[インタビュー]エフセキュアCRO ミッコ・ヒッポネン氏に聞く デジタル監視社会におけるプライバシー保護の重要性 | ScanNetSecurity
2024.06.19(水)

[インタビュー]エフセキュアCRO ミッコ・ヒッポネン氏に聞く デジタル監視社会におけるプライバシー保護の重要性

例えば、アメリカのプライバシーに関する法律を読むと、「アメリカ国民を保護する」と書かれていることがありますが、フィンランドの法律は、「全ての人類」と規定しています。

特集 特集
「フィンランド人の男が約束するといったら、その約束は絶対に守られる」エフセキュア CRO ミッコ・ヒッポネン氏
「フィンランド人の男が約束するといったら、その約束は絶対に守られる」エフセキュア CRO ミッコ・ヒッポネン氏 全 4 枚 拡大写真
フィンランドのエフセキュア社は、ソニー社の映画DVDのコピー防止プログラムをルートキットと指摘するなど、早くからユーザーのプライバシー保護について明確な姿勢をとってきた企業として知られる。

今回、同社のCRO(セキュリティ研究所主席研究員)であるミッコ・ヒッポネン氏が来日し、我々のインタビューに応じてくれた。同社が提供するコンシューマー向けのプライバシー保護製品「F-Secure Freedome」の開発コンセプトについて、政府を含む組織の盗聴・監視から市民のプライバシーを守ることの重要性について話を聞いた。

──まず、F-Secure Freedomeはどういう製品か教えて下さい

ユーザーのプライバシー保護機能を強化したコンシューマー向けのVPN製品で、私は「ハイブリッド型のVPN製品」と説明しています。

モバイルアプリ(iOS、Android)、デスクトップアプリ(Windows、Mac)として動作し、例えば、Webブラウザをはじめ、メール等のメッセージングアプリなど、各デバイスの様々なアプリケーションから発生する全てのトラフィックが端末内で暗号化され、エフセキュアのデータセンターにあるセキュアなサーバーを経由してアクセス先のサーバーに届きます。

これにより、例えば、通信の途上で第三者に通信内容を盗聴されることを防止し、有害なサイトへのアクセスをブロックしたり、アクセス履歴などの不正なトラッキングを防いだりする効果が期待できます。

──端末内のアプリの全ての通信が暗号化されるのですか

Android、WIndows、Macについては、すべての通信が暗号化されます。ただし、例外が2つあり、iOSについては、Facetimeとテザリング環境での通信は私たちのサーバーを経由することができません。これは、iOSにセキュリティ上の制限がかかっているためで、これを保護しようとするとJailbreakが必要になってしまうからです。

こうしたVPN製品は複雑な仕組みの製品ですが、タブレットやスマートフォンなどのモバイル端末を使うエンドユーザーに簡単に使っていただけるよう、アプリを起動してワンクリックですぐに使えるようなUIとなっている点も特長です。

──なぜこうした製品が必要なのでしょうか

犯罪組織やハクティビストだけでなく、「政府・国家」もまた市民にとっての脅威となる時代です。スノーデン氏により、米政府による史上類を見ない規模でのデジタル監視体制が暴露されたことは記憶に新しいところです。また、インターネットの利用時に発生するアクセス履歴など、ユーザーのインターネット活動に関連するデータが収集され、広告主に売り込まれるリスクも顕在化しています。

そして、モバイル端末がの普及により、公衆無線LANの利用時に、通信の途上で第三者に通信内容を盗聴されるリスクも高まっています。

Freedomeを使うと、端末から発信されるデータはユーザーの端末内で暗号化されます。例えば、検索サイトでのキーワード入力内容は暗号化された上でエフセキュアのデータセンターのサーバーを経由し、検索サイトに送られます。つまり、通信の途上で第三者が盗聴しようとしても、通信が発生していることはわかりますが、どういう内容のデータかはわからないよう秘匿することができるのです。

──では、エフセキュアのサーバーに蓄積されるユーザーのプライバシーは安全に守られるのでしょうか

よい質問です。ユーザーがVPN製品を使うときは、アクセスの通過点になるVPN事業者が信頼できるかどうかを慎重に検討する必要があります。そういう意味で、エフセキュアがこの領域に参入したことはよいことだと考えています。私たちがユーザーのプライバシーを保護できると考える理由は3つあります。

1つ目は、私たちは、セキュリティの分野で25年以上の経験と実績を持った企業という点です。例えば、App Storeをみると、VPNアプリの事業者の大半は聞いたこともないようなスタートアップ企業だったりします。新興企業が信頼できないと言うつもりはありませんが、エフセキュアはセキュリティで25年もやってきているのでの信頼性や実績は実証済みだと考えています。

2つ目は、プライバシー保護に関して世界で最も厳しいといわれるフィンランドの法律です。私たちはフィンランドの企業なので、フィンランドの法律や規則に従いますが、フィンランドの法律では、企業に対してプライバシーの権限を付与するだけでなく、全ての人類にプライバシーの権限があると規定しています。

例えば、アメリカのプライバシーに関する法律を読むと、「アメリカ国民を保護する」と書かれていることがありますが、フィンランドの法律は、「全ての人類」と規定しています。ですから、日本のユーザーであっても、弊社のサービスを使うことで、フィンランドの法律によってプライバシーが保護されます。

3つ目は、「信頼」です。国連の統計報告によると、フィンランドは最も汚職が少ない国といわれます。私たちは、信頼できるサービスを提供する十分な体制が整っていると、世界に対して胸を張って表明できます。フィンランド人の男が約束するといったら、その約束は絶対に守られるのです。

──この製品のグローバル市場での評価はいかがですか

概ね好評と受け止めています。モバイルアプリはApp Storeの人気アプリのトップ30にランクインしています。Freedomeは無償アプリではありません。もちろん、サービスをマネタイズして無償で提供することも可能ですが、そうするとお客様のプライバシーを守れなくなる可能性があります。その意味で、古いやり方かもしれませんが、お客様に有償でアプリを購入いただくのが、筋が通っていると私たちは考えています。

──最後に、多くのネット上のサービスが無料で利用できることと引き替えに、ユーザーのプライバシーを「商品」にしている現状が、こうしたサービスの背景にあります。日本ではネット上のプライバシーについて、まだ大きく注目されることが少ないと感じますが、そのあたりについてはどうお考えですか

おそらく、ユーザーのデジタルライフが追跡されることが、どれだけ大きな影響を及ぼすかが十分に周知されていないからではないでしょうか。

オンラインでマルウェアに感染させてお金を盗むサイバー犯罪とは違い、プライバシー情報の収集は、利用規約に基づいた合法的な行為といえます。しかし、例えば、アプリを利用する際に、自分の居場所がわかるとか、誰と、どういうデータ通信をしているかを把握するとか、どういうファイルが端末内に入っているか情報収集するということが分かったら、積極的に同意したくないと感じるユーザーは多いのではないでしょうか。

こうしたことは規約に明示されているものですが、細かい規約の条文を隅々まで読んで同意しているユーザーはそれほどいません。こうしたことも、プライバシー問題の背景にはあると感じます。

──ありがとうございました

《阿部 欽一》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  2. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  5. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  6. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  7. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  8. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

  9. 実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

    実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

  10. 日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

    日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

ランキングをもっと見る