最近のForbesの調査により、Microsoftが令状を提示された場合に、BitLocker暗号化の回復キーを法執行機関に引き渡してきたとされることが明らかになりました。Microsoftによれば、こうした要請は年に約20件あるといいます。狭い意味では、これは法に基づく遵守の通常の事例に見えるかもしれません。しかし詳しく見ると、現代のデジタルシステムがどのように設計され、最終的に誰がそこに保存されるデータを支配しているのかという、重大な問いを投げかけます。
議論の核心はデータ主権、すなわち個人や組織が本当に自分たちのデータを支配しているのか、それともテクノロジー提供者が行ったアーキテクチャ上の選択によって、その支配が本人の意思に反して移転し得るのか、という点にあります。
BitLocker自体は強力な暗号化です。連邦捜査当局も、暗号学的にこれを破ることはできないと認めています。アクセスは回復キーの所持に依存します。したがって問題は暗号の強度ではなく、鍵がどこに置かれているかです。
Microsoftは利便性のため、BitLocker回復キーをMicrosoftアカウントにバックアップすることを一般に推奨しています。その選択は、Microsoftが顧客のデバイスを解錠できる技術的能力を保持し得ることを意味します。第三者が暗号化データと、それを復号するために必要な鍵の両方を保持しているなら、支配はもはや排他的ではありません。データ主権は、令状が発付されるずっと前から、すでに希薄化しているのです。
Virtruを創業する前、私はホワイトハウス国家経済会議で技術政策の主任顧問を務め、愛国者法をめぐる初期の議論に参加しました。そうした議論は例外的なものとして位置づけられていました――異例の状況における異例のアクセスです。しかし、その後の経験と歴史が示してきたのは、アクセスは拡大しがちで、要請はより日常的になり、そもそもアクセスを制限するよう設計されていない技術に対して監督が追いつくのは難しい、ということです。
私たちはこの設計パターンの帰結を、20年以上にわたり目にしてきました。米国人口のほぼ半数の金融上の身元情報を露呈させたEquifaxの侵害から、COVID期における機微な通信や医療データの繰り返される漏えいに至るまで、パターンは一貫しています。顧客データに対する支配を集中管理するシステムは、システム全体の単一障害点になります。これらの事案は例外ではありません。持続的なアーキテクチャ上の欠陥を反映しています。
だからこそ、BitLockerの問題は単一の調査を超えて重要なのです。システムが、提供者が顧客データを解錠するよう強制され得る形で構築されている場合、適法なアクセスは、限定的な状況により統制される例外的な結果ではなく、アーキテクチャの常設機能になってしまいます。
他の大手テクノロジー企業は、別のアプローチが可能であることを示しています。Appleは、自社が顧客データにアクセスできる能力を制限するシステムを設計しており、それが政府の要求への対応を容易にするとしても同様です。Googleは、顧客が暗号鍵を排他的に管理できるクライアント側暗号化モデルを提供しています。これらの企業も法に従いますが、鍵を保持していなければデータを解錠できません。それは妨害ではありません。設計上の選択です。
Microsoftも同様の選択ができます。復号能力を保持することは技術的必然ではなく、製品および事業上の意思決定です。デフォルト設定は重要であり、利便性がデフォルトであると、個人も企業も、多くのユーザーが気づかないうちに、使いやすさと引き換えに支配を手放してしまいます。
リスクのないバックドアや、普遍的に安全な鍵のエスクローなど存在しません。暗号化は、正当なアクセスと不正なアクセスを区別しません。要求に応じて解錠できるよう設計されたシステムは、いずれ意図しない者によっても解錠されます。
こうしたリスクは、国家主体によるサイバー活動が常態化する時代において増幅されます。データを復号できる主体が増えるほど、攻撃対象領域は拡大します。
Salt Typhoonの混乱は、この点を浮き彫りにします。攻撃者がエンドポイントではなくネットワークやインフラを狙う場合であっても、目的は同じです。大量の機微データに大規模にアクセスできる、あるいは復号できるシステムへの到達です。復号権限を集中させるアーキテクチャは、避けられない侵害の影響を増幅します。一方、データレベルでの鍵所有を強制するアーキテクチャは、被害の波及範囲を大幅に限定します。
グローバル企業にとって問題は、米国の法的手続きだけではなく、法域をまたいだ相反する要求の可能性――その中には、市民的自由や商業上の機密に対する保護がはるかに弱い国もある――にあります。
教訓は明快です。組織は最も機微なデータに対する責任を外部委託し、第三者が常に自社の最善の利益のために行動すると想定することはできません。暗号化が目的を果たすのは、データ所有者だけがそれを解錠できる場合に限られます。
Microsoftには、顧客が管理する鍵をデフォルトにし、復号権限をMicrosoftの手に置かない回復メカニズムを設計することで、この問題に対処する機会があります。真のデータ主権――個人としても組織としても――には、強制アクセスを契約上抑制するだけでなく、技術的に不可能にするシステムが必要です。
それまでの間、この出来事は警鐘として受け止めるべきです。経営層と取締役会は、自社の技術スタックに対して単純な問いを投げかけるべきです。暗号鍵はどこにあるのか。
その答えは、誰が本当にデータを所有しているのか――そして誰が所有していないのか――をますます左右します。なぜなら、鍵を管理できなければ、データも管理できないからです。
John AckerlyはVirtruのCEO兼共同創業者です。
翻訳元: https://cyberscoop.com/microsoft-bitlocker-recovery-keys-data-sovereignty-virtru-op-ed/
