Iphone

非常に恐れるべきだ:「データプライバシーデー」タウンホールミーティングの記録

非常に恐れるべきだ:「データプライバシーデー」タウンホールミーティングの記録

クリストファー・バッド

データプライバシーデーおめでとうございます。あるいは、1月のハッピーハロウィンとでも言い換えてもいいかもしれません。今週、シアトル美術館(SAM)で開催された、Online Trust Alliance(OTA)主催のデータプライバシーデー・タウンホールミーティングに参加した後は、きっと不安になるはずです。とても不安になるのは当然です。

データプライバシーデーは、1月28日に開催される毎年恒例のイベントで、テクノロジー業界におけるプライバシー、信頼、セキュリティの問題に注目を集めます。世界中の企業、政府、そして非政府組織(NGO)がデータプライバシーデーの活動に参加しています。

OTAは、スパムとフィッシングに関する問題に対処するために2005年に設立された、ベルビューを拠点とする業界ワーキンググループです。マイクロソフトでプライバシーとスパム対策技術を担当していた元マネージャー、クレイグ・スピーズル氏が創設者兼エグゼクティブディレクターを務めています。マイクロソフトを退職後、スピーズル氏はOTAをオンラインプライバシーとセキュリティに関するより広範な業界に焦点を当てたワーキンググループへと成長させることに注力してきました。

こうした継続的な取り組みの一環として、OTAは今年のデータプライバシーデーに、基調講演者と専門家パネルを招いたタウンホールイベントを2回開催しました。これらのイベントは、OTAの継続的な取り組みの一つである教育活動を支援するものです。今週、OTAはデータ保護とデータ侵害への対応に関するベストプラクティスガイドである「2013年版データ保護と侵害対応ガイド」を発表しました。

タウンホールミーティングで示されたように、この種のガイダンスは早ければ早いほど良いでしょう。

ワシントン州司法長官ボブ・ファーガソン

タウンホールの基調講演では、ワシントン州の新司法長官ボブ・ファーガソン氏が、サイバー犯罪とテクノロジーの執行に関する初の演説を行いました。ファーガソン氏には、この分野において大きな役割を担う人物がいます。前司法長官ロブ・マッケナ氏は、特にスパム対策において、州内および全米で積極的な執行で高い評価を得ています。ファーガソン氏の演説は、少なくとも自らが担う役割の大きさを率直に認め、司法長官事務所の専門スタッフが継続性を提供することを強調し、ワシントン州をサイバー犯罪とテクノロジーの執行の最前線に維持することを約束することで、任期の好調なスタートを切ったと言えるでしょう。セキュリティとプライバシーの分野に携わる私たちにとって、ファーガソン氏の紹介はまさに的を射ていました。

ファーガソン司法長官の発言後、イベントは2つの専門家パネルの特集へと移行した。1つはビッグデータ、イノベーション、プライバシーの融合を扱い、もう1つはデータ保護とデータ侵害対応を扱うものだった。

パネルディスカッションでは、今日の環境においてデータと情報を保護するには何が必要か、データ保護の現状はどのようなものか、そしてデータ保護が失敗したり不十分になったりした場合の状況について概観しました。これらのパネルディスカッションを総合すると、複数のトレンドが重なり合う中で、データセキュリティを取り巻く状況はますます暗くなっていることがわかります。

新しいテクノロジーは、(特に位置情報やモバイルデバイスに関する)より詳細なデータを収集できるようになり、多くの場合、その影響をほとんど考慮せずに急いで開発・導入されています。一方、ストレージコストがゼロに近づいていることで、収集されるすべてのデータ(必要かどうかに関わらず)を安価かつ容易に保存できるようになり、この傾向を助長しています。

膨大なデータの収集と保管という状況の中、パネリストたちは、現在のデータ保護とセキュリティ対策がいかに不十分であるかを議論しました。OTAの2013年版「データ保護と侵害への備えガイド」に掲載されている統計は、2012年には1,478件のデータ侵害が発生し、そのうち97%が「回避可能」と分類されたことを如実に物語っています。

この状況だけでも十分に深刻ですが、データ保護および侵害対応に関するパネルメンバーが指摘したように、マルウェアや攻撃の開発はますます高度化し、専門性も高まっています。文法やスペルミスが散見される、稚拙なフィッシングメールの時代は終わりました。今では、攻撃者はネイティブスピーカーに作業を委託し、品質管理のために編集者まで雇っています。こうした状況を考えると、近い将来、フィッシングメールはオリジナルよりも優れているという理由で見分けられるようになるのではないかと考えずにはいられません。

パネリストたちはまた、クラウド技術の導入と「個人所有デバイスの持ち込み」(BYOD)ポリシーの推進によって、優れたネットワークセキュリティに不可欠な秩序と管理が乱され、経営が健全な組織でさえも手に負えないほどの課題に直面していると指摘しました。データ保護と侵害対応パネルのパネリストたちは、セキュリティ専門家は立ち上がってBYODの波に抵抗すべきだと、全員一致で提言しました。あるパネリストは、「この業界では粘り強さが不可欠​​です。そして、まさにこの分野でこそ、粘り強さが求められるのです」と述べ、また別のパネリストも同意しました。

データセキュリティは不可能だと結論付けるのは間違いです。OTAがタウンホールミーティングに合わせてガイドを公開したという事実は、プライバシーを尊重し保護しながら、現代のソーシャルインターネットを安全に運用し、利用することができることを示しています。しかし、これが自然に実現すると結論付けるのは間違いです。この分野に携わる私たちは、データセキュリティとプライバシーをめぐる危機が、1990年代後半から2000年代のセキュリティ危機をはるかに凌駕するほど深刻であることを認識しています。問題から解決策へと進むには、現状を認識し、何が必要なのかを理解することが不可欠です。

このようなイベントが、私たちがどこにいるのか、そしてどこへ向かう必要があるのか​​を皆がよりよく理解するのに役立つことを願っています。