2015年1月、米国国立標準技術研究所(NIST)がFIPS-185を含む6つの連邦情報処理標準(FIPS)の廃止を提案した時、11人のコンピュータ科学者と暗号化の専門家グループは少し安堵した。この11人の専門家は、この標準の廃止に大きく貢献した。
クリッパーチップとして広く知られるFIPS-185は、NSA(米国国家安全保障局)が開発した暗号化実装であり、法執行機関による電子監視を可能にするバックドアが含まれていました。1997年にFIPS-185が発表された直後、11人の専門家が共同で報告書を作成し、FIPS-185の問題点と透明性の欠如を詳述しました(PDF)。「法執行機関が定めた仕様を満たすために鍵回復ベースの暗号化インフラを導入すると、セキュリティが大幅に犠牲になり、エンドユーザーのコストが大幅に増加することになる。」
科学者グループにデジャブが襲う
デジャブを感じさせる形で、同じグループと、同じく新しく評価の高い 4 人のコンピューター科学者が、MIT のコンピューターサイエンスおよび人工知能研究所の後援のもと、「ドアマットの下の鍵: すべてのデータと通信への政府のアクセスを要求することでセキュリティを脅かす」(PDF) と題する論文を 2015 年 7 月に発表しました。
著者らは次のように記している。「今日、例外的なアクセスメカニズムの提供を義務付ける規制を求める声が再び上がっている。本報告書では、1997年に同じテーマに関する研究に参加したコンピュータ科学者とセキュリティ専門家のグループが集まり、例外的なアクセスを義務付けた場合の影響の可能性を検討した。」
次に、共著者らは厳しい警告を発している。「法執行機関による例外的なアクセス要件によってもたらされる損害は、20年前よりも今日の方がさらに大きくなることが分かりました。今日のインターネット環境の根本的な不安定さによる経済的・社会的コストの増大を踏まえると、オンラインのセキュリティの力学を変えるような提案には、いかなるものであっても慎重に取り組むべきです。」
共著者らは言葉を濁さず、論文の要約を「私たちの多くは、1997年に、クリッパー チップと呼ばれる類似しているがより範囲が狭く、より明確に定義された提案に応えて協力しました」と締めくくっています。
例外的なアクセス メカニズムとは何ですか?
通常は「バックドア」という用語が使われますが、学者らしく、彼らは新しい用語「例外的なアクセスメカニズム」を選びました。ウースター工科大学のサイバーセキュリティ政策教授であり、この論文の著者の一人であるスーザン・ランドー氏は、ローフェア研究所のブログで、例外的なアクセスメカニズムを「コンテンツが暗号化されていても、政府がコンテンツにアクセスできるようにする何らかの技術」と定義しています。
政府の要請に関する3つの問題点
科学者たちは、政府の通信への例外的なアクセスの要請を分析し、3つの課題があると感じていると述べています。
- 最初の問題は、通信への例外的なアクセスを提供すると、使用直後に復号鍵が削除される前方秘匿性など、インターネットをより安全にするために現在導入されている多くのベストプラクティスが無効になってしまうことです。
- 2つ目の問題は、例外的なアクセスを追加すると、既に複雑なセキュリティシステムがさらに複雑になり、結果として脆弱性が生じる可能性が高まることです。著者らは、「法執行機関による幅広いインターネットおよびモバイルコンピューティングアプリケーションへの例外的なアクセスを許可する機能は、その典型的な使用方法が秘密裏に行われるため、セキュリティテストが困難になり、効果も低下するため、特に問題となる可能性がある」と指摘しています。
- 3 つ目の問題は、デジタル犯罪者にとって、個人のクレジットカード情報よりもクレジットカード情報のデータベースのほうが興味を引くのと同様に、例外的なアクセスにより、犯罪者はより少ないターゲットに集中して同じ結果を得ることができるようになることです。
3つ目の問題は特に深刻です。「米国政府人事管理局(OPM)への最近の攻撃は、多くの組織がセキュリティ上の脆弱性を抱える単一の機関に依存している場合、どれほどの被害が発生する可能性があるかを示しています」と共著者らは述べています。「OPMのケースでは、OPMのインフラが安全でなかったために、多くの連邦政府機関が機密データを損失しました。サービスプロバイダーが例外的なアクセス要件を不適切に実装した場合、すべてのユーザーのセキュリティが危険にさらされることになります。」
コリー・ドクトロウは著書『情報は自由になりたくない』(126ページ)の中でこのことについてこう語っています。
「もし世界のコンピューターセキュリティを弱めれば、つまり飛行機や原子炉、人工心臓やサーモスタット、そしてもちろん携帯電話やノートパソコンといった、あらゆる秘密を握っている機器のセキュリティを弱めれば、対テロ戦争でどれだけの利益を得たとしても、詐欺師、変質者、スパイ、凶悪犯、変質者、のぞき見好き者、そしてこうした意図的な欠陥を独自に発見し、それを標的に利用する者など、あらゆる者から攻撃されるという脆弱性によって、私たち全員が支払うことになる代償を補うことはできない。」
例外的なアクセスは米国企業にどのような影響を与えるでしょうか?
企業への影響について詳しく知るために、コロンビア大学のサイバーセキュリティおよびインターネットガバナンスのスタッフアソシエイトであるベンジャミン・ディーン氏に話を聞きました。
「例外的なアクセスを伴うポリシーによって、米国企業は損失を被るでしょう」とディーン氏は指摘する。「情報を保護する製品を購入したいと考えている顧客のことを考えてみてください。その顧客は、米国企業から脆弱な暗号化製品を購入したり使用したりするでしょうか?それとも、強力な暗号化が許可されている国の企業からセキュリティ製品を購入するでしょうか?」
ディーン氏はさらに、「政策の有無に関わらず、情報セキュリティへの需要は今後も続くでしょう。ただ、米国企業はこの需要に応えられなくなり、それが米国のテクノロジー企業の収益損失につながるのです」と付け加えた。
次に私はディーン氏に、例外的なアクセスがスノーデン氏の情報公開と同様の影響を及ぼす可能性があるかどうかを尋ねた。
「スノーデン氏によって暴露されたNSAの活動は、主要な情報セキュリティ基準と技術を弱体化させるものでした」とディーン氏は述べています。「米国企業が販売するテクノロジーに対するユーザーの信頼が著しく低下したことで、米国のテクノロジー企業は収益の損失に見舞われました。測定対象と測定方法によって、損失額は215~350億ドル(ITIF調べ)、1800億ドル(Forrester調べ)と幅広く見積もられています。」
ディーン氏は続ける。「FBIのコミー長官は、情報セキュリティの重要な手段である暗号化を弱めることを提案しています。これは、米国企業が開発・販売する技術に対する信頼をさらに損なうきっかけとなるでしょう。正確な損失額を見積もることは困難ですが、この提案が米国のテクノロジー企業に利益をもたらすことはないと言っても過言ではありません。」
他のすべての企業と同様に、例外的なアクセスは国際規制や賠償責任条項の遵守を複雑化させる可能性があります。例えば、論文の著者らが正しいと仮定すると、犯罪者が暗号化製品への例外的なアクセスを解明した場合、侵害された製品を使用する企業が被った損害に対して誰が責任を負うのでしょうか?
簡単に言えば
著名なセキュリティ専門家であり、この論文の著者でもあるブルース・シュナイアー氏は、自身のブログに常に興味深いコメントを投稿しています。そして、このトピックに関する彼の投稿も例外ではありません。デビッド・C氏は、「FBIが狙っているような悪意のある人物が、破られた暗号を使うとは考えにくい。彼らは、より優れた暗号を見つけて使うだろう」とコメントしています。
これは明白な点であり、見逃されないことを願います。
注: TechRepublic、ZDNet、Tech Pro Research は CBS Interactive の所有物です。
