライバシーの両方を向上できるものと信じています。