2018年10月31日
■ 業界の信用を傷つける思想を開陳したトレンドマイクロ社にセキュリティ業界は団結して抗議せよ
トレンドマイクロ製品がApp Storeから締め出された事案が重大局面を迎えた。エバ・チェン社長兼CEOの声明が発表されると同時に、準備されていたZDNetニュースが報じられた。
- App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日
- トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明, ZDNet Japan, 2018年10月31日
これまでの説明とは異なり、もはやトレンドマイクロ社固有の事情を超え、情報セキュリティ業界の一般論として、業界が必要としている情報取得だったのだと正当化し、社会が理解すべきものだとして、世間に理解を求める声明になっている。
セキュリティ企業は、お客さまのセキュリティならびにプライバシーを改善する目的にのみ、お客さまから信頼いただいているセキュリティ企業としての立場と重要なお客さまのデータへのアクセスを利用すべきという考えに基づいたものです。これは、公然と行われる悪意ある活動や情報漏洩、不適切な形での広告収益化といった形で、許可なくお客さまのデータにアクセスして利益を得ようとするものからお客さまを守るためです。
(略)
ここで問題になるのが、どのようにして一般消費者の個人データやプライバシーを保護しながら、同時に効果的なセキュリティの提供を実現するか、ということです。
(略)
しかし、セキュリティはインフラのレイヤに属するものであり、単一機能のアプリに制限するものではなく、エコシステム全体で考慮する必要があります。最善のセキュリティは、それが影響する領域に関する迅速な警告に基づくものであり、その実現に当たってはユーザからの自警団的なデータに依存することになります。
セキュリティとは関連性がないアプリ(例:バンキングアプリ)で悪いことが起きるのを適切に防ぐといった形で当社が一歩先を行くためには、一定レベルの状況把握が必要になると考えております。
App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日
Chen氏は、同社のこれまでの対応に不十分な点があったことを認めるが、ユーザーのプライバシーに関わるデータをめぐっては、同社の見解がまだ十分に受け入れられていないとも主張する。
(略)
またセキュリティでも、巧妙かつ高度で複雑な脅威をとらえるためには、ユーザーの多様な情報が不可欠であり、同社に限らず多くのセキュリティ企業がユーザーのプライバシーにも関わるデータを含めて収集・分析して脅威の検知や防御に役立てている実態がある。さらには、セキュリティ企業同士や警察などの法執行機関の間でも日常的にセキュリティ関連情報を収集、共有しており、サイバー空間の安全の確保のために利用している。
Chen氏は、「(略)企業ビジネスと同じように収集対象データの種類や利用方法といったものを厳格に規定すれば、現在のサイバー空間の安全を一丸となって確保していくセキュリティ業界の仕組みや役割を後退させてしまう懸念がある」と主張する。
トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明, ZDNet Japan, 2018年10月31日
情報セキュリティ業界の末席に身を置く者として、このような見解は到底容認できない。百歩譲って、セキュリティ対策ソフトが利用者の同意なくあらゆる情報を抜き取ることに正当性があるとしても、「メモリ最適化」「電池長持ち」系のアプリがそのような情報収集をすることには一切の正当性がない。開発元がセキュリティ事業者であることはそのことを何ら正当化しない。
トレンドマイクロのこのような主張は、セキュリティ事業者であれば同意なくどんな情報を取得しても許されるべきとする一般論であり、情報セキュリティ業界全体の信用を傷つけるものである。
私自身、最近、インシデント対応の当事者としてセキュリティ事業者に業務を発注する立場を初めて経験したが、切迫する状況の中で、セキュリティ事業者にホイホイとデータを渡して分析を依頼するわけだが、後から思えば、契約の内容がどうなっているかをチェックする余裕などなかった。そこには、当然、セキュリティ事業者たるもの、当該事案に係る情報しか取得しないし、事案が必要とする限度を超えて保管し続けたり、流用することなどあり得ないだろうという信用によって、ホイホイとデータを渡すわけである。
トレンドマイクロのこのような主張が、情報セキュリティ業界の標準的な考え方だと世間からみなされれば、もはや、そのような信頼関係は崩壊してしまう。
情報セキュリティ業界は、業界団体を通じて、トレンドマイクロ社のこのような理念を「我々は共有しない」旨の声明を発表するときであろう。もっとも、おそらく全ての業界団体にトレンドマイクロが幹事として入り込んでいるので、そのような声明を取りまとめることは困難かもしれない。ここは、トレンドマイクロ社を除名してでも、「我々は共有しない」旨の声明を出すべきだ。
行政機関は今日こうしたセキュリティ事業者に頼り、様々な業務委託をしている。そのような業者の経営者が、セキュリティ目的であれば契約にないところのデータまで取得しても正当であると主張しているなら、そのような業者を使うことはリスクである。入室を許すことも危うい。このような業者は政府調達から排除するべきであるし、排除するための仕組みを準備するべきである。
医療分野において過去100年間にもたらされた目覚しい発展によって、我々は恩恵を受けてきました。この成功の要因の一つは、エコシステム全体での世界レベルでのコラボレーションにあります。医師は世界中の事例を分析しています。サイバーセキュリティの分野でも同様で、エコシステム全体が役割を果たすことに頼っています。
App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日
戦前の人体実験ではあるまいに、何を言っているのか。21世紀の今日、どれだけ医療従事者・医学研究者がインフォームド・コンセントに神経を擦り減らしてきたか。
トレンドマイクロが主張していることは、病院に来た患者は、求められた診療以外についても、医療技術・医学の発展のためには、モルモットにして許されるべきというものだ。それどころか、病院に来た付添人や面会者(「メモリ最適化」「電池長持ち」系のアプリが相当)に対しても、同意なく医学研究のための介入調査を行なって構わないという主張だ。下手をすれば、病院の外にいる通行人(LANの盗聴等がこれに相当)に対してさえも介入調査の対象にする勢いだ。
このような危険思想を振りまいて憚らない業者にはNO!を突き付けなければならない。
製品の透明性を高めるべく内部から解決を提案していた善良なエンジニア諸兄が不憫でならない。これから流出するであろうトレンドマイクロ難民を温かく迎える体制を業界の他の会社に期待したい。
- はてなブックマークコメント ×7 (2018-10-31)