暗号化データがリスクにさらされるかどうかは、一つの未解決問題にかかっています。この分析処理は、デバイス上のみで行われるのでしょうか?
英国のキア・スターマー首相は月曜日の演説で、テック企業に対し、子どもが性的に露骨な画像を閲覧・作成できないようにするデバイス制御機能の構築を求めると表明しました。この発言は、同様の技術が企業のセキュリティを損なう可能性があるとして、CISOたちの間で警戒感を高めています。スターマー首相はテック企業に対し、3か月以内にこうした制限を自発的に作成・実装するよう求め、期限内に対応がなければ義務化に向けた立法措置を推進すると述べました。
テック企業が乗り越えるべき技術的・論理的なハードルとして、画像が不適切かどうかをデバイスがどう判断するか、また被写体の年齢を確実に判定する方法があります。さらにその背後には、このプロセスが世界中の企業の暗号化保護に干渉しうるかという問題があります。そしてその答えは、必要なデータ分析がデバイス上で行われるのか、クラウド上で行われるのかという一点にかかっています。
スターマー首相は詳細には踏み込まず、テック企業が独自の計画を立てることを望む姿勢を見せましたが、この問題において細部は極めて重要です。アナリストやコンサルタントによると、暗号化の問題を回避するためにすべての処理をデバイス上で完結させようという方向性が打ち出されているとのことです。検査対象のデータがデバイスの外に出なければ、暗号化による保護はそのまま維持されます。
しかし、処理をデバイス上に留めるというこの計画が実現する可能性は、複数の理由から極めて低いとされています。第一の問題はデバイスの処理能力とハードウェアの世代です。AppleやGoogleのエンジニアが最新端末を前提に設計を進めたとしても、英国の多くのユーザーは旧型で性能の劣るデバイスを使っているとアナリストたちは指摘しています。
2〜4年前のスマートフォンでも追加の処理負荷に対応できるかもしれませんが、動作が著しく遅くなり、ユーザーにとって不快なレベルになることは避けられないでしょう。そうなると、データ分析の実行がデバイス上で始まったとしても、パフォーマンス上の理由からクラウドへの移行を余儀なくされる可能性が高く、そこから暗号化データの問題が生じることになります。
英国内でこのスキャン処理をデバイス上で行おうとすれば失敗するだろうと、LexisNexis Risk Solutions GroupのCISOであるフラビオ・ビジャヌスター氏は述べています。「英国で現在使われている大多数のデバイスが使い物にならなくなります。デバイス上での実現は、単純に不可能です」
ただし、ビジャヌスター氏は、典型的なデバイスがより高性能になる数年後には、こうした取り組みに向けたデバイス上の分析が実現可能になるかもしれないとも述べています。この種の取り組みでは、禁止された画像を探すためにスマートフォンにダウンロードされるすべてのコンテンツをスキャンする必要がありますが、現時点では対応は難しいとしています。
新たなリスクの生成
セキュアメッセージングアプリの主要プロバイダーであるSignalも、スターマー首相の提案に強く反対する声明を発表しました。
「英国政府が求めているのは、英国で販売・使用されるすべてのデバイス上のすべてのコンテンツを、年齢確認とコンテンツスキャンという監視的な組み合わせによって、ヌード画像の存在を前提にスキャンするというものです。これは子どもを守るものではありません。私たちを全員危険にさらす一方で、Apple、Google、Microsoftの市場支配力と、私たちの最も個人的な情報に対するコントロールを強化するだけです」とSignalは声明で述べています。「一度作られれば、このプログラムは拡大され、英国内外で『脅威』や『有害コンテンツ』とみなされるものを検閲・監視するための危険なツールとして使われることになるでしょう」
Signalは以前からこうした動きに対して積極的に対抗してきました。同様のプライバシーをめぐるキャンペーンは欧州各地でも展開されています。
長年懸念されてきたのは、暗号化されたままであれ平文に変換されたものであれ、暗号化データをクラウドに移動させることで、攻撃者が機密データにアクセスする機会が生まれるという問題です。
「一致した内容を外部当局に通報するメカニズム自体が、新たな組み込みの情報流出経路を生み出すことになります」と、コンサルティング会社AcceligenceのディレクターであるJeff Valdes氏は述べています。
百害あって一利なし
Greyhound Researchのチーフアナリストであるサンチット・ビル・ゴジア氏は、英国の提案は利益よりもはるかに大きな害をもたらす可能性が高いと主張しています。彼は3か月という短い期限を、誠実さの欠如を示す証拠として挙げています。
「これほど複雑な立法は一四半期では策定できません。この期限はプレッシャーを与えるための手段であり、実現のためのスケジュールではありません。子どもの安全は目的地として正しい。しかし、デバイス全体の検査はその手段として間違っています」とゴジア氏は述べています。「AppleとGoogleはすでに限定的な文脈でデバイス上のヌード検出を実行しており、機能しています。子どもに警告を出し、画像をぼかし、共有しようとする操作を中断させることができます」
ゴジア氏はもう一つの現実的な問題も指摘しています。タブレットのように家族間で共有されることが多いデバイスでは、年齢の確実な判定がほぼ不可能だということです。
「この政策の根本的な欠陥は、デバイス・人物・年齢が安定した対応関係にあると想定している点にあります。しかし実際の家庭では、そのような対応関係は存在しません」とゴジア氏は述べています。「デバイスは持ち主が変わったことを知ることができません。これを成立させる唯一のアーキテクチャは、デフォルトで子ども向けとし、定期的に大人であることを確認するというものですが、それは家庭の経済事情の裏口から忍び込む監視にほかなりません」
さらに彼は、「子どもたちは不均衡に、サポートが切れた古い端末を受け継ぐことが多く、そもそもこの規制が及ばない場合がほとんどです。端末の買い替えを強いることは電子廃棄物を生み出し、新しい端末を購入する余裕のない家庭にしわ寄せがいきます」とも指摘しています。
独立系技術アナリストのカルミ・レヴィ氏も、この取り組みに必要な計算負荷だけで計画が頓挫しかねないという見方に同意しています。
「特にリアルタイムでこの種のフィルタリングを実行しなければならないことを踏まえると、必要な計算能力は膨大なものになります。複数の深刻な懸念を抱えたまま、この機能を大規模に展開できると考えるのは無意味です」とレヴィ氏は述べています。「フィルターをどのように調整するかを決めるだけでも、ほとんど不可能な作業です。ヌード、つまり衣服をまとっていないという全体的な定義については概ね合意が得られているとしても、未成年者にとって不適切になる境界線は固定されておらず、普遍的に定まってもいません。ですから、スターマー首相が提案するような規模において、単一の閾値が機能するだろうと考えるのは、あまりにも楽観的すぎます」
AcceligenceのディレクターであるNidhi Luthra氏も、物流面・技術面の障壁が大きな問題であると付け加えています。
「技術的には、一部は機能しうる」と彼女は述べていますが、ベンダーは年齢確認、モデルのドリフト、誤検知への対処を迫られることになり、さらに「この仕組みを真に機能させるために必要だったコンテキスト情報が欠如している」という問題もあると指摘しています。
CISOたちを「逃げ場のない状況」に追い込む
英国の提案は、機密データを守る必要がある企業のCISOやIT部門長たちを、逃げ場のない状況に追い込んでいるとゴジア氏は述べています。
彼らは「デバイス管理と条件付きアクセスを管理できます。しかし、企業のリスク許容度ではなく政治的な判断で更新される強制的な検査機能を管理することはできません」と彼は指摘します。「この提案は、Signal、WhatsApp、Teamsの内部に自動的に侵害を生み出すわけではありませんが、その周囲に新たな種類の侵害が起きやすい条件を作り出します。弱点はメッセージングプロトコル内に存在する必要はありません。義務付けられた検査レイヤー、分類器の更新メカニズム、年齢確認のワークフロー、あるいは当局が必然的に生成するログの中に潜む可能性があります」
政権交代が悪用につながる恐れ
もう一つよく聞かれる懸念は、政府は交代するものだという点です。現在の政府に対して限定的に付与された権限が、将来の政権によって全く異なる形で行使される可能性があります。
Info-Tech Research GroupのプリンシパルリサーチディレクターであるBrian Jackson氏は、「現政府はヌード画像の検出にのみ使用するかもしれませんが、将来の権威主義的な政府が不都合な政治的コメントを検出するために使うことを誰が止められるでしょうか。バックドアを作るということは、第三者、つまりハッカーがそのバックドアを悪用してユーザーの通信にアクセスする可能性が生まれるということです。これはまさに、暗号化とデバイス上のセキュリティ対策が防ごうとしているものです」と指摘しています。
彼はさらにこう述べています。「AppleのCommunication Safety機能、GoogleのFamily Link、そして数多くの保護者向けコントロールツールは、すでにデバイス上のAIを使って子ども向けデバイスで露骨な画像を検出・制限しています。政府は市場が対処できなかった空白を埋めようとしているのではありません。既存の機能の制御権をデバイスの所有者から国家へ移譲することを提案しているのです。保護者は今すぐ、自分たちの判断でこの保護を利用できます。意思決定はそこにあるべきです」
IDCでプライバシー・法務技術担当リサーチディレクターを務めるライアン・オリアリー氏は、現在の提案は英国のみに関するものであり、他国の政府が同様の動きに出るかどうかを現時点で判断する方法はないと述べています。同氏は、EUのGDPRが2016年の施行時に世界的な波及が広く予想されたにもかかわらず、10年経った今もそうはなっていないことを引き合いに出しました。
オリアリー氏は、この提案が英国で成立した場合、ITおよびサイバーセキュリティの幹部に対し、同地域にチームメンバーを派遣する際は特段の注意を払うよう助言するだろうと述べています。
「実質的に『中国ルール』と同じになります」と彼は言い、システムのエアギャップ化や、データを限定したバーナーフォンを持参して出張するといった対応が必要になると述べています。「実現すれば非常に大きな問題になります」とした上で、実際にそうなる可能性は極めて低いとも付け加えました。「テック企業は彼のはったりを見抜くでしょう」
