Vision

ゲスト解説:私はアップル論争でビル・ゲイツに同感だ。話し合う必要がある。

ゲスト解説:私はアップル論争でビル・ゲイツに同感だ。話し合う必要がある。
ビル・ゲイツ ティム・クック
ビル・ゲイツとティム・クック

先週はサイバーセキュリティのニュース界にとって、画期的な衝撃的なニュースが飛び出した一週間でした。AppleのCEO、ティム・クック氏が国民に宛てた公開書簡で、顧客の携帯電話への侵入を求めるFBIの裁判所命令にAppleが対抗する理由を説明したことで、暗号化と政府の監視をめぐる議論に国民が巻き込まれることとなりました。

今週火曜日の見出しには、予想外の展開でした。ビル・ゲイツ氏がFBIに味方しFBIのAppleへの要請に反旗を翻す、といったニュースは、予想外の展開でした。しかし、彼の発言が一日を通して明らかになっていくにつれ、100%同意できる意見が浮かび上がってきました。これは私たちが議論すべき問題です。

ティム・クック氏の書簡を読めば、彼がFBIの主張に同情していないわけではないことが分かります。データが容易に入手可能で、犯罪行為、あるいは今回の場合はテロ行為といった明らかな事実があれば、Appleは喜んで協力するでしょう。問題は、Appleが非常に優れたセキュリティシステムを設計しているということです。意図的に、Apple自身でさえユーザーのデータにアクセスできないようにしています。Appleはユーザーのデータをプライバシー保護したいと考えており、これは実際には優れたセキュリティ対策と言えるでしょう。

FBIシールFBIは何を聞いているのか?

政府がAppleに求めているのは、iOSファームウェアの特別なバージョンを作成し、内蔵のセキュリティ機能の一部を意図的に回避することだ。例えば、パスワードを10回以上間違えるとデバイスを消去する機能がある。また、試行回数を制限するパスコード機能もある。パスコードを4回以上間違えると、次回入力できるようになるまでに時間がかかる。これらの機能はすべてブルートフォース攻撃に対抗するためのもので、犯罪者があなたの携帯電話を盗んだ場合、1時間あたり何千ものパスコードを試行できる装置を作成し、最終的にはあなたの携帯電話からすべてのデータを入手できるようになる(そしてこのFBIのケースでは、彼らはAppleに、パスコードを電子的に入力できる追加コードの作成も求めており、これによってパスコードをより速く解読できるようになる)。つまり政府が本当に求めているのは、この携帯電話でブルートフォース攻撃をより簡単に行えるようにすることだ。

ご存知のとおり、政府は1789年制定の全令状法と呼ばれる古い法律を利用して、Appleに遵守を強制しています。私は法学者ではありませんが、私の理解では、全令状法は、特定の問題に関する法律が実際には存在しない場合に、裁判所が組織に対して法的に何らかの措置を命じることができるように設計された、いわば包括的な法律です。

それで、ここで何が問題なのでしょうか?

理性ある人間なら誰でも、当局に協力したいと考えるのは当然でしょう。特に今回のような、既知のテロリストがいて、当局がさらなる攻撃から国民を守ろうとしているような明白なケースではなおさらです。実際、この死亡したテロリストにはもはやプライバシーの権利はありません。先ほども述べたように、クックCEOは書簡の中でそのことを認めています。しかし今回の件でFBIが求めているのは、FBIがiPhoneを解読するのに役立つよう、Appleに製品の弱体化版を作成することです。もちろん、米国政府はこの弱体化ファームウェアを永久に使用するつもりはないとしています。もしかしたら、今回の件だけかもしれません。

しかし、Appleの主張は、私も同感ですが、弱体化したファームウェアを一度世に送り出せば、それがどのように使用されるか、あるいは、他の規制当局が、より明確な理由がないケースで、他のスマートフォン向けに同様のバージョンを作り続けるかどうかを制御できなくなるというものです。今回のケースでは意図が善意であったとしても、それが悪意のある者の手に渡れば、すべての人のセキュリティとプライバシーが弱体化します。死んだテロリストにはプライバシーの権利はありませんが、私たちにはプライバシーの権利があります。

これは政府とセキュリティベンダーの間で繰り返し懸念される話題となっています。今回はパスコードの総当たり攻撃ですが、この議論は、公開暗号化ソリューション用の「マスターキー」を保持したいと考えている政府にも当てはまります。

目的が手段を正当化するとは限らない

個人的にはAppleの味方です。手段が何であれ、消費者のセキュリティを意図的に弱めることは、捜査によって短期的に得られる利益よりも、長期的にはより大きな害をもたらすでしょう。さらに、バックドアが犯罪者を阻止したりテロリストを捕まえたりするのに役立つという証拠はほとんどないどころか、むしろ逆の証拠があります。

ブルース・シュナイアー氏は著名な暗号学者であり、最近行われた2つの研究に参加しました。1つ目の研究は、政府が国産暗号製品にバックドアを設けた場合、本当に効果があるのか​​どうかを検討したものです。その結果、テロリストが通信を安全に保護するために利用できる、国産ではない暗号製品が数百種類存在することが判明しました。

エドワード・スノーデン-2
エドワード・スノーデン

2つ目の調査では、犯罪者の通信が「暗転」する現象について調査しました。その結果、多くの通信が依然として平文で行われていることが判明しました。捜査官がこの種のデジタル犯罪を追跡するのに役立つメタデータやその他のデータは依然として豊富に存在します。

つまり、犯罪者を捕まえるためだけに、政府が消費者の暗号化やセキュリティを破る必要などないはずです。他にも捜査方法はたくさん残っており、暗号化を破ることはインターネット全体の状態を弱体化させるだけです。

いずれにせよ、これは非常に興味深いセキュリティ上の難問であり、ある種のグレーゾーンと言えるでしょう。Appleの意見には賛同しますし、クック氏の主張は非常に説得力のあるものだと考えています。しかし、ここで本当に重要なのは、私たちのコミュニティ全体、そして世界中のすべての人々が、この問題について透明性のある公開討論を行うことです。今後、政府がコンピュータ防御とセキュリティに関して限界を押し広げようとする状況がますます増えていくでしょう。

政府はセキュリティ対策に邁進するだけでなく、攻勢に出る傾向も見られます。過去5年ほど情報セキュリティに注目してきた方なら、政府がコンピュータやネットワークへの攻撃を訓練された「レッドチーム」を編成していることを示す証拠を数多く目にしてきたことでしょう。「オリンピック作戦」の詳細、専門家によるスタックスネットの分析、スノーデン氏の情報漏洩、政府のサイバー予算の拡大、そして最近ではウクライナが自国の重要インフラを他国が攻撃したと非難するニュースを耳にしたことがあるでしょう。

より広範な影響

政府が真に国民の安全を守りたいのであれば、攻撃よりも防御に重点を置くべきだと私は考えています。攻撃的なサイバーセキュリティ戦術は短期的な利益しか生みませんが、長期的な悪影響を及ぼします。攻撃に重点を置く政府は、脆弱性を隠蔽し、後で悪用しようとします。これはすべての国民を危険にさらすことになります。なぜなら、悪意のある人物は必ずこれらの脆弱性も見つけるからです。

このような攻撃を検討している政府は、本当に同じ攻撃から自国を守る準備ができているのでしょうか?端的に言えば、答えは「ノー」です。CIAとNSAの元長官でさえ、我々は準備ができていないと述べています。実際、「バックドア」や暗号化マスターキーの作成を求める声は、我々の防御を積極的に破壊し、皆の問題を悪化させています。

私の考えでは、目的が必ずしも手段を正当化するとは限らない。もし、政府が決して実現できない漠然とした安全という概念のために、自由民主主義国家の国民がプライバシー、自由、そして安全を犠牲にするような手段を使うなら、私はそんな手段はやめようと思う。

むしろ、政府がデジタルセキュリティに真摯に取り組むのであれば、情報セキュリティにも真剣に取り組むべきです。Appleをはじめとする公的・民間ベンダーのセキュリティ機能を強化することに時間を費やすべきです。すべての市民の通信を保護する、破られない暗号化技術を開発すべきです。そして、あらゆるゼロデイ脆弱性を発見し、修正すべきです。そうすれば、テロリストや国家がそれを悪用して他者に対して非対称的な力を得ることはできません。Stuxnetはサイバー軍拡競争というパンドラの箱を開けてしまいました。この箱を閉じたいのであれば、武器ではなく、より強力な防具の開発に注力すべきです。

これが私の考えですが、あなたはどう思いますか?