FBIと司法省によるAppleの暗号化に対する論争と法廷闘争が激化するにつれ、議論の多くが個人のプライバシーと、携帯電話が私たちの生活の中で果たす共生的な役割に集中するのは当然のことだ。サウス・バイ・サウスウエスト会議でFBI側に立ったオバマ大統領自身でさえ、「この問題に関して絶対主義的な立場を取ることはできない。それは携帯電話を他のあらゆる価値よりも崇拝するようなものであり、正しい答えではない」と述べた。
議論がプライバシーと犯罪に集中する中で、ビジネスと政府への潜在的な影響の分析がほとんど見落とされています。Apple、テクノロジーベンダー、法執行機関への影響だけでなく、より広範なビジネスコミュニティや、あらゆるレベルの政府機関の日常業務への影響も考慮する必要があります。この観点から見ると、大統領の発言は「…他のあらゆる価値よりも、ごく限られた重大犯罪の捜査を崇拝している」と言えるでしょう。
日々、私はITセキュリティ業界のアナリストとして働いています。以前はガートナー社のリサーチバイスプレジデントとして、データセンター暗号化の主任アナリストを務め、現在は自身の会社を経営しています。過去15年間、世界最大級の企業や政府機関に対し、暗号化システムの活用に関するアドバイスを提供してきました。複数の研究論文を執筆しており、主要な暗号化技術ベンダーのほとんどと引き続き協力関係を築いています。
暗号化がビジネス界全体でどのように使用されているかを知ると、最も基本的なセキュリティ ツールの 1 つが公民権論争の中心になっており、ほんのわずかなミスが企業や政府のセキュリティを数十年遅らせる可能性があることは明らかです。
SXSWでオバマ大統領は「絶対主義」的な立場を取ることに対して警告した。
暗号化はテクノロジーの基盤であり、私たちは常にそれを破っている
デジタル世界では、暗号化は至る所で利用されています。クレジットカードの取引、キーフォブで車のロックを解除する時、パスワードを使ってログインする時、安全なウェブサイトにアクセスする時、無線ネットワークに接続する時、ソフトウェアを更新する時、銀行とのやり取りなど、あらゆる場面で暗号化が使われています。社会は、携帯電話やオンラインチャットの保護だけにとどまらず、はるかに多くの用途で暗号化を利用しています。
暗号化は単なる数学であり、魔法ではありません。深く研究され、パブリックドメインに膨大な研究成果が存在する数学の分野です。かつて米国政府は、インターネットが国境を無視していることから、強力な暗号化製品の輸出を制限し、企業に対し、海外ではより弱いバージョンを使用し、国内ではより弱い暗号化をサポートすることを強制しました。この決定の代償は今もなお、私たちが日々払っているものです。今年初め、研究者たちは、1990年代に意図的に行われたこの弱体化によって直接的に生じた、インターネットの約3分の1に新たな脆弱性を発見しました。
この争いは「暗号戦争」と呼ばれ、クリントン大統領率いる政府は最終的に屈服した。しかし、こうした統制の試みは、製品や企業のセキュリティを弱めるにとどまった。暗号化アルゴリズムは核遠心分離機ではない。ソフトウェアのソースコードを本に印刷して海外に送り、誰かがそれをスキャンしてコンピューターでコンパイルするだけで済む時代、ちょっとした数学を国境で制限するという考えは茶番劇と化した。特に、その数学が既に合法かつ公開されていた時代においてはなおさらだ。
米国政府は、インターネット上で企業や政府サービスを運営する上で暗号化が不可欠だったため、暗号化をめぐる争いから撤退しました。国外での暗号化を、弱体化した国家でのみ許可するという試みは、国内システムも低いセキュリティレベルに対応する必要があったため、誰もが攻撃に対して脆弱な状態に置かれました。こうした初期の試みの痕跡は、数十年経った今でも依然として影響を及ぼしています。
暗号化に制限がなくても、適切な実装は困難です。iOS 7における企業データの保護に関する論文を執筆した際、Appleの不完全な暗号化を最適に回避する方法を説明する必要がありました。まさにこの欠陥が今回の議論の発端となり、後にiOS 8で解消されました。
司法省は最新の報告書で、「この負担は不当ではないが、令状があっても政府が捜索できないように製品を設計するというAppleの意図的なマーケティング上の決定の直接的な結果である」と述べている。この発言は、希望的観測を装った完全な虚偽である。iOS 8の暗号化強化はセキュリティ上の決定であり、長年にわたり同等の基準でノートパソコンを暗号化してきた世界中のITセキュリティ部門から称賛されている。
バックドアを追加したり、拡張性に欠けるキー共有メカニズムを安全に実装したりしなくても、暗号化は十分に困難です。
すべての金の鍵はスケルトンキーである
オバマ大統領はサウス・バイ・サウスウエストの演説で、「我々が重要であると認める一部の問題に関して、暗号が可能な限り強力で、鍵が可能な限り安全で、アクセスが可能な限り少ないシステムをいかに構築するかが答えになるだろうと思う」と述べた。
強力に暗号化されたシステムへの第三者によるアクセスを可能にする既存の技術があります。広く使用されている方法の一つは、代替キーを使用してデータを復号化することです。企業では、従業員がシステムから締め出そうとした場合でもIT部門が企業システムを復旧できるようにするなど、様々な理由から、1つのデータまたはコンピュータに対して複数のキーをサポートすることがよくあります。
Appleや他のテクノロジープロバイダーは、このよく知られた方法を利用して、政府機関によるシステムへのアクセスを許可する可能性があります。実際、これは比較的安全に実行できます。極めて機密性の高い暗号鍵を安全に保つ方法は既に知られています。通常、複数の人物が鍵全体の一部のみを保持し、徹底的な物理的セキュリティ対策とネットワーク化されていないシステムを採用する必要があります。国際的なプライバシーに関する考慮事項や、これらのテクノロジープロバイダーの国際的な事業運営への影響を除けば、このようなシステムが構築され、稀な状況で使用されたとしても、破られる可能性は極めて低いでしょう。
問題は、この種のシステムを大規模に展開することが不可能だということです。まず、FBIが令状不備のない(適切に暗号化された)ストレージと通信を本当に排除したいのであれば、インターネット上のすべての暗号化された製品とサービスに鍵が必要になります。すべてのソフトウェア開発者とハードウェアメーカーが鍵を提供できる、高度に安全なメカニズムが必要になります。これは全く実現不可能なので、おそらく一定規模以上の大手メーカーと開発者だけが参加する必要があるでしょう。
さらに、アクセスの問題もあります。テロ事件でシステムを使用できるのはFBIだけでしょうか? 地方の法執行官は児童性的虐待者や麻薬密売人を捕まえるためにアクセスできるのでしょうか? これは米国だけに限定できるのでしょうか? それとも、米国政府自身が企業システムへのハッキングを公に非難している中国など、他の国々もアクセスできるようになるのでしょうか? あるいは、独自の代替キーが必要になるのでしょうか? これらは正当かつ複雑な問題であり、単なる誇張された議論ではありません。キーへのアクセスが増えれば増えるほど、そのキーはより頻繁に使用されるため、定義上、セキュリティは低下します。
プライバシーに関する懸念を無視すると、企業や政府のシステム(および業務)に壊滅的な影響を与える可能性があります。
デバイスへの影響
企業にノートパソコンの適切な暗号化についてアドバイスする際、鍵管理の複雑さに加え、潜在的な脆弱性についてもすべて説明する必要があります。例えば、特定の国境を越える場合や、物理的に制御できなくなる可能性のあるMacに機密性の高い情報を保存している場合は、システムをスリープ状態にせず、必ずシャットダウンするように指示します。暗号化鍵は不揮発性RAMに保存されることが多く、Macが脆弱になる可能性があるためです。
どのデバイスに回復キーが必要ですか?米国のみですか、それとも全世界ですか?
これは妄想ではありません。一部の政府が企業(そして他の政府)をハッキングすることは事実であり、盗難されたノートパソコンは貴重な情報源となり得ます。産業スパイ(実際に存在します)や標的型犯罪攻撃についても同様です。企業は、エンタープライズ暗号化ソフトウェアを用いてモバイルコンピュータのセキュリティを確保するために数百万ドルを費やし、さらに数百万ドルをスマートフォンやタブレットのセキュリティ管理に充てています。
FBIがすべてのデバイスに代替復号鍵を義務付けた場合、消費者向け携帯電話だけでなく、企業システム全体でそれらの鍵を生成する必要が生じる可能性があります。もしそのような法律がノートパソコンには適用されない場合、この要件を回避する簡単な方法となります。もし適用されれば、政府はすべてのシステムに直接アクセスできるようになり、複雑な鍵交換メカニズムを構築する必要があり、暗号化を行うすべての企業や政府機関は回復鍵を提供しなければならなくなります。
では、企業は国際的な事業展開をどのように行うのでしょうか?あるいは、米国に従業員を抱える国際企業は?これは、他国が独自のアクセスキーを要求するという問題に触れる前の話です。結果として、国際的に暗号化されたデバイスに米国がアクセスできなくなり、米国のシステムは他国で安全になる可能性が考えられます。ただし、各国政府が重要な事件で協力し、証拠を交換しない限りですが(これは前例のないことではありません)。
対象範囲を携帯電話のみ、米国国内、テロ対策など一部のケースに限定すれば、米国企業にとってのリスクと負担は管理可能かもしれない。しかし、FBIとオバマ大統領が表明した目的を踏まえると、対象範囲はより広範であると想定するのが妥当であり、米国だけが、しかも携帯電話のみにゴールデンキーを義務付けるとは考えにくい。たとえ悪意のあるハッカーがキーを盗まなかったとしても、最終的には、企業のデバイス、特に海外旅行で使用されるデバイスは、多くの現実の状況においてもはや安全とは言えなくなるだろう。
通信とインターネットへの影響
FBI長官ジェームズ・コミー氏も以前の声明で、政府が鍵にアクセスできないiMessageのような暗号化通信について懸念を表明しました。企業は、従業員とのコミュニケーションからパートナーやサービスとの安全な取引に至るまで、複数のレベルで安全な通信に依存しています。
こうしたシステムの一部では、政府がバックドア アクセスを義務付け、Apple や Facebook などのプロバイダーに通信の記録を保持するよう強制したり、少なくとも必要に応じて通信を盗聴する能力を持たせたりすることができます。
しかし、これらのシステムはすべて集中化されているわけではありません。企業は、外部のサービスプロバイダーを信頼できない、あるいは規制上の理由から、独自のホスト型通信システムを構築することがよくあります。iMessageのようなツールがアクセスを必要とする場合、VPNはどうでしょうか?ウェブサイトやメールサーバーへの安全な接続は?安全なメッセージングシステムはどうでしょうか?安全なファイル転送システムはどうでしょうか?インターネット上で稼働する金融取引システムはどうでしょうか?
これらはすべて全く同じ基礎技術に依存しており、犯罪者によって日々悪用されています。規制の対象となるのではないかと心配するのは、それほど無理なことではありません。
世の中には何千ものシステムやテクノロジーが存在し、企業が利用するものと一般の人々が利用するものの境界線はほぼありません。もし犯罪者が、政府と提携していることが知られているプロバイダーから、企業が利用するオープンソースや商用テクノロジーに切り替えた場合、それらのシステムも政府へのアクセスをサポートする必要が出てくるでしょう。つまり、他に代替手段がないため、バックドアや回復キーが必要になるということです。
これは、デバイスの問題と同じ問題に再び直面することになります。セキュリティを低下させることなく合法的なアクセスをサポートできる、スケーラブルなメカニズムが存在しないのです。複数のレベルで保護された通信が深刻な侵害を受け、犯罪による損害につながるという、非常に現実的なリスクがあります。しかも、これは外国政府への懸念を抱く前の話です。
データセンターとアプリケーションへの影響
企業で最も強力な暗号化は、携帯電話ではなくデータセンターにあります。企業では、暗号鍵と操作を安全に保管するための、破られない金庫として設計された専用のセキュリティアプライアンスが一般的に使用されています。これらのハードウェアセキュリティモジュール(HSM)は、銀行、小売店、さらにはiCloudキーチェーンのバックアップを保護しています。アクセスにはスマートカード(場合によっては複数の従業員が持つ)が必要であり、物理的な改ざんは、保存されているすべての鍵のフェイルセーフ削除を引き起こす可能性があります。
HSMを購入したくない場合は、複数の大手クラウドプロバイダーからレンタルすることも可能です。レンタル料金は安くはありませんが、クラウドプロバイダーでさえデータにアクセスできないため、究極のセキュリティを実現できます。
これは、安全なデータセンターとアプリケーションに不可欠な強力な暗号化ツールのほんの一例に過ぎません。これらの機器やツールはベストバイで購入できるようなものではありませんが、テロリストや様々な犯罪者にとって予算内で購入できるものです。iPhoneよりも安全で、ストレージや通信システムの構築にも容易に利用できます。私たちは、暗号化された金融・医療データベース、安全なファイルストレージ、さらにはクレジットカード裏面のCVVコードを安全に保管するためにも、これらのツールを活用しています。
これらのツールが企業にとって合法のままであれば、消費者向けテクノロジーに対する政府の監視を回避するために、悪意のあるグループがそれらを利用する可能性が高くなります。企業にバックドアやゴールデンキーの追加も義務付けられれば、デジタルセキュリティの基盤は再び揺るがされることになります。
決定は絶対的なものではなく二元的なものである
大統領とFBI長官は、この対立をプライバシー絶対主義者と政府の妥協主義者の間の対立として描いています。問題は、テクノロジー自体が私たちに二者択一を迫ることです。暗号化された通信やストレージへの合法的なアクセスを大規模に提供する技術は知られていません。政府によるアクセスを許可する唯一の方法は、市民個人だけでなく、企業や政府機関が利用する基盤技術のセキュリティを低下させることです。これは数学の問題であり、政治の問題ではありません。
さらに状況を複雑にしているのは、セキュリティが絶えず進化し、敵対的な政府を含む犯罪者を阻止するためだけに、より強力なテクノロジーをより多くの状況で導入し続けていることです。これは映画の突飛なシナリオではなく、世界中のあらゆる企業にとって、痛ましく高額な費用がかかる現実です。消費者向け、企業向け、政府向けのテクノロジーの違いは価格だけです。こうした改善が制限されれば、壊滅的な被害をもたらす可能性があります。
昨年7月、非常に高い評価を得ている暗号学者のグループが、政府によるアクセスの実現可能性とセキュリティへの影響に関する優れた概要を発表しました。彼らは次のように結論づけています。
デジタル世界において市民が自らを守るために法執行機関の力を必要としている一方で、すべての政策立案者、企業、研究者、個人、そして法執行機関は、世界の情報インフラをより安全で、信頼性が高く、強靭なものにするために努力する義務を負っています。本報告書は、法執行機関によるプライベートな通信やデータへの例外的なアクセス要求を分析し、そのようなアクセスは、犯罪者や悪意のある国家が、法執行機関が守ろうとするまさにその個人を攻撃する扉を開くことになることを示しています。そのコストは莫大なものとなり、イノベーションへのダメージは深刻で、経済成長への影響は予測困難です。
私の経験から見て、彼らの調査結果はまさにその通りです。犯罪や国家安全保障上の問題で政府によるアクセスを許可する場合、デジタルセキュリティの基盤を全面的に損なうことなく、そのような方法は考えられません。これらの要件が世界的に導入された場合の膨大な複雑さを無視したとしても、政府があらゆる暗号化技術へのアクセスを義務付けない限り、犯罪者やテロリストが身を隠すのは容易であり、ほぼすべての企業や政府機関のリスクは劇的に増大するでしょう。
