Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「プライバシー侵害」と「Webアプリ脆弱性」の「共通的危機」とは

edited by Security Online   2018/08/21 06:00

 毎年8月に米国ラスベガスで開催される「Black Hat USA」と「DEF CON Hacking Conference」には、世界中からセキュリティ関係者やハッカーらが集う。最新のセキュリティ動向や“未知”のハッキング(脆弱性)が紹介されるこれらカンファレンスから、取り組むべき課題を見つける参加者も多い。

 今回のカンファレンスで注目を集めていたのが、スマートハウス/スマートデバイスなど、「生活を支える技術の中に潜む脆弱性」への対応だ。あらゆるデバイスが相互接続する「つながる世界」が実現する中、プラットフォームや収集されるデータのセーフティとセキュリティをどのように確保するのか――。データを管理する側も、データを提供する側も真摯に考える必要がある。

 この課題をメインテーマに掲げたのが、米シノプシス(Synopsys)の年次コンファレンス「CODENOMI-CON 2018」である。Black Hat会期中の8月7日、同じくラスベガスで開催した同コンファレンスでは、個人のプライバシーとデータ保護に関する考察から、Webアプリケーションのセキュアな開発手法まで、旬な話題を取り上げた。

 コンファレンス会場はDelanoホテルの64階にある「Skyfall Lounge」。Black Hat期間中は多くのセキュリティベンダーが小会場で自社コンファレンスやイベントを開催する
コンファレンス会場はDelanoホテルの64階にある「Skyfall Lounge」。
Black Hat期間中は多くのセキュリティベンダーが小会場で自社コンファレンスやイベントを開催する

 元々、CODENOMI-CONは、シノプシスが2015年に買収したセキュリティベンダー、コードノミコン(Codenomicon)が開催していたものだ。毎年、同コンファレンスでは、セキュリティの第一線で活躍するエキスパートを招き、トークセッションが繰り広げられる。

 1986年に米国で創業したシノプシスは、半導体設計のEDA(Electronic Design Automation)やIP(Intellectual Property)市場でトップシェアを占めている企業である。また、近年は半導体設計からソフトウェア開発までの領域(Silicon to Software)をカバーすべく、積極的な買収でソフトウェアの「質」と「セキュリティ」を確保する製品の拡充に努めている。直近では、2017年11月、オープンソースソフトウェア(OSS)のセキュリティマネジメント自動化ソリューションを開発する、ブラック・ダック・ソフトウェア(Black Duck Software)を総額約5億6500万ドルで買収した。

 Skyfall Loungeからの眺め。コンファレンス後はネットワーキングパーティとなる
Skyfall Loungeからの眺め。コンファレンス後はネットワーキングパーティとなる

世界規模で進む顔認証技術の進化

 コンファレンスの最初に登壇したのは、技術系Webサイト「ARS TECHNICA」で記者を務めるサイラス・ファリバー(Cyrus Farivar)氏だ。同氏は2018年5月、社会の監視状況を詳らかにした「Habeas Data: Privacy Vs. the Rise of Surveillance Tech(人身データ:プライバシー対監視技術の台頭)」を上梓した。プレゼンテーションでは、現在警察が利用している監視技術の紹介や、2018年6月に可決されたカリフォルニア州の新プライバシー法に関する影響などが、多角的に紹介された。

 「Habeas Data: Privacy Vs. the Rise of Surveillance Tech」の著者でITジャーナリストのサイラス・ファリバー(Cyrus Farivar)氏
「Habeas Data: Privacy Vs. the Rise of Surveillance Tech」の著者で
ITジャーナリストのサイラス・ファリバー(Cyrus Farivar)氏

 冒頭、ファリバー氏は「政府や警察が実施している個人情報の収集は、我々の想像よりも多くの情報を収集している」と指摘した。「警察は一般市民のデータトラッキングはしていないといっているが、その言葉を鵜呑みにすることはできない」(同氏)

 ファリバー氏が監視技術の筆頭として挙げるのが、顔認識システムだ。すでに中国では治安維持や犯罪の抑止を目的に、AI監視カメラと犯罪容疑者のデータベースを連携させた「天網」システムを構築している。また、2020年に開催される東京オリンピック・パラリンピックでは、セキュリティ対策として顔認証システムの導入が決定している。

 ファリバー氏は「こうした動きは米国でも水面下で行われている」と指摘する。たとえば、オレゴン州ワシントンの警察では、警官に付帯しているボディカメラの映像や街頭の監視カメラから送信されたデータを収集している」と指摘する。

 もちろん、国家機関がこうしたデータを第三者に“販売”することはない。しかし、民間からのデータ―クレジットカードの利用データやSNSへの書き込みなど―と監視データを突合すれば、プライバシーは丸裸になる。

 こうした動きに危機感を示したのが、カリフォルニア州だ。同州は2018年6月28日、消費者プライバシー法を可決した(2020年1月より施行)。これにより企業は、利用者に対して収集しているデータの種類と使用状況を伝える義務を負う。

 ファリバー氏は「法律で規制されているからといっても(データプライバシー)が守られているとは考えてはいけない。我々はもっと自分のデータに対して注意深くなる必要がある」と主張した。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

  • 鈴木恭子(スズキキョウコ)

    ITジャーナリスト。 週刊誌記者などを経て、2001年IDGジャパンに入社しWindows Server World、Computerworldを担当。2013年6月にITジャーナリストとして独立した。主な専門分野はIoTとセキュリティ。当面の目標はOWSイベントで泳ぐこと。

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5