[インタビュー]エフセキュアCRO ミッコ・ヒッポネン氏に聞く デジタル監視社会におけるプライバシー保護の重要性 | ScanNetSecurity
2024.04.25(木)

[インタビュー]エフセキュアCRO ミッコ・ヒッポネン氏に聞く デジタル監視社会におけるプライバシー保護の重要性

例えば、アメリカのプライバシーに関する法律を読むと、「アメリカ国民を保護する」と書かれていることがありますが、フィンランドの法律は、「全ての人類」と規定しています。

特集 特集
「フィンランド人の男が約束するといったら、その約束は絶対に守られる」エフセキュア CRO ミッコ・ヒッポネン氏
「フィンランド人の男が約束するといったら、その約束は絶対に守られる」エフセキュア CRO ミッコ・ヒッポネン氏 全 4 枚 拡大写真
フィンランドのエフセキュア社は、ソニー社の映画DVDのコピー防止プログラムをルートキットと指摘するなど、早くからユーザーのプライバシー保護について明確な姿勢をとってきた企業として知られる。

今回、同社のCRO(セキュリティ研究所主席研究員)であるミッコ・ヒッポネン氏が来日し、我々のインタビューに応じてくれた。同社が提供するコンシューマー向けのプライバシー保護製品「F-Secure Freedome」の開発コンセプトについて、政府を含む組織の盗聴・監視から市民のプライバシーを守ることの重要性について話を聞いた。

──まず、F-Secure Freedomeはどういう製品か教えて下さい

ユーザーのプライバシー保護機能を強化したコンシューマー向けのVPN製品で、私は「ハイブリッド型のVPN製品」と説明しています。

モバイルアプリ(iOS、Android)、デスクトップアプリ(Windows、Mac)として動作し、例えば、Webブラウザをはじめ、メール等のメッセージングアプリなど、各デバイスの様々なアプリケーションから発生する全てのトラフィックが端末内で暗号化され、エフセキュアのデータセンターにあるセキュアなサーバーを経由してアクセス先のサーバーに届きます。

これにより、例えば、通信の途上で第三者に通信内容を盗聴されることを防止し、有害なサイトへのアクセスをブロックしたり、アクセス履歴などの不正なトラッキングを防いだりする効果が期待できます。

──端末内のアプリの全ての通信が暗号化されるのですか

Android、WIndows、Macについては、すべての通信が暗号化されます。ただし、例外が2つあり、iOSについては、Facetimeとテザリング環境での通信は私たちのサーバーを経由することができません。これは、iOSにセキュリティ上の制限がかかっているためで、これを保護しようとするとJailbreakが必要になってしまうからです。

こうしたVPN製品は複雑な仕組みの製品ですが、タブレットやスマートフォンなどのモバイル端末を使うエンドユーザーに簡単に使っていただけるよう、アプリを起動してワンクリックですぐに使えるようなUIとなっている点も特長です。

──なぜこうした製品が必要なのでしょうか

犯罪組織やハクティビストだけでなく、「政府・国家」もまた市民にとっての脅威となる時代です。スノーデン氏により、米政府による史上類を見ない規模でのデジタル監視体制が暴露されたことは記憶に新しいところです。また、インターネットの利用時に発生するアクセス履歴など、ユーザーのインターネット活動に関連するデータが収集され、広告主に売り込まれるリスクも顕在化しています。

そして、モバイル端末がの普及により、公衆無線LANの利用時に、通信の途上で第三者に通信内容を盗聴されるリスクも高まっています。

Freedomeを使うと、端末から発信されるデータはユーザーの端末内で暗号化されます。例えば、検索サイトでのキーワード入力内容は暗号化された上でエフセキュアのデータセンターのサーバーを経由し、検索サイトに送られます。つまり、通信の途上で第三者が盗聴しようとしても、通信が発生していることはわかりますが、どういう内容のデータかはわからないよう秘匿することができるのです。

──では、エフセキュアのサーバーに蓄積されるユーザーのプライバシーは安全に守られるのでしょうか

よい質問です。ユーザーがVPN製品を使うときは、アクセスの通過点になるVPN事業者が信頼できるかどうかを慎重に検討する必要があります。そういう意味で、エフセキュアがこの領域に参入したことはよいことだと考えています。私たちがユーザーのプライバシーを保護できると考える理由は3つあります。

1つ目は、私たちは、セキュリティの分野で25年以上の経験と実績を持った企業という点です。例えば、App Storeをみると、VPNアプリの事業者の大半は聞いたこともないようなスタートアップ企業だったりします。新興企業が信頼できないと言うつもりはありませんが、エフセキュアはセキュリティで25年もやってきているのでの信頼性や実績は実証済みだと考えています。

2つ目は、プライバシー保護に関して世界で最も厳しいといわれるフィンランドの法律です。私たちはフィンランドの企業なので、フィンランドの法律や規則に従いますが、フィンランドの法律では、企業に対してプライバシーの権限を付与するだけでなく、全ての人類にプライバシーの権限があると規定しています。

例えば、アメリカのプライバシーに関する法律を読むと、「アメリカ国民を保護する」と書かれていることがありますが、フィンランドの法律は、「全ての人類」と規定しています。ですから、日本のユーザーであっても、弊社のサービスを使うことで、フィンランドの法律によってプライバシーが保護されます。

3つ目は、「信頼」です。国連の統計報告によると、フィンランドは最も汚職が少ない国といわれます。私たちは、信頼できるサービスを提供する十分な体制が整っていると、世界に対して胸を張って表明できます。フィンランド人の男が約束するといったら、その約束は絶対に守られるのです。

──この製品のグローバル市場での評価はいかがですか

概ね好評と受け止めています。モバイルアプリはApp Storeの人気アプリのトップ30にランクインしています。Freedomeは無償アプリではありません。もちろん、サービスをマネタイズして無償で提供することも可能ですが、そうするとお客様のプライバシーを守れなくなる可能性があります。その意味で、古いやり方かもしれませんが、お客様に有償でアプリを購入いただくのが、筋が通っていると私たちは考えています。

──最後に、多くのネット上のサービスが無料で利用できることと引き替えに、ユーザーのプライバシーを「商品」にしている現状が、こうしたサービスの背景にあります。日本ではネット上のプライバシーについて、まだ大きく注目されることが少ないと感じますが、そのあたりについてはどうお考えですか

おそらく、ユーザーのデジタルライフが追跡されることが、どれだけ大きな影響を及ぼすかが十分に周知されていないからではないでしょうか。

オンラインでマルウェアに感染させてお金を盗むサイバー犯罪とは違い、プライバシー情報の収集は、利用規約に基づいた合法的な行為といえます。しかし、例えば、アプリを利用する際に、自分の居場所がわかるとか、誰と、どういうデータ通信をしているかを把握するとか、どういうファイルが端末内に入っているか情報収集するということが分かったら、積極的に同意したくないと感じるユーザーは多いのではないでしょうか。

こうしたことは規約に明示されているものですが、細かい規約の条文を隅々まで読んで同意しているユーザーはそれほどいません。こうしたことも、プライバシー問題の背景にはあると感じます。

──ありがとうございました

《阿部 欽一》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  5. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  6. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  7. 情報処理学会、高等学校情報科の全教科書の用語リスト公開

    情報処理学会、高等学校情報科の全教科書の用語リスト公開

  8. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  9. LINE client for iOS にサーバ証明書の検証不備の脆弱性

    LINE client for iOS にサーバ証明書の検証不備の脆弱性

  10. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

ランキングをもっと見る