タグ: セキュリティ

個人のプライバシーというのはかなり新しい概念だ。ほとんどの人はかつて、互いの暮らしに絶えず首をつっこむような緊密なコミュニティーの中で暮らしていた。 プライバシーは個人の安全面で重要な部分を占めているという考えはもっと新しいものだ。よく比較の対象となる公共セキュリティの必要性−例えば壁を築き、ドアを施錠する−というものは明白だ。政府に反発するアナーキストすら、暴力的な敵やモンスターがいることを認めるだろう。

富める人々なら、自己防衛用に高い壁を築き、ドアを閉めるということができる。プライバシーというのは、長い間、ぜいたくなものだったし、今でもそういうふうにとらえられている。“使い捨て”の財産であり、あるといいけれど、しかし必須というほどではない。人間にとって、ほとんどプライバシーなんてないような小さなコミュニティーで暮らすというのは驚くほど簡単なことだし、本能的なことでもある。半ば厭世的で内向的な私ですら、小さなコミュニティーで何カ月も暮らし、意外にもびっくりするほどそれが自然なことだと気づいた。

だから、テクノロジー上のセキュリティが、公共セキュリティとプライバシーの間での交換のように扱われる時、最近ではそうした傾向が強いが、公共セキュリティが優先される。これは、悪用されるかもしれない暗号化された携帯端末に政府がアクセスできるよう、バックドアという“万能の鍵”に対する需要が常にあることを考えると明らかだ。そうしたシステムはハッカーやストーカーという悪徳な人たちによって必然的に攻撃されるだろう、という事実に基づいているともいえる。あまり考えられないかもしれないが、システムへの攻撃がない状況で万能な鍵が存在していたとする。利用制限内で政府関係者がそれを使用できる場合、その行為が実行されるべきかどうか、というのは道徳的には非常に判断が難しい。

カリフォルニア州での車のナンバープレートリーダーを考えてみてほしい。このリーダーでは間もなく、ほとんどの車の正確な位置をほぼリアルタイムに追跡できるようになる。また、ゴールデンステートキラー（カリフォルニア州連続殺人事件の犯人）がどうやって特定されたのかも考えてみてほしい。彼は、オープンになっている遺伝子データに基づくオンライン家系図サービスでたぐって特定されたのだ。つまりこういうことだ。データジャーナリズム先駆けメディアであるFiveThirtyEightにあるように、たとえあなたがデータ共有に加わることを選択していなくても、すでに取り込まれていて、そのデータの共有から身を引くことはできないのだ。ハッカーがそうしたデータに手を出すことがないとしたとき、どの程度であればそれが基本的に許されるのだろうか。犯罪者をとらえ、テロ攻撃を防ぐという公共のセキュリティは、個人のプライバシーよりずっと重要なはずだ。

企業のセキュリティもやはり、公共セキュリティと同様に個人のプライバシーよりはるかに大事なものだ。最近まで、世界初のプライベートメッセージアプリSignalはGoogleやAmazonのウェブサービスで“ドメイン・フロンティング”という手法を使ってきた。しかしそれも今月までだ。インターネットブロック回避に使われてきたものだが、Googleはこれを使用できなくなるようにし、AmazonはAWSアカウントを終了させようとしている。というのも、GoogleやAmazonにとって攻撃されやすい人たちのプライバシーはさほど重要ではないからだ。Facebookの数えきれないほどの巧妙な個人プライバシーへの侵害も考えてみてもほしい。人と人を結びつけるという名の下に、Facebookは巨大になり、人々はそこから逃れられないものとなっている。と同時に、Facebookは従業員やデータをこれまでになく支配するようになっている。

しかし、厳密な企業秘密がプライバシーはリッチで権力を持った人のためのものという考えを強固なものにしたとしても、プライバシーはやはり必要不可欠と言うわけではない。AmazonやFacebook、Google、そしてAppleまでもが秘密を明らかにしたところで、大した差はないだろう。同様に、普通の人が公共セキュリティのために個人のプライバシーをあきらめたところで、やはり大きな違いはない。皆が互いの職業を知っているコミュニティーでの暮らしは、アパートで住民が互いの名前も知らないというような暮らしに比べ自然で、間違いなく健康的だ。公共のセキュリティは必要不可欠であり、個人のプライバシーはあればいいというものなのだ。

ただし−

ただし、個人のプライバシーと公共のセキュリティを区別するとき、よく知っていてもいいはずの人が広めている考え方は完全に間違っている。私たちが携帯電話のデータ、車のナンバープレートリーダー、遺伝情報、暗号化されたメッセージなどにおける個人のプライバシーについて話す時、そのプライバシーとは私たちが普通に理解しているものとは異なる。普通に理解しているプライバシーというのは、リッチな人のためのものであり、緊密なコミュニティーで暮らす人には必要ないものなのだ。そうではなく、ここでいうプライバシーとは個人情報の収集と使用についてのことだ。というのも、政府や企業は何十億もの人の、かなりプライベート度の高い個人情報を大量に集積している。

こうした情報の蓄積は、蓄積された情報の中身、そして蓄積されていること自体が、個人のプライバシー問題ということではなく、大きな公共セキュリティの問題なのだ。

これに関し、少なくとも3つの問題がある。1つは、プライバシーの欠如というのは、元々の考えとの相違に抑止効果を及ぼす。プライベートスペースというのは、共同体にとっての実験用ペトリ皿だ。もしあなたが、一挙一動が見られている、全ての会話が監視されていると知ったら、プライベートという空間は事実上ないに等しい。何か刺激的なこと、または物議をかもすようなことを試してみようとは思わなくなるはずだ。カメラがあちこちにあり、そして顔認識、足取り認識、ナンバープレートリーダー、Stingraysなどですべての動きが監視されるのだから。

仮に、あなたが属する小さなコミュニティーの雰囲気が好きでなかったら、好みの雰囲気のコミュニティーに移ればいい。しかし、国や州を変えるのはかなり難しい。マリファナや同性愛が西洋諸国で違法だったころのことを覚えているだろうか（いまだに多くのところで違法であるが）。もしユビキタスな調査や、そうした法律の広汎な施行が可能だったらどうだっただろうか。私たちの法律すべてが完全なものであり現代に合致していると自信を持って言えるだろうか。新しいテクノロジーを、すぐに先見の明でもって統制できると言えるだろうか。私には言えそうもない。

2つめの問題は、リッチな人のプライバシーとつながっているが、大衆のプライバシーの消滅だ。これは、現行の法律や基準、確立されたものを永続させ、他人の利益への依存や改悪、縁故資本主義などをはびこらせる。リシュリュー枢機卿の名言がある。賢い男が書いた6行の言葉を誰かが私に渡したとしたら、私はその男を縛り首にするに足る何かを見つけるであろう−。支配層が、自分たちのプライバシーを保持しながら反体制の者のすべての言動を監視するのがいかに簡単なことか、想像してみてほしい。反テロリズムの名の下のプライバシーの消滅が不公平な法律の恣意的な施行となり、親しい人の調査が現状に反発する人への攻撃となるのにそう時間はかからない。

３つめの問題として、テクノロジーは、プライベートなデータを基に世間を操るのにますます長けてきていることが挙げられる。あなたは、広告を悪だと思うだろうか。素行→データフィードバックのループでひとたび人工知能が広告を最適化するようになると、あなたはなんとなく目にする広告を好きになるかもしれない。しかし、プロパガンダ→素行→データループという流れは、広告→素行→データという流れと大して変わらない。まさしく最適化にほかならない。

蓄積されたプライベートなデータが世論を操作するのに大々的に使用されるとなれば、プライバシーというのは個人の贅沢品というものではなくなってくる。富裕層が、自分自身を隠蔽したまま、意見を異にする人の信用を傷つけるために非相称のプライバシーを使うとき、プライバシーというのはもはや個人の贅沢品ではない。絶え間ない調査や、それによる脅威があれば、人々は新しい考えを試したり、論戦的な考えを表明したりといったことをためらうようになる。プライバシーはもはや個人の贅沢品ではないのだ。そうした世界にまだなっていないとして、間もなくそんな世界に生きていかなければならなくなることを私は恐れている。

[原文へ]

（翻訳：Mizoguchi）

おそらくほとんどの人が、ニューヨークを企業向けスタートアップを生み出す場所だとは考えていないと思うが、実際にはとてもアクティブな場所である。世界最大の銀行や金融サービス会社がそこにあることを冷静に考えれば、セキュリティスタートアップたちがそうした巨大な市場の可能性に集中することは頷ける筈であるし、実際にそうしたことが起こりつつある。

Crunchbaseによれば、この都市には、バイオメトリクスやメッセージセキュリティから、アイデンティティ、セキュリティスコアリング、グラフベースの分析ツールに至るまで、数多くのセキュリティスタートアップがある。もともと市内で創業した、今では有名なSymphonyのような企業（現在は西海岸にある）は、およそ3億ドル近くを調達している。この会社は、もともと2014年に、世界的な金融サービス企業たちによるコンソーシアムによって設立されたもので、その目的はセキュアな統一メッセージングプラットフォームの開発である。

このような幅広い支持基盤を持つエコシステムが1箇所にあるのには、理由がある。この種のソリューションについて議論したい企業が、シリコンバレーを拠点としていないからである。これは他のスタートアップに対して売り込みを行う、典型的なスタートアップたちろは事情が異なっているのだ。ニューヨークに設立されたスタートアップたちは、その主な顧客のほとんどがそこに拠点を構えているものたちである。

この記事では、マンハッタンに拠点を置く、有望な初期セキュリティスタートアップのいくつかを取り上げる。

Hypr：分散アイデンティティ

Hyprは、認証情報を盗むことをはるかに困難にすることを目指して、分散アイデンティティを追求している。同社の共同創業者でCEOのGeorge Avetisovによれば、そのアイデアは、多くの大規模組織のサーバー上に置かれている中央集中型の認証情報を取り除き、アイデンティティの処理をデバイスに移管しようとするものだ。

「分散型認証に移行しようとしているこれらの企業の目的は、アカウント情報漏洩を個人単位に分離しようというものです」とAvetisovは説明する。集中管理された保存領域を取り除き、アイデンティティをデバイスに移管することで、 Equifaxのシナリオを心配する必要はなくなる。何故ならハッカーが入手できる認証情報はデバイス1台分のものだけになるからだ。そして通常それは、ハッカーにしてみれば時間と手間に見合わないものとなる。

Hyprの核となるものはSDKである。開発者たちはこのテクノロジーを用いることで、自分たちのモバイルアプリやウェブサイトが、デバイスで認証を行うように強制することができるようになる。デバイスでの認証には、携帯電話の指紋センサーや、Yubikeyのようなセキュリティキーを用いることができる。二次的認証手段として、写真撮影を含むこともできる。時間の経過とともに、Hyprメソッドに移行するにつれて、顧客は集中ストレージを削除することができる。

同社はニューヨーク市に拠点を置き、これまでに1500万ドルを調達し、35名の従業員を擁している。

Uplevel Security：グラフデータとの接続

Uplevelの創業者Liz Maidaは、Akamaiでキャリアを開始し、そこで大規模なデータセットの価値について学んだ。そしてそうしたデータをイベントと関連付けることで、顧客自身が裏で何が起こっているのかを理解することを助けていた。2014年にUplevel Securityを立ち上げたときには、彼女はそうしたレッスンを終えていたのだ。彼女には、グラフデータベースを使用することで、異なるスキルセットを持つアナリストたちが、イベント間に横たわる関連を見出だせるようにしたいというビジョンがあった。

「機械の知性と人間の知性を、共に働かせることのできるシステムを構築したいのです」と彼女は言う。アナリストの反応を取り込んで、その情報はグラフへと再び取り込まれ、システムは対象の組織にとって、もっとも関連深いセキュリティイベントを、時間とともに学習していく。

「私たちのアプローチで優れている点は、新しい警告が発生し、ミニグラフが構成されると、それは過去のデータへと織り込まれることです。そしてネットワークのトポロジーを用いて、それが悪意あるものか否かを検討することができるのです」と彼女は語る。

同社は、セキュリティデータのグラフィカルなビューを提供することで、全てのレベルのセキュリティアナリストたちが、問題の性質を把握し、適切な行動方針を選択し、更なる理解を行い、将来起きる同様のイベントへのコネクションを行うことを助けたいと考えている。

Maidaは、製品のあらゆる側面の開発に時間を使ったと語る。フロントエンドを魅力的なものにして、可能な限り基礎となるグラフデータベースと機械学習アルゴリズムを有用なものとし、企業が素早く導入し運用を開始できるようにしたのだ。また「セルフサービス」で使えることが優先された。顧客が素早く探求を行えるようにしたかったこと、そしてわずか10人しかスタッフを抱えていなかったことから顧客対応に手が回らなかったことなどが、そこに優先度を与えた理由だ。

Security Scorecard：セキュリティを測定する方法を提供する

Security Scorecardの創業者たちは、ニューヨークのeコマースサイトGiltで働いていたときに出会った。 ひところは、eコマースとアドテックがニューヨークのスタートアップシーンでは支配的だった、しかし最近では企業向けスタートアップが本格的に始まっている。その理由の一部は、多くの人たちがこうした基本的なスタートアップ出身であることから、改めて彼ら自身が自分の会社を立ち上げようとする際には、それまでに自分たち経験した企業の問題を解決しようと考えたからだ。Security Scorecardの場合には、サービスを買おうとしている会社がどれほどセキュアであるかを、情報セキュリティ責任者（CISO）が合理的に測定できる手段を提供するというものだった。

「企業はサードパーティのパートナーたちとビジネスを行っています。しかし、もしそれらの会社の1つがハックされたら、お終いです。ビジネスを行う相手の会社のセキュリティはどのように精査していますか？」と、共同創業者でCEOのAleksandr Yampolskiyは問いかける。

彼らは公に利用可能な情報に基づいてスコアリングシステムを作成した。これには評価される対象の企業が参加している必要はない。データを武器にして、彼らはA-Fのグレードで評価を行うことができる。それこそがGiltの元CISOとして彼が個人的に感じていた重要な点である。彼らは、セキュリティに関して真剣な査定をしている企業があることは知っていたが、それは通常はアンケートを通したものだった。

Security Scorecardは、セキュリティの指標を自動化された方法で取得し、対象となるベンダーがいかにうまくやっているのかを一目で確認する方法を提供している。とはいえ、単純なA-Fのグレード評価だけで話は終わらない。対象となる企業の強みと弱みを掘り下げ、同じ業界の他の企業との比較を行い、過去どれほど上手くやってきたかを知ることができるようにするのだ。

また、顧客は、業界の他の企業と比較してセキュリティポジションを自慢することが可能である。逆にその結果を使って、改善のための予算を要求することもできる。

Crunchbaseによれば、同社は2013年に立ち上げられ、6200万ドル以上の資金を調達している。現在は130人の従業員を抱え、400社の企業が顧客となっている。

企業向けセキュリティスタートアップならば、世界最大規模の企業がビジネスを行う場所に出ていく必要がある。それがニューヨークだ。そしてそれこそが、この3社や他の何十もの会社が、ここを拠点とする理由なのだ。

[原文へ]
（翻訳：sako）