高まるプライバシーの価値~エフセキュア社セミナー パネルディスカッション | ScanNetSecurity
2023.02.01(水)

高まるプライバシーの価値~エフセキュア社セミナー パネルディスカッション

パネルディスカッションのモデレータを務めたのはメタ・アソシエイツ代表 高間剛典氏。また、デロイト トーマツ リスクサービス 岩井博樹氏、PwCサイバーサービス 星澤裕二氏も加わり、ヒッポネン氏を中心に、重たいテーマについて意見を交わした。

研修・セミナー・カンファレンス セミナー・イベント
フィンランドのエフセキュア社 CRO ミッコ・ヒッポネン氏
フィンランドのエフセキュア社 CRO ミッコ・ヒッポネン氏 全 2 枚 拡大写真
2015年11月18日にエフセキュアが開催したセミナー「「今、プライバシーとセキュリティを考える」では、ヒッポネン氏の講演に続いて「今後のプライバシーとセキュリティを考える」というテーマでパネルディスカッションが行われた。

モデレータを務めたのはメタ・アソシエイツ代表の高間剛典氏。また、長くセキュリティリサーチに携わってきたデロイト トーマツ リスクサービス シニアマネージャーの岩井博樹氏と、PwCサイバーサービス 最高執行責任者の星澤裕二氏も加わり、ヒッポネン氏を中心に、この重たいテーマについて意見を交わした。

この中では、ビッグデータという形での国家によるさまざまな情報収集やリーガルマルウェア(犯罪捜査のためのマルウェア)がもたらすリスク、サイバー「戦争」と、それに対するサイバー「兵器」の査察による抑止効果の可能性、漏えいしてしまった情報のアグリゲーションなどさまざまな論点が提示されたが、興味深かったのはソーシャルネットワーク上でのプライベートな情報の扱いを巡るコメントだ。

●自分に関わる情報をどのように公開すべきか

星澤氏が「ソーシャルネットワークを使うことの怖さを分からないまま使っている人もいる。何か起こったときのことを考えずに、どんどん自分のプライバシーを公開してしまう人もいるが、今やデータは、消すことの方にコストがかかる時代。自分の過去がずっと残る中、自衛策を考えなければならない時代になっている」と述べた。

これに対し高間氏は「『プライバシー』の対語として、自分に関わる情報をどのように出していくかをコントロールする『パブリシティ』あるいは『パブリシー』という考え方が提示されつつある。どちらも、自分のデータをどう扱うかという意味合いでは同じことだ」とコメントした。

ヒッポネン氏はこれを受けて次のように述べた。「今やグーグル、フェイスブック、ヤフーやリンクトインといった多くの企業が無料でサービスを提供しているが、そのことこそ、われわれのデータの価値、プライバシーの価値を示している。インターネットに『タダメシ』はない。ユーザーとしてではなく、広告の顧客としてこれらのサービスを使ってみれば、その価格が分かるはずだ」。さらに、こうした企業は本人よりも早く、「交際を始めた」などの変化を認識することすら可能だと述べる。

「犯罪捜査の観点でもいろいろな機関が個人情報を収集しているが、今一番大きいのは、無償でサービスを提供している私企業だと考えている。こうした企業はプロファイルや検索履歴、コメントをひも付けるアグリゲーションを得意としており、それによるプライバシーへの影響を懸念している」(ヒッポネン氏)

岩井氏は別の角度から、こうしたつながりこそがセキュリティ上の弱点になり得るとコメントした。「標的型攻撃においてターゲットを絞り込むときによく使われるのが、こうしたソーシャルネットワークだ」と同氏は述べ、プライバシーの侵害がセキュリティを危うくする恐れがあると指摘している。

●オリンピックをツーリストとして楽しめればいいけれど……

話題はさらに、2020年に控える東京オリンピック・パラリンピックや、いよいよ開始が目前に迫ったマイナンバー制度にも広がった。ヒッポネン氏によると、フィンランドでは1960年から「HETU」というパーソナルID制度が実施されており、漏えい事件もなかったわけではない。ただ「大事なのは、このIDはあくまでユーザーの識別子、ユーザー名であり、パスワードではないということ。これを知っただけでは攻撃を仕掛けるには不十分だ」という。

ヒッポネン氏は先の講演の中で、オリンピック大会は「破壊活動や単なる嫌がらせ、あるいは偽のチケットサイトによる金銭詐取など方法はさまざまだろうが、確実に攻撃はあるだろう」と述べている。これを受けて星澤氏は「いろいろな可能性を網羅して対処する必要があるが、あまり考えすぎて動けなくなってもいけない。改良しながら、レジリエンスを考えながら対策することが必要だ」と述べた。ヒッポネン氏は「できれば2020年はツーリストとして訪日したいが、おそらく仕事をせざるを得ないだろう」と答えている。

なおセミナー冒頭には、日本法人のカントリー・マネージャ、キース・マーティン氏が、元社員による不適切な個人情報の収集問題に触れた。会社として関与した事実はなく、製品・サービスの悪用もないが、「プライバシーとセキュリティを重視する企業として見逃せない問題だった」と述べ、重く受け止めているという姿勢を示した。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. IPA、セキュリティ予算獲得「経営層説得」ツール公開

    IPA、セキュリティ予算獲得「経営層説得」ツール公開

  2. 複数の条件満たすことでDBへの侵入許す恐れ、フォレンジック調査の結果を公表

    複数の条件満たすことでDBへの侵入許す恐れ、フォレンジック調査の結果を公表

  3. カジュアルファッション取り扱いアダストリアのサーバへ不正アクセス、100万件の個人情報が流出した可能性

    カジュアルファッション取り扱いアダストリアのサーバへ不正アクセス、100万件の個人情報が流出した可能性

  4. チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

    チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

  5. ユービーセキュア・NRIセキュア・GSXの3社でクラウド型Webアプリケーション診断ツールを開発

    ユービーセキュア・NRIセキュア・GSXの3社でクラウド型Webアプリケーション診断ツールを開発

  6. Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の“スタートアップ”APT「TA444」とは?」

    Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の“スタートアップ”APT「TA444」とは?」

  7. DX推進 重視する人材「情報セキュリティ担当」最多47.9%

    DX推進 重視する人材「情報セキュリティ担当」最多47.9%

  8. ISC BINDに複数の脆弱性

    ISC BINDに複数の脆弱性

  9. Apache HTTP Server 2.4に複数の脆弱性

    Apache HTTP Server 2.4に複数の脆弱性

  10. システムに代理登録する際 委託事業者が患者情報を誤入力、別人に登録完了メール送信

    システムに代理登録する際 委託事業者が患者情報を誤入力、別人に登録完了メール送信

ランキングをもっと見る