顧客が望むならソースコードも公開--カスペルスキーの信頼性確保への取り組み

　カスペルスキーは2月13日、今後の事業戦略を発表した。本社であるロシアKaspersky Labは現在、ロシア政府との関係を疑われており、米国の政府機関が同社製品の使用を禁じている。また、英国では国家の安全に関するシステムにおいて、同社製品を使用するにあたってのガイダンスが、英国国家サイバーセキュリティセンター（NCSC）から発行されている。今回の発表でも、疑惑払拭と信頼性確保に向けた取り組みの進捗が語られた。

カスペルスキー日本法人の幹部。左から、情報セキュリティラボ 所長のMichael Molsner氏、グローバル リサーチ アンド アナリシス チーム APAC マルウェアリサーチャーの石丸傑氏、代表取締役社長の藤岡健氏、専務執行役員の宮橋一郎氏、執行役員 コーポレートビジネス本部 本部長の嵯峨野充氏、コンシューマビジネス本部 本部長の本田純一氏

　最初に説明に立ったのは2019年1月1日付けで新たに代表取締役社長に就任した藤岡健（つよし）氏。これまで、チェック・ポイント・ソフトウェア・テクノロジーズやソニックウォール・ジャパンといったセキュリティ関連企業で社長を務めてきた人物だ。

　藤岡氏は、一連の疑惑について「そのような事実はない」と断言。しかし、疑惑をかけられている当事者がただ否定するだけでは、払拭することは難しい。そこで藤岡氏は2018年11月からKaspersky Labが始めている取り組みを紹介した。

カスペルスキー代表取締役社長の藤岡健氏。これまで、チェック・ポイント・ソフトウェア・テクノロジーズやソニックウォール・ジャパンといったセキュリティ関連企業で社長を務めてきた

　Kaspersky Labは従来、ユーザーから寄せられたセキュリティ脅威に関するデータをロシアのデータセンターで処理していたが、2018年11月にはスイス・チューリッヒにデータセンターを開設し、欧州のユーザーからの脅威情報の処理をこのデータセンターで始めた。チューリッヒに新設したデータセンターはセキュリティに関する業界標準に準拠しており、世界有数の充実した設備を誇るものだという。欧州のユーザーからのデータの移転は2019年末までに終了する予定。ロシアの法律が禁じているため、ロシアのユーザーのデータは従来通りロシアのデータセンターで処理する。

　さらにKaspersky Labは、チューリッヒに「Transparency Center」という施設を新設した。この施設では、パートナー企業などが同社製品の更新ソフトウェア、脅威検知ルールなどの活動について評価できる環境を用意している、製品のソースコードの精査にも応じるという。

開発プロセスは会計事務所の監査を受ける

　さらに、世界4大会計事務所（英Ernst ＆ Young、英PricewaterhouseCoopers、米Deloitte Touche Tohmatsu、オランダKPMG）のいずれか一社に、ソフトウェア開発プロセスの安全性などについてSOC2（Service Organization Controls 2）の監査を依頼した。監査は2019年第2四半期に完了する予定だという。

Kaspersky Labによる、信頼性確保に向けた取り組み

　専務執行役員の宮橋一郎氏は、この取り組みが始まる前からKaspersky Labは開かれた企業であり、信頼性確保に力を入れていたと語り、某国の軍隊が同社製品を導入する際のやり取りについて紹介した。その軍隊は、完全に信用できると自身で確信を得るために、導入を検討している製品のソースコードを隅から隅まで調べ、納得して導入したという。当時はTransparency Center設立前だったので、担当者をロシアの本社に招いて調べてもらったそうだ。

カスペルスキー専務執行役員の宮橋一郎氏

　Kaspersky Labによる信頼性確保に向けた取り組みは、今後日本を含むアジア諸国や北米のユーザーなどに対象が広がっていく。まず、2019年以降、現在ロシアのデータセンターで処理している欧州、ロシアを除く地域のユーザーからのデータもチューリッヒのデータセンターに移行を始める。これで、日本のユーザーのデータも段階的にチューリッヒに移動する。

　さらに、現在チューリッヒにしか存在しない「Transparency Center」を2020年までにアジアと北米に開設する。アジアのどの都市に開設するのかという点については検討中だが、藤岡社長は「ぜひ日本に開設して欲しい」と本社に強い要望を送っているという。