[インタビュー]エフセキュアCRO ミッコ・ヒッポネン氏に聞く デジタル監視社会におけるプライバシー保護の重要性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.26(月)

[インタビュー]エフセキュアCRO ミッコ・ヒッポネン氏に聞く デジタル監視社会におけるプライバシー保護の重要性

例えば、アメリカのプライバシーに関する法律を読むと、「アメリカ国民を保護する」と書かれていることがありますが、フィンランドの法律は、「全ての人類」と規定しています。

特集 特集
「フィンランド人の男が約束するといったら、その約束は絶対に守られる」エフセキュア CRO ミッコ・ヒッポネン氏
「フィンランド人の男が約束するといったら、その約束は絶対に守られる」エフセキュア CRO ミッコ・ヒッポネン氏 全 4 枚 拡大写真
フィンランドのエフセキュア社は、ソニー社の映画DVDのコピー防止プログラムをルートキットと指摘するなど、早くからユーザーのプライバシー保護について明確な姿勢をとってきた企業として知られる。

今回、同社のCRO(セキュリティ研究所主席研究員)であるミッコ・ヒッポネン氏が来日し、我々のインタビューに応じてくれた。同社が提供するコンシューマー向けのプライバシー保護製品「F-Secure Freedome」の開発コンセプトについて、政府を含む組織の盗聴・監視から市民のプライバシーを守ることの重要性について話を聞いた。

──まず、F-Secure Freedomeはどういう製品か教えて下さい

ユーザーのプライバシー保護機能を強化したコンシューマー向けのVPN製品で、私は「ハイブリッド型のVPN製品」と説明しています。

モバイルアプリ(iOS、Android)、デスクトップアプリ(Windows、Mac)として動作し、例えば、Webブラウザをはじめ、メール等のメッセージングアプリなど、各デバイスの様々なアプリケーションから発生する全てのトラフィックが端末内で暗号化され、エフセキュアのデータセンターにあるセキュアなサーバーを経由してアクセス先のサーバーに届きます。

これにより、例えば、通信の途上で第三者に通信内容を盗聴されることを防止し、有害なサイトへのアクセスをブロックしたり、アクセス履歴などの不正なトラッキングを防いだりする効果が期待できます。

──端末内のアプリの全ての通信が暗号化されるのですか

Android、WIndows、Macについては、すべての通信が暗号化されます。ただし、例外が2つあり、iOSについては、Facetimeとテザリング環境での通信は私たちのサーバーを経由することができません。これは、iOSにセキュリティ上の制限がかかっているためで、これを保護しようとするとJailbreakが必要になってしまうからです。

こうしたVPN製品は複雑な仕組みの製品ですが、タブレットやスマートフォンなどのモバイル端末を使うエンドユーザーに簡単に使っていただけるよう、アプリを起動してワンクリックですぐに使えるようなUIとなっている点も特長です。

──なぜこうした製品が必要なのでしょうか

犯罪組織やハクティビストだけでなく、「政府・国家」もまた市民にとっての脅威となる時代です。スノーデン氏により、米政府による史上類を見ない規模でのデジタル監視体制が暴露されたことは記憶に新しいところです。また、インターネットの利用時に発生するアクセス履歴など、ユーザーのインターネット活動に関連するデータが収集され、広告主に売り込まれるリスクも顕在化しています。

そして、モバイル端末がの普及により、公衆無線LANの利用時に、通信の途上で第三者に通信内容を盗聴されるリスクも高まっています。

Freedomeを使うと、端末から発信されるデータはユーザーの端末内で暗号化されます。例えば、検索サイトでのキーワード入力内容は暗号化された上でエフセキュアのデータセンターのサーバーを経由し、検索サイトに送られます。つまり、通信の途上で第三者が盗聴しようとしても、通信が発生していることはわかりますが、どういう内容のデータかはわからないよう秘匿することができるのです。

──では、エフセキュアのサーバーに蓄積されるユーザーのプライバシーは安全に守られるのでしょうか

よい質問です。ユーザーがVPN製品を使うときは、アクセスの通過点になるVPN事業者が信頼できるかどうかを慎重に検討する必要があります。そういう意味で、エフセキュアがこの領域に参入したことはよいことだと考えています。私たちがユーザーのプライバシーを保護できると考える理由は3つあります。

1つ目は、私たちは、セキュリティの分野で25年以上の経験と実績を持った企業という点です。例えば、App Storeをみると、VPNアプリの事業者の大半は聞いたこともないようなスタートアップ企業だったりします。新興企業が信頼できないと言うつもりはありませんが、エフセキュアはセキュリティで25年もやってきているのでの信頼性や実績は実証済みだと考えています。

2つ目は、プライバシー保護に関して世界で最も厳しいといわれるフィンランドの法律です。私たちはフィンランドの企業なので、フィンランドの法律や規則に従いますが、フィンランドの法律では、企業に対してプライバシーの権限を付与するだけでなく、全ての人類にプライバシーの権限があると規定しています。

例えば、アメリカのプライバシーに関する法律を読むと、「アメリカ国民を保護する」と書かれていることがありますが、フィンランドの法律は、「全ての人類」と規定しています。ですから、日本のユーザーであっても、弊社のサービスを使うことで、フィンランドの法律によってプライバシーが保護されます。

3つ目は、「信頼」です。国連の統計報告によると、フィンランドは最も汚職が少ない国といわれます。私たちは、信頼できるサービスを提供する十分な体制が整っていると、世界に対して胸を張って表明できます。フィンランド人の男が約束するといったら、その約束は絶対に守られるのです。

──この製品のグローバル市場での評価はいかがですか

概ね好評と受け止めています。モバイルアプリはApp Storeの人気アプリのトップ30にランクインしています。Freedomeは無償アプリではありません。もちろん、サービスをマネタイズして無償で提供することも可能ですが、そうするとお客様のプライバシーを守れなくなる可能性があります。その意味で、古いやり方かもしれませんが、お客様に有償でアプリを購入いただくのが、筋が通っていると私たちは考えています。

──最後に、多くのネット上のサービスが無料で利用できることと引き替えに、ユーザーのプライバシーを「商品」にしている現状が、こうしたサービスの背景にあります。日本ではネット上のプライバシーについて、まだ大きく注目されることが少ないと感じますが、そのあたりについてはどうお考えですか

おそらく、ユーザーのデジタルライフが追跡されることが、どれだけ大きな影響を及ぼすかが十分に周知されていないからではないでしょうか。

オンラインでマルウェアに感染させてお金を盗むサイバー犯罪とは違い、プライバシー情報の収集は、利用規約に基づいた合法的な行為といえます。しかし、例えば、アプリを利用する際に、自分の居場所がわかるとか、誰と、どういうデータ通信をしているかを把握するとか、どういうファイルが端末内に入っているか情報収集するということが分かったら、積極的に同意したくないと感じるユーザーは多いのではないでしょうか。

こうしたことは規約に明示されているものですが、細かい規約の条文を隅々まで読んで同意しているユーザーはそれほどいません。こうしたことも、プライバシー問題の背景にはあると感じます。

──ありがとうございました

《阿部 欽一》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  2. 「Webmin」の脆弱性を標的としたアクセスが増加(警察庁)

    「Webmin」の脆弱性を標的としたアクセスが増加(警察庁)

  3. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  4. DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

    DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

  5. 新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

    新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

  6. 権威DNSサーバ「NSD」にゾーンパーサがクラッシュする脆弱性(JPRS)

    権威DNSサーバ「NSD」にゾーンパーサがクラッシュする脆弱性(JPRS)

  7. 3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

    3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

  8. 会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性(三井住友カード)

    会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性(三井住友カード)

  9. 「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

    「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

  10. 帰宅途中で会議書類一時紛失、対策として書類のペーパーレス化徹底も(大阪市)

    帰宅途中で会議書類一時紛失、対策として書類のペーパーレス化徹底も(大阪市)

ランキングをもっと見る