Peter Cullenは、Microsoftのプライバシー戦略最高責任者として、厄介な仕事に取り組んでいる。
Microsoftのソフトウェアは、世界中の何百万台ものコンピュータから日常的に情報を集めている。この情報収集はひっそりと、そして多くの場合はコンピュータの所有者が気づかないうちに行われる。
このような情報を集めることは、プライバシーの侵害行為だと思われるかもしれない。しかし、それには相応の理由があるとMicrosoftはいう。ユーザーに関する情報が多いほど、ユーザーを確実に守ることができる、というのがその理由だ。
たとえば、Microsoftは電子メールのタグをチェックして、そのメールが本当にその差出人から送られたものかどうかを確認する「Sender ID」というシステムを推進している。この技術はフィッシング攻撃の阻止に役立つとMicrosoftは主張する。
Cullenは個人情報の不正取得に対するMicrosoftの取り組みを紹介すると共に、フィッシング攻撃の拡大や一向に止む気配のないスパムの脅威について語った。
--あなたの仕事は、たとえば最高セキュリティ責任者の仕事とはどう違うのですか。
突き詰めれば、セキュリティは情報の機密性を守ることであり、プライバシーは情報の利用に関わる問題です。しかし、両者は切っても切れない関係にあります。そのよい例がフィッシングです。フィッシングは、まずはセキュリティの問題として始まります。セキュリティ上の問題が原因で、顧客の情報が適切でない形で収集され、その情報が最終的には、身元詐称などの目的で利用される。こうなると、これはプライバシーの問題です。個人情報には必ずセキュリティの要素が含まれています。
--個人情報の不正取得からユーザーを守るために、Microsoftにできることはありますか。
当社はこの問題にさまざまな側面から取り組んできました。スパム対策はそのひとつです。スパムに関しては、それこそ山のような事柄を検討してきました。技術的な取り組みも行いました。現在は教育に関する取り組みも行っています。これには2つの種類があります。ひとつは消費者の教育です。オンラインで取引を行う際の注意点や、危険な取引に関する情報を提供することで、消費者を支援しています。
業界とのパートナーシップにも力を入れています。スパム問題に効果的に対処するためには、スパムを撲滅する方法をその他の業界プレイヤーと一緒に考えていく必要があります。
政府との関係も重要です。特に法執行の面では、政府との連携は不可欠といえるでしょう。当社はスパムやフィッシング、スパイウェアの送信者と闘うために、およそ120の活動を世界中で展開しました。
(スパムは)2年前に拡大を始め、人々のメールボックスを迷惑メールで埋め尽くすようになりました。今日では、スパムはスパイウェアとフィッシングの運び屋となっています。このことから、当社はスパム対策の一環として、スパイウェア対策に力を入れてきました。現在はフィッシングにも力を入れていますが、これもスパム問題の一部です。スパムがユーザーのメールボックスに届かないようにすることが、フィッシング攻撃を水際で食い止めるひとつの方法であり、ひいては個人情報の不正取得を防ぐことにつながると考えています。
--プライバシーに関する最大の問題は何でしょうか。フィッシングでしょうか。
これという問題を特定することは非常に困難です。1年前には「フィッシング」という言葉は存在しませんでした。当時のスパイウェアは、広告を表示することを目的に、そのユーザーが訪れるサイトを追跡するというものでした。ところが、現在のスパムはユーザーのPCにキーロガーをインストールするようになっています。
スパムを例にとってみましょう。MSNとOutlookは、1日に32億通ものスパムを阻止しています。しかし、インターネット上を飛び交っているEメールの65%は、依然としてスパムです。われわれがSender IDのフレームワークを有効だと考えている理由はここにあります。現在は、MSNに送られるメールの25%にSender IDが付加されています。これはすべてのメールではなく、75%のメールに注意を向ければよいことを意味します。
これらの方法を利用することで、問題のあるメールを絞り込み、悪質な相手に力を集中することができるようになるのです。
--英国などは、チップとPIN番号を用いたシステムを構築し、暗証番号がなければ、カードを利用できないようにしています。このやり方はプライバシー問題の解決に役立つと思いますか。
よいアイディアではありますが、運用上の問題がいくつかあります。たとえば、カードを紛失したらどうなるのでしょうか。打つ手はあるのでしょうか。プライバシー問題のソリューションはひとつではありません。さまざまな方法が考えられます。
2要素認証はそのひとつです。たとえば、米国やカナダではスマートカードを利用しないインターネットバンキングが広がりつつあります。ユーザーが使うのはパスワードとユーザーIDのみです。
重要なのは、金融機関が利用者の本人確認を行うことだけではありません。利用者の側も、自分が本物の金融機関を相手にしているのかどうかを確認する必要があります。認証というのは、完全に双方向のものでなければならない--われわれはそう考えています。
--特に高く評価している認証方法があれば教えてください。
認証に関しては、社内でも議論に議論を重ねてきました。ひとついえるのは、優れた認証システムとは、複数の技術ソリューションを統合したものだということです。1つのソリューションで済ませるのではなく、複数のソリューションを組み合わせる--それが結論だと思います。当社は関係者と協力して、認証に関する原則を定めました。この過程では、オープンソースコミュニティの協力も得ることができました。今後、当社の技術ソリューションはこの標準に準拠したものとなる予定です。昨年、これらの標準は「アイデンティティの7原則」としてまとめられました。個人情報管理のフレームワークは、この7原則を満たすものでなければならないと思います。
策定に関わった以上、当社が提供する個人情報ソリューションは、これらの原則に沿ったものとなる予定です。
(ロンドンにて、ZDNet UKのColin Barkerが取材)CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス