シートベルトを締めてください。デジタルセキュリティをめぐる新たな戦いが始まろうとしています。FBIは、昨年ペンサコーラ空軍基地で発生した銃撃事件の容疑者が所有していた携帯電話のロック解除に協力を求めていると報じられています。Appleは、既にアクセス可能なすべての情報を法執行機関に引き渡したと主張しています。
以前、このような状況に遭遇したことがあるような気がしたとしたら、それは実際に経験があるからです。2016年、FBIはAppleに対し、サンバーナーディーノ銃乱射事件の犯人が所有していた携帯電話のロック解除を依頼しました。Appleは、そうすることで自社の全デバイスのセキュリティが危険にさらされる可能性があるとして、協力を拒否しました。最終的にFBIは、問題の携帯電話をハッキングすることに成功したイスラエルに拠点を置くサイバーセキュリティ企業に協力を求めました。
私たち全員が頼りにしているテクノロジーにバックドアを作ることに伴う危険性はさておき、Appleが(すでにかなり堅固な)セキュリティ対策をさらに強化するには、今がまさに絶好の機会だと私は考えています。デジタル情報とデバイスに関して言えば、私たちが必要としているのはセキュリティの軽減ではなく、強化なのです。
MIMEの時間です
Appleは長らくiMessageとFaceTimeシステムのエンドツーエンドの暗号化を宣伝してきたが、電子メールに関してはそれに見合った動きを見せていない。
りんごAppleのiCloudセキュリティ概要では、AppleデバイスとiCloudメールシステム間のトラフィックは暗号化されているものの、メールサーバーに保存されるデータは暗号化されていないと述べられています。これはAppleが「業界標準の慣行に準拠している」と説明しています。そしてもちろん、メールメッセージが受信者に送信される際には、セキュリティはチェーンの最も弱いリンクと同じ強度しか発揮しません。
ソーシャルメディア、Slack、その他のメッセージングアプリの登場で、メールはもう時代遅れだと感じるかもしれませんが、私たちのオンライン生活の多くは依然としてメールに依存しています。人とのコミュニケーションだけでなく、パスワードのリセット、ユーザーアカウント、その他の身元証明手段といったツールも、依然としてメールというインフラに依存しています。
実際のところ、Apple は iOS と macOS で S/MIME と呼ばれる電子メール暗号化標準をサポートしていますが、デフォルトでは有効になっていません。また、これを設定するには、証明書の生成やプロファイルのインストールなど、ほとんどの平均的なユーザーの能力や興味の範囲を超える、かなり技術的な知識が必要です。
しかし、もしAppleが本当にメールのセキュリティ強化を推進したいのであれば、それを実現するだけの力は確かにあるようだ。少なくともAppleのメールサービスのユーザー間では、そして場合によってはGoogleやMicrosoftといった大手メールプロバイダー間でも、ある程度の協力があれば実現できるかもしれない。ツールの基礎は既に整っており、あとは実装するだけだ。
2つの要因が目覚める
データのセキュリティ確保に熱心な人にとって、二要素認証は必須となっています。Appleは、自社システムに二要素認証を実装するだけでなく、SMSテキストメッセージによる最も一般的な認証方法でも自動入力機能を提供することで、システムをより使いやすくするという、非常に堅実な取り組みを行っています。
しかし、電話番号のなりすましが比較的容易なため、SMSは認証手段として必ずしも最も安全ではないことがますます明らかになっています。代わりに、Authy、Google Authenticator、1Passwordなど、デバイス上でローカルにコードを生成できる認証アプリを利用する方が賢明です。この方法の欠点は、特に自動入力機能に関しては、SMSよりも明らかに利便性が低いことです。
おそらくAppleは、自社の2段階認証(TFA)システムをサードパーティにも拡張すべき時なのでしょう。SMSの自動入力のように、認証アプリが要求に応じてコードを提示できるようなシステムも考えられます。この機能は既にある程度存在しています。例えばAuthyは、場合によってはリクエストに応じてTFAコードを提示できます。(私のTwitchアカウントでしか確認していませんが、どうやらAuthy独自のAPIを使用しているようです。)Appleは、ユーザーのTFA体験を向上させる上で絶好の位置につけており、セキュリティと利便性の向上という稀有な両立を実現していると言えるでしょう。
信念を貫く
しかし、セキュリティは技術だけでなく、ポリシーも重要です。Appleがセキュリティとプライバシーを最優先事項としていることは素晴らしいことですが、今後は、政府がデバイスのロック解除を強制できないようにするなど、自社の方針を堅持するだけでなく、世界中で同様の取り組みを推進することで、その姿勢をさらに強化する必要があります。
これは同社にとって大きな課題となるだろう。なぜなら、同社の最大市場の一つであり、製造拠点の大部分が中国にあるからだ。Appleは既に中国政府の要請でアプリを削除したことで苦境に立たされている。さらに、中国本土におけるiCloudサービスはApple自身ではなく、現地の企業によって運営されている。これは、事態への対処から手を引こうとするかのように、難局を切り抜けようとする試みと言えるだろう。
誤解しないでください。Appleは中国に多くの資源を投入しており、そのため同国政府からの要求に対して特に脆弱です。Appleが原則的な立場を取ることは、たとえ望んでいたとしても経済的に現実的ではありませんが、プライバシーとセキュリティを今後も競争上の優位性の一つとしたいのであれば、長期的に中国との関係を断つ方法を模索するべきです。そうでなければ、Appleは口先だけで行動に移せないように見えてしまいます。
