——セキュアで優れたコミュニケーションツールを探す際には、どういった評価基準を用いればよいのでしょうか?
Gunn 何よりもまず、(ツールは)送り手と受け手の双方にとって使いやすいものである必要があります。さもなければ、平均的なコンシューマーが日々の生活で使えるだけの実用性を持っていないことになるはずです。
Smith 私が機密情報を扱うツールで最初に評価するのは、エンドツーエンドの暗号化が実現されているかどうかです。つまり、送り手のデバイス上でデータの暗号化が行われ、受け手のデバイス上で復号化が行われているかどうかです。エンドツーエンドの暗号化が実現されていれば、送り手側から受け手側に向けた通信が第三者によって盗み見られる危険性を大きく減らせます。暗号化ツールでその次に重要なのは、AES-256といった最新の暗号化標準を使用しているかどうかという点です。既知の脆弱性を抱えた暗号化手段は、通信の秘匿化という点でまったく役に立たないのです。
両氏とも、有名なメッセージングアプリを使用する場合は特に、そのドキュメントと使用許諾契約書にしっかりと目を通しておくべきだと語っていた。アプリがローカル環境やクラウド環境にキャッシュデータを残さないようになっていることと、個人的なデータが商用目的で利用されないということを特にしっかりと確認する必要があるという。
例えば、「Snapchat」や「Skype」のようなアプリは、一般的なコミュニケーションではまったく問題なく使用できる。しかし、Snapchatにも、Skypeにも、既知のセキュリティホールが存在している。
——暗号化機能に問題のあるアプリは、どのようにして見分けられるのでしょうか?
Gunn 平均的なユーザーは、暗号化アプリの有効性を評価する手段をまったく持ち合わせていません。
Smith 貧弱な暗号化アプリは一般的に、プライバシーポリシーが欠如していたり、ポリシーがあったとしてもセキュリティについての言及がないといった傾向があります。また、アプリやサービスが使用する暗号化手法やセキュリティ対策の実装に対する可視性の低さも挙げられます。これらの点だけで貧弱なツールを完璧に見分けることはできませんが、その企業があなたのデータのセキュリティやプライバシーに注意を払っていないという警告にはなるはずです。
——プライバシーに関する妥当な個人ポリシーとはどのようなものでしょうか?
Gunn その答えは2つの要素によって変わってきます。1つ目は、その時点で世の中を騒がせている脅威のレベルです。そして2つ目は、政府があらゆる通信に自由にアクセスできるという状況で、人々がどれだけ政府を信頼できるかです。
Smith まず、コンシューマーの暗号化における鍵は透明性です。暗号化を利用したコンシューマーベースのサービスを提供している企業に対する私からの提言は、顧客のデータで何をするかや、誰と共有するか、法執行機関からのアクセス要求にどのように対処するかを厳密に記した、明確かつ簡潔なプライバシーポリシーを用意することです。さらにベンダーであれば、データのセキュリティを向上させるために採用している手段を開示するのもよいでしょう。社外秘の内容を明かす必要はありませんが、どのようにデータを暗号化しているのかを開示すれば、セキュリティに関するコンシューマーの懸念を容易に和らげられるはずです。コンシューマーは、企業や政府がさまざまな方法で自らのデータを乱用する可能性に気付いており、自らの行動に反映させつつあります。デジタルの世界において、データは新たな通貨となっていますが、意識の低いコンシューマーは残念ながら、コンシューマー機器の機能や価格に気を取られ、セキュリティやプライバシーに対する投資は二の次にしているのです。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。