デジタル・プライバシーを保護するオンライン・セキュリティのガイド

河本孝之(Takayuki Kawamoto)

1st appeared: 2016-07-05 14:12:30.

『ガーディアン(the Guardian)』に掲載された「あなたのデジタル・プライバシーを保護するための高度なオンライン・セキュリティ・ガイド(Extreme online security measures to protect your digital privacy – a guide)」という記事では、オンラインのプライバシー情報を保護するための対策が提案されています。僕は、当サイトで提案したいと思っている “personal ISMS” というアイデアに、このような個人向けの対策も色々と追加したいので、本稿ではこの記事で紹介されている対策をケーススタディーとしてみます。以下、ご覧になれば分かると思いますが、僕は殆どの提案に批判的なコメントを書いていますし、この「ガイド」そのものにも批判的なコメントを最後に書いています。そういう趣旨の記事であることをご承知ください(つまり、以下の提案を紹介して勧めているわけではないということです)。

そして、記事では全部で九つある個々の対策がどのていど導入しやすいかを評価するために、以下のような実効性の格付け(rating)をつけてみましょう。なお、導入を想定するのは個人の家庭とします。(企業を想定すると人事評価などの牽制材料を合わせて強制しやすいので、評価が甘くなってしまうからです。)

rate 評価基準
★☆☆☆ スキルのある個人が、自分だけなら簡単に導入できる
★★☆☆ スキルのある個人が、スキルのある家族にも簡単に導入させられる
★★★☆ スキルのない個人でも、自分だけなら簡単に導入できる
★★★★ スキルのない個人が、スキルのない家族にも導入させられる

1. メールデータの保護

インターネット通信の利用者は、「デジタル・ネイティブ」などと適当に呼ばれていようがいまいが、大多数の方々は通信のしくみを初歩的なレベルでも理解してはいません。したがって、メールの配送において、自分の入力した本文や添付したファイルが、通信プロバイダを始めとする中間経路のコンピュータで中身を見られたり改竄されるリスクを負っていることに気づいている方も少ないでしょう。したがって、このような機会に「メールの配送を暗号化しよう」と頻繁に提案されるわけです。しかし、この対策の最大の難所は、やはり高度に複雑なパスワードの運用と同じように、「面倒臭い」という点に尽きています。

概して、メールの配信を暗号化するには、メールの配送データそのものを暗号化する PGP のような方法と、メールの配送プロトコルを TLS(SSL)等をサポートするものへ変更してしまう方法があります。もちろん、後者よりも前者の方が信頼性は高いと言えるでしょう。なぜなら、後者のやり方はメールの「通信経路」を暗号化するだけであって、通信経路上で盗み読みされたりメールを改竄されるのは防げますが、HTTPS でアクセスできるフィッシングサイトがあるのと同じく、相手が誰であろうとメールが届いてしまえば中身を読まれてしまうリスクに晒されるからです。しかしながら、PGP についても昔から指摘されているように、配送するメールの文面や添付ファイルそのものを暗号化するという方式では、送信者と受信者がどちらも同じ要件をサポートしているメール・クライアントや暗号化プログラムを使っていなければなりません。したがって、このような方法を導入してメールの内容を保護することは、いまのところ手間がかかるという大きなデメリットがあって普及には至っておらず、今後も普及していくとは思えません。この「面倒臭い」という障害は、メール配送プログラム(MTA)の機能を拡張して、自動で本文や添付ファイルを暗号化して配送した後に、暗号化したデータを解凍するパスワードを別のメールで送付するというサービスでクリアできる場合もあります。しかし、このような方法を導入するには所定の導入・維持費がかかりますし、社内の規程として強制はできても、たいていの場合は顧客にまで強制できるものではありません。

実効性の格付け:★★☆☆(スキルのある個人が、スキルのある家族にも簡単に導入させられる

2. 作業環境の仮想化

メールを受信したり、どこかのウェブサイトへアクセスするような作業を、仮想化した OS で行うという対策があります。俗に「サンドボックス」とも言われていて、本当にメールを処理する前に暫定的にメールを受信して添付ファイルを開く試験場のような作業環境を、Windows 上で動作する Linux のように構築しておくということです。

もちろん、このような対策は万能ではありません。なぜなら、仮想化された環境には本当に大切なデータが置かれていないものなので、どこかのサイトのパスワードかどうかを検知して漏洩させたり、個人情報なのかどうかを検知して漏洩させるようなウィルスは、そういう仮想化された環境では「まさしく不正な動作」をしないかもしれないからです。

そして、人の心理から考えて別のリスクもあります。本当の作業環境と暫定の作業環境を同じように作ってしまうと、得てして「面倒臭い」人たちは、暫定の作業環境で問題がない限りは暫定の作業環境で本当の作業をし続けてしまうからです。

更に、このような暫定の作業環境では、仮想化ソフトウェアや、仮想化ソフトウェアが構築した「ゲストOS」と呼ばれる暫定の作業環境を運用するために、それなりのスキルが必要となります。ごく普通の家庭では、仮想化を導入するために Windows のライセンスを追加して購入することは(幾ら対策として有効だからとは言え、経済的に)難しいため、無料の Linux や UNIX をゲスト OS として選ぶでしょう。すると、単純に Windows しか使ったことがない人には、Linux, UNIX を運用するスキルが必要となります。

実効性の格付け:★☆☆☆(スキルのある個人が、自分だけで簡単に導入できる

3. 機密情報を扱う専用パソコンを併用する

オンライン・バンキングや、何かの買い物をするための専用パソコンを併用すれば、そのパソコンでは迂闊に色々なウェブサイトを見たり、メールを受信したり、ネットワークにアクセスするようなゲームをしたりはしないので、ウィルスに感染するリスクを抑えられると期待できるかもしれません。そのパソコンでの用事がないときは電源を切っておいて、ネットワークの外からパソコンへ侵入されるという脅威も低減すれば、更に安全になるでしょう。また、もし余っているパソコンがなくても、オンライン・バンキングだけに使う WWW ブラウザを用意すれば、メインのブラウザにおかしなアドオンが入ったり、メインのブラウザでアクセスしたページが不審な挙動を始めても、そのブラウザから機密情報が漏洩するリスクは低減できるかもしれません。

もちろん、複数のパソコンを併用する(あるいはパソコンとスマートフォンで使い分ける)といった対策は、スキルがあろうとなかろうと簡単には導入できません。スマートフォンを機密情報のために使うことにしたとしても、スマートフォンで気軽に色々なサイトへアクセスできなくなるわけですから、これは「二台目のスマートフォンが必要だ」という話になるか、あるいは機密情報を扱うはずのスマートフォンでも(このサイトは恐らく安全だろうという勝手な信念で)色々なサイトへアクセスするようになってしまうかもしれません。経済的な制約や、「面倒臭い」という心理的な制約があると、多くの人は都合よく「この範囲なら安全だろう」と勝手に推定してしまうものです。それが、情報セキュリティにおいては危険な考え方であるにもかかわらずです。

そして、この記事の内容はこうだと上記で紹介しましたが、僕は、ブラウザを用途に応じて使い分けるなどという方法は、何のセキュリティ対策にもなっていないと思います。ドライブ・バイ・ダウンロードなどの手法でインストールしてしまったマルウェアの殆どは、そのマシン全体を動作対象として実行されるプログラムです。普段使いのブラウザだけが危険に晒され、決済用のブラウザは安全なままで使えるなどと期待するのは、JavaScript のコードや Flash のバイナリファイルが単独で(そのブラウザだけが使っている実行エンジンによって)不審な動作をする特殊な場合に限られます。原文では a soft “wall” と書かれていますが、寧ろそのような「防護壁」があると期待したり想像することそのものが脆弱だと言ってもよいのではないでしょうか。

実効性の格付け:☆☆☆☆(スキルのある個人でも簡単には導入できない。または、簡単に導入できるとしても意味がない

4. パソコンの動作環境を最小化する

ラップトップ・パソコンを購入したときに、必要かどうかまるで分からないソフトウェアが大量に最初からインストールされていた経験があると思います。こうした「プリインストール」のソフトウェアは、メーカーの言い分では、(1) パソコンを安く提供するため(廉価版、あるいはプロバイダとのバーター)、(2) ライトユーザがドライバなど必須プログラムのインストールやアップデートに困らないようにするため(ユーティリティ)、(3) 商品を便利にする差別化のため(Microsoft Office バージョンの「ビジネスモデル」等、プリインストールされていることが自明の場合)、となっています。しかし或る種の抱合せ商法になっていて、逆に価格が高くなっているパソコンもありますし、ユーティリティと称して不要な機能(ブラウザのツールバーや、殆ど無意味と言っていい「パフォーマンス・アップ」のツール)が追加されているプログラムもありますし、プリインストールの多くは実際には「クラップウェア(crapware)」と呼ばれる試用版であることも多々あります。こうしたソフトウェアの中には、ブラウザに常駐して、アクセスしたサイトの履歴を勝手に別のサーバへ通信しているスパイウェアをはじめとして、プライバシー情報の漏洩を助けるソフトウェアがあるかもしれませんから、必要なければパソコンからアンインストールしなくてはなりません。もともと使わないなら削除しても実害はありませんし、放置したところでストレージを圧迫するだけです。何の意味もないのにパソコンが起動すると共に常駐して、CPU の処理時間やメモリを浪費するのでは、迷惑以外の何物でもないでしょう。

この対策で最も重要なポイントは、もちろん何が必要で何が必要でないかを区別する規準です。自分自身でドライバをアップデートできるなら、プリインストールされているユーティリティソフトの類は、殆ど必要ないかもしれません。しかし、ノートパソコンの種類によっては、独特な周辺機器(専用の生体認証デバイスやカメラ等のハードウェア)が付いていることもあるため、メーカーの専用ドライバをアップデートするために専用のユーティリティが必要となるかもしれません。また、ドライブ全体を暗号化するツールを使っている場合にも、ツールを専用の方法、つまりは専用の通信経路でアップデートしなければならない可能性があります(Windows Update や Apple Update ではアップデートされないツール)。こうした特殊な事情がないなら、スキルさえあれば不要と判断したプログラムを即座に削除できるかもしれません。(なお、Windows を想定して書いていますが、もちろん Mac OS X にもこういう「ゴミソフト」はあります。使う用途によっては、iMovie、iPhoto、GarageBand 等は不要でしょう。Linux が最初から動くマシンでも同様に、不要なソフトウェアが最初から入っている場合もあります。例えば、使う用途によっては X Window System がその最たるものでしょう。)ただし、ここでアンインストールが「簡単」と言う場合には、その人が Windows ユーザならレジストリ・エディタを使えるていどのスキル(エディタをプログラムとして操作できるだけではなく、それぞれのハイブやキーの意味をだいたい理解できること)をもっていることが前提です。

実効性の格付け:★★☆☆(スキルのある個人が、スキルのある家族にも簡単に導入させられる

5. イケてるアプリケーションを使う

原文の "hipster application" というのは、要するにセキュリティ・アップデートでアプリケーションを最新版に保つという意味合いも含まれますが、それだけではなく、頻繁にセキュリティ・アップデートされる有名なアプリケーションに切り替えるという意味も含んでいます。

セキュリティ・アップデートは、有名なものでは自動更新がサポートされていることが多いので、さほど手間はかからないでしょう。実効性の点で問題があるとすれば、いま使っているアプリケーションに特有の利用状況を保てるかどうかが分からないということです。例えば、僕は Mozilla Firefox の Scrapbook というページ保存用のアドオンを使っています。これで保存したページを管理しているため、このアドオンが Firefox で使えなくなると非常に困りますし、このアドオンと同じ機能をサポートしていない(少なくともデータをインポートできない)ブラウザへ切り替えることもできません。もちろん Firefox はそのまま使っていても特に他のブラウザよりも脆弱というわけではありませんが、他の用途のアプリケーションでは、非常に脆弱なままでも使い勝手や関連する情報資産の依存関係という理由で、いくら他のアプリケーションが圧倒的に安全だと言われても簡単に置き換えられない場合もあるでしょう。こういう事態に至っても対処できるように、ふだんから扱っているデータを標準化された規格でフォーマットすることが望まれます。機密情報でもない限り、データをハードディスクに保存しておく場合は、他のアプリケーションでも開けるように、特殊な方法でバイナリデータとするような方法は選ばないようにするべきでしょう。いまや Microsoft Office で扱うデータも、ファイル形式としてはオープンな標準フォーマットを使っているので、互換性のある他のオフィス・スィート製品で取り扱えます。こういうフォーマットでファイルを保存しておけば、後でオフィス・スィートを切り替えるときに大きな問題は(互換性の程度にもよりますが)生じないでしょう。

実効性の格付け:★★☆☆(スキルのある個人が、スキルのある家族にも簡単に導入させられる

6. 匿名アクセスのブラウザを使う

Tor のネットワークを使う Tor ブラウザ(実はカスタマイズされた Firefox なので、Firefox のユーザは全く操作に困らないでしょう)は、ウェブサイトへアクセスする経路を匿名化してくれるので、インターネット・プロバイダやウェブサイトの運営側に、どういうコンテンツにアクセスしているのかを知られずに済むとされています。ただ、実際に使ってみるとすぐ分かるように、Tor ブラウザを使ったアクセスは非常に遅く、従ってこれで他人と何かをやりとりするのは難しいでしょう。また、オンライン決済やゲームは、タイムアウトする可能性が高いため、利用しない方がいいです。

アクセスが非常に遅くて用途が限られるという二つのデメリットを許容してでも自分のアクセスについての情報を守らなくてはならなくなる状況は、もちろん日本にも起こりえます。しかし、必要以上のアクセス情報をサイト運営者に取られてしまうというリスクは、ごく普通のブラウザでも JavaScript や Flash の実行を抑制するアドオンや、いわゆる広告ブロッカーなどで対処できます。今後、DNS への問い合わせや応答が暗号化されるようになってくれば(権威 DNS サーバどうしは DNSSEC で通信を暗号化できるが、DNSSEC の普及率はまだ低い。名前を解決したドメインの数で計ると、せいぜい 1 %)、普通のブラウザを使っていてもインターネット・プロバイダにアクセス先を知られるというリスクは更に低くなるでしょう。

実効性の格付け:★☆☆☆(本人が気にするなら使えるが、殆どの家庭ではパフォーマンスを犠牲にして導入する強い理由がない

7. 無線ルータをステルスモードにする

無線ルータ(Wi-Fi ルータ)は、何も設定していない場合は機器の SSID と呼ばれる機器の識別コードがルータから「SSID ブロードキャスト」という仕組みで発信され、周りで無線アクセスできる機器がルータを見つけられるようになっています。しかし、逆に言えば周りにいる他人がルータへ勝手にアクセスできてしまうので、自分だけが使う機器の SSID を知っているなら、SSID を公に発信する必要はありません。これを秘匿するのが「ステルスモード」と呼ばれる機能です。

しかし、そもそもステルスモードを敢えてセキュリティ対策として強調すること自体、はっきり言ってレベルが低く、時代遅れでもあります。なぜなら、ステルスモードは無線ルータから SSID 込の情報をブロードキャストしないようにするだけであって、ネットワークにアクセスしたいクライアント機器の側から問い合わせを受け取ったら、どのみち SSID を返してしまうからです(というか、SSID を返さないとネットワーク通信が確立できません)。そして、見知らぬ他人のクライアント機器からの問い合わせすら遮断して無線ルータを守りたいのであれば、最後に書いてあるように家全体をアルミホイルで包むしかありません(というか、そこまで予算があるなら有線のルータに買い換えて家中にケーブルを敷設したほうが安くて安全だと思いますが)。しかし、それで SSID を保護したところで、何になるというのでしょうか。

無線ルータを利用する場合の情報保護としては、記事にも書かれているように、認証方法の強度や認証情報(credentials)の強度を上げることが優先します。例えば、WEP のように脆弱な方式を使っているなら、WPA2 のような方式に変更するとか、WPA2 の認証パスワードを複雑にするといったことです。僕の所属しているい会社では、事業所を移転したときに来訪者にもインターネット通信を利用していただけるように Wi-Fi のアクセスポイントを設置しました(もちろん社内のネットワークとセグメントは分けています)。その際に、SSID は 16 桁の文字列(例えば “Z4Ma9kHB4qrXPD2K”)とし、パスワード(「暗号化キー」)は上限の 63 桁(例えば “0PEAg7=wT9*qG-]jOj*3zO[2>S*yM:u%CJfc`c-)ME:.)hqa<}oU~{]#dI1[i[E4”)としました。

実効性の格付け:☆☆☆☆(情報セキュリティ対策としての意味が殆どないし、プライバシーと直接は関係がない

8. Windows を使わない

Windows は利用しているユーザが多いので攻撃者の対象となりやすいのは事実でしょう。そのため、Mac OS X のマシンに買い換えるといった「成金ソリューション」や、いったん Windows マシンのストレージをフォーマットしなおして Linux を入れなおすといった「カウボーイ・ソリューション」が、素人の書くブログ記事や掲示板などで提案されたりします。

しかし正直なところ、「ハッカー」気取りの子供がこんな提案をするのは仕方のないことだと諦められますが、僕はこのような提案を情報セキュリティの職業的専門家(つまりクライアントには色々な事情があることをわきまえている職業人でもあるということ)が真顔で口にするのは信じられません。いま二つの提案をわざわざ嘲笑的な表現で名付けたように、それらはどちらも実効性が低く、導入したとしてもユーザに大きな負担を強いるものです。Windows のユーザが翌日から Mac OS で仕事を苦もなく続けられるとは思えませんし、Mac OS のマシンでは Windows で使えた大多数のアプリケーションが使えなくなりますし、同じアプリケーションが使えるとしてもライセンスが買い直しになります(もちろん Mac OS から Windows へ移行するときも同じことが言えます)。Windows マシンをフォーマットして Linux を入れるという提案については、マシンに保存したデータをいったん退避するための外部ストレージを購入する必要があるでしょうし、Mac OS へ移行する場合と同じく大多数のアプリケーションが使えなくなります。特に、家庭用という条件で考えていますから、ゲームが殆どできなくなるというのは、多くのユーザにとっては「論外」でしょう(仮想化した OS でプレイできたとしても圧倒的にパフォーマンスが下がってしまいます)。

実効性の格付け:☆☆☆☆(プライバシー情報を保護するという目的に比べて負荷が高く制約が多すぎる

9. オンラインの行動履歴を見直す

オンラインでは、驚くほど多くの行動履歴が取得されています。このため、検索結果に出てくる内容を削除したり、自分に不利な評判を打ち消してくれるサービスなどがあります。ですが、記事にも “Prevention is, however, always better than cure” と書かれているように、はじめから不要な情報を残さないようにするという対策に越したことはありません。そのため、SNS でシェアした情報やサービスの設定を見なおしてみることは大切です。また、記事の最後にも追加されているように、知らないところで事実無根の評判が立っているかもしれませんから、いわゆる「エゴサーチ」するのもよいでしょう。

この提案は、たとえばエゴサーチするだけなら誰でもできることですし、SNS の設定内容を見直す場合に気をつけること(連絡先の共有とか、そもそも発言を常に公にしてよいかとか)を押さえておけば、さほどスキルは必要とされません。寧ろ、どういうシェア内容が自分にとって不利になりうるのかという可能性を推定する方が難しいかもしれません。

実効性の格付け:★★★★(スキルのない個人が、スキルのない家族にも導入させられる

最後に

個々の提案についても批判的なコメントをたくさん書いていますが、最後にこの記事そのものについても書いておくべきでしょう。それは、「プライバシーを守る」ということの本質が OS やアプリケーションの選び方や設定にあるという発想は、基本的に間違っていると思うからです。なぜなら、プライバシー情報というのは僕たち自身に関する情報であって、それは僕たち自身の行動が元になっている情報だからです。この情報を適切に守るための第一の対策は、ツールの選び方や設定内容ではなく、僕たち自身が自分についての情報をどこで取得されているかを可能な限りで理解し、僕たち自身が任意に選択できる場合は情報の取り扱いを適切に選ぶということです。つまり、僕たちが自分自身の振る舞いを(自分自身にとって)適正に選ぶということが肝心なのです。どういうコンピュータやソフトウェアを使うかなどというポイントは、それがたとえオンライン・プライバシーに関わる判断だけに限られるとしても、ごく一部のポイントでしかなく、しかも基本ではないのです。

もちろん、このような「自己コントロール可能性」という概念によるプライバシー情報の定義には限界があります。近年では “online privacy” なり “digital privacy” などと言われていますし、もちろんコンピュータやネットワークが関わる場合に、プライバシー情報には従来とは違う特性があることも事実ですが、「何がプライバシーであるかは脈絡に依存する」というのがプライバシー研究のトレンドであって、これは実定法学のバイアスが強く影響している理解かもしれませんが、おおむね正しいと思います。つまり、定期券で改札口を通過したときのログのように、情報を提供するしないを僕たちがその場で選べないようなプライバシー情報(つまり自己コントロールできないプライバシー情報)が大量に出回っている一方で、僕たちが自分で提供するしないを決められるプライバシー情報(自己コントロールしうるプライバシー情報)もたくさんあります。

そして、僕たち自身でコントロールする場合には、そこで意図的に制約された選択肢を強制されていないかどうかを確かめるリテラシーも必要でしょう。例えば、Windows でも Mac OS でも Linux でも使えますと言われた場合に、では他の OS が選択肢に入らないのはなぜなのかとか、そもそもコンピュータを使わなくてはいけないのか(OS の選択の問題に誘導されているのではないか)と考えることも必要です。コンピュータやネットワークを有効に扱うリテラシーというものは、出来合いの状況で何を選ぶことが最善かを考えるだけではなく、そういう出来合いの状況で選ぶこと自体が最善なのかどうかを考えることでもあります。それができない限り、与えられた選択肢の中で「最適解」とやらを選んでゆくスキルがどれほど上がっていこうと、しょせんはテクノロジーの「オペレータ」や「ユーザ」でしかないのです。そのような人たちの提案する選択肢が、表面的な数式やレトリックとしてどれほど流麗に見えようとも、本当にそれで僕たちのプライバシーが適正に守られることになるのかどうかはわかりません。

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook