ロシアのKaspersky Labは、米政府データの流出に関与した疑いが発覚したことを受け、信用の回復を目的に、同社製品のソースコードを今後複数の独立系企業と連携して監査することを約束した。
同社は現地時間10月23日、短い声明を公開し、2018年第1四半期までに「国際的に認知された機関」が独立したソースコードレビューを実施するとともに、「当社のソリューションおよびプロセスの完全性」を確認するとした。
レビューを実施する企業名は明かされていないが、同社はニュース通信社Reutersに対し、選択した組織は「サイバーセキュリティ製品に対するソフトウェアのセキュリティおよび保証試験で優れた実績を持つ」とコメントした。
モスクワに本社を置くKasperskyはさらに、向こう3年間でアジア、ヨーロッパ、米国の3カ所に「透明性センター」を設置する計画があると述べた。これらのセンターがソースコードと社内プロセスの監査計画を取りまとめ、また必要に応じてコーディングと脅威検出ルールの変更を行うという。最初のセンターは2018年に稼働を開始し、残る2つは2020年までに完成予定だとしている。
だが、セキュリティ業界の懸念を払拭するには、これだけでは不十分かもしれない。米マサチューセッツ州ボストンのセキュリティ企業CybereasonのAmit Serper氏は、自身のTwitterで、真の問題は別のところにあるかもしれず、ソースコードの監査は役に立たない可能性があると指摘した。
「コードの監査は、まったく無意味だ」とSerper氏は述べ、「ロシアの諜報機関が必要とするのは、データの宝庫であるKasperskyのデータレイク、KSNへのアクセスだけだ」と「Kaspersky Security Network」(KSN)に言及した。KSNは、有志のユーザーから収集された脅威関連データを処理するクラウドベースのネットワークだ。
米ZDNetの取材に対し、Kasperskyの担当者は次のように述べた。
「ソースコードとソフトウェアアップデートの解析に関するKasperskyの提案は、当社製品とKSNの関わりについて監査することも含んでいる。当社の目的は、ソフトウェアセキュリティならびにサイバーセキュリティ製品の品質保証テストにおいて確かな資格を有する、独立した専門家の協力を得ることだ。当社は顧客のセキュリティに最良の保護を提供していることを保証するため、すべての必要な手段をとる用意がある」
提供:File photo
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。