Evervaultの「サービスとしての暗号化」がオープンアクセスに

ダブリンに拠点を構えるEvervaultは、APIを介する暗号化を販売する開発者向けセキュリティのスタートアップだ。Sequoia、Kleiner Perkins、Index Venturesなどの大手投資家から支援を受けている。同社は2021年8月中旬、クローズドベータを終え、暗号化エンジンへのオープンアクセスを発表した。

E3と称される同社の暗号化エンジンを試す待機リストには、約3000人の開発者が登録していると同社は述べている。

クローズドプレビューに参加している「数十の」企業には、ドローン配送会社のManna、フィンテックスタートアップのOkra、ヘルステック企業のVitalなどが名を連ねている。Evervaultによると、同社のツールは4種のデータ(アイデンティティおよび連絡先データ、財務および取引データ、健康および医療データ、知的財産)の収集や処理を必要とするコアビジネスを持つ企業の開発者をターゲットにしているという。

E3で提供する最初のプロダクトスイートはRelayとCagesだ。Relayは、開発者がアプリの入出力時にデータを暗号化および復号化するための新しい方法を提供する。Cagesは、AWS上で実行される信頼性の高い実行環境を使用して、プレーンテキストデータを処理するコードを開発者スタックの残りの部分から分離することで、暗号化されたデータを処理する安全な方法を提供する。

創業者のShane Curran(シェーン・カラン)氏によると、EvervaultはAmazon Web ServicesのNitro Enclavesにプロダクトをデプロイした最初の企業になるという。

「Nitro Enclavesは基本的に、コードを実行でき、データ自体の中で実行されるコードが本来実行されるべきコードであることを証明できる環境です」と同氏はTechCrunchに語っている。「AWS Nitro Enclavesに関するプロダクトのプロダクションデプロイメントを行ったのは当社が最初です。そのアプローチを実際的に遂行する当事者という意味では、私たちが唯一の存在だと言えるでしょう」。

データ侵害がオンラインで深刻な問題であり続けていることは、もはや周知の事実であろう。そして残念なことに、アプリメーカーによる杜撰なセキュリティ対策、さらにはユーザーデータの安全性に対する配慮の全面的な欠如について、プレーンテキストのデータが漏洩したり不正にアクセスされたりした場合に責任を問われる頻度が高くなっている。

アプリエコシステムのこの不幸な「特性」に対するEvervaultの解決策は、開発者がAPIを介する暗号化を極めてシンプルに行えるようにすることであり、暗号化キーの管理などの負担を軽減するものである。(「DNSレコードを変更して当社のSDKを含めることで、5分でEvervaultを統合」というのが、同社のウェブサイト上の開発者を惹きつけるピッチだ)。

「私たちが行っている高いレベルの取り組みにおいて【略】私たちが真に注力しているのは、どのような観点からもセキュリティとプライバシーにまったくアプローチしていない(という状況にある)企業を、暗号化で稼働状態にし、少なくとも、制御機能を実際に実装できるようにすることです」とカラン氏は語る。

「最近の企業が抱える最大の問題の1つとして、企業がデータを収集した後、そのデータは実装とテストセットの両方に散らばっているような状態になっていることが挙げられます。暗号化の利点は、データがいつアクセスされ、どのようにアクセスされたかを正確に把握できることにあります。ですから、データに何が起こっているのかを確認し、それらの制御を自分たちで実装するためのプラットフォームが提供されるだけでいいのです」。

何年にもわたって発生してきたおぞましいデータ漏洩スキャンダル(そしてデータ漏洩デジャヴ)、さらには欧州の一般データ保護規則(GDPR)をはじめとするデータ保護法の改正により脆弱なセキュリティやデータの悪用に対する罰則が強化されたこともあり、企業幹部はデータを適切に保護する必要性に一層の注意を払うようになっている。こうした中「データのプライバシー」を提供することを約束するサービスをアピールし、データを保護しつつ開発者が有用な情報を抽出できると主張するツールを売り込むスタートアップが増えている。

関連記事
米T-Mobileで顧客データ漏洩、犯罪者フォーラムで販売
EUがAmazonに過去最大約971億円の罰金、ターゲット広告目的で顧客データを使用

Evervaultのウェブサイトはまた「データのプライバシー」という用語を次のような意味の定義として展開している。「プレーンテキストのユーザー / 顧客データにアクセスできる権限のない当事者はいない、ユーザー / 顧客および権限のある開発者は誰がいつどの目的でデータにアクセスできるかを完全に制御できる、プレーンテキストのデータ侵害を終結する」(つまり、暗号化されたデータは理論上はまだ漏洩する可能性があるが、重要なのは、情報が強固に暗号化されている結果、保護されたままになるということだ)。

この分野のスタートアップが商用化しているテクニックの中に、準同型暗号がある。準同型暗号とは、暗号化されたデータを復号することなく分析できるプロセスだ。

Evervaultの最初のオファリングはそこまで踏み込んでいない。ただし同社の「暗号化マニフェスト」には、この技術を注視していると書かれている。そしてカラン氏は、このアプローチをいずれは取り入れる可能性が高いことを認めている。しかし、同社の最初の焦点は、E3を稼働させ、幅広い開発者を支援できるオファリングを提供することにあると同氏はいう。

「完全な準同型(暗号化)はすばらしいことです。通常のサービスを構築しているソフトウェア開発者をターゲットにする場合、最大の課題は、その上に汎用アプリケーションを構築することが非常に難しいことにあります。そこで私たちは別のアプローチを採用しました。そのアプローチとは基本的に、信頼できる実行環境を使用することです。そして私たちはAmazon Web Servicesチームと協力して、Nitro Enclavesと呼ばれる彼らの新しいプロダクトの最初のプロダクションデプロイメントを行いました」とカラン氏はTechCrunchに語った。

「私たちがより重視しているのは、基盤となる技術そのものではなく、すでにこの分野に多額の投資をしている企業のために最善のセキュリティプラクティスを採用し、暗号化がどのように機能するかについて知識を持たないような平均的な開発者でも利用できるようにすることです」と同氏は説明する。「Evervaultが他のプライバシーやセキュリティ企業と違う最大のニュアンスはそこにあります。私たちが開発を進めるのは、何かを構築するときに通常はセキュリティについて考えることなく、それを中心にすばらしいエクスペリエンスを築こうとしている開発者のためです。それはまさに、『アートの始まり』の間にあるギャップを埋め、それを平均的な開発者にもたらすことに他なりません」。

「時間の経過とともに、完全な準同型暗号化はおそらく私たちにとって簡単なものになりつつあるのですが、平均的な開発者が立ち上げて実行するためのパフォーマンスと柔軟性という点では、現在の形式をベースにして構築することはあまり意味がありませんでした。しかし、そこに私たちは注目しています。私たちは学究的環境から生まれてくるものを実際的に精査しています。現実の環境に適合させることができるかどうかを検討しているのです。しかし当面は、今てがけているような信頼できる実行環境がすべてです」とカラン氏は続けた。

カラン氏によると、Evervaultの主な競合相手はオープンソースの暗号化ライブラリであり、開発者は基本的に自分で暗号化作業を行うことを選択している。そのため、同社はオファリングのサービス面に照準を合わせている。開発者が暗号化管理タスクを実行しなくて済むようにすると同時に、データに明確に触れる必要がないようにすることで、セキュリティリスクを軽減する。

「この種の開発者たち、つまりすでに自分たちで暗号化を行うことを考え始めている開発者たちを考慮すると、Evervaultの最大の差別化要因としてまず統合のスピードが挙げられますが、さらに重要な点は暗号化されたデータの管理そのものにあります」とカラン氏。「Evervaultではキーを管理していますが、データは保持しておらず、お客様は暗号化されたデータを保持していますが、キーは保持していません。つまり、Evervaultで何かを暗号化したいと思っても、すべてのデータについて、プレーンテキストで保有することは決してありません。一方、オープンソースの暗号化では、暗号化を行う前のある時点でプレーンテキストデータを保有する必要があります。これが私たちが見ている基本の競合他社です」。

「もちろん、Tim Berners-Lee(ティム・バーナーズ-リー)氏のSolidプロジェクトのような他のプロジェクトもいくつかあります。ですが、暗号化に対して開発者エクスペリエンスに焦点を当てたアプローチに特化しているところが他にあるかどうかは明確とは言えません。APIセキュリティ企業は明らかに数多く存在します【略】しかし、APIを介する暗号化は、私たちが過去に顧客との間で出会ったことのないものです」と同氏は付け加えた。

関連記事:WWWの父ティム・バーナーズ=リー氏のInruptがプライバシープラットフォームSolidのエンタープライズ版をリリース

Evervaultの現在のアプローチでは、アプリメーカーのデータはAWS上の専用の信頼できる実行環境でホストされていると見ているが、情報は今のところプレーンテキストとして存在している。しかし、暗号化が進化するにつれ、アプリがデフォルトで暗号化されるのではなく(Evervaultの使命は「ウェブを暗号化する」ことだとされている)、ユーザーデータがいったん取り込まれてから暗号化されれば、すべての処理が暗号化されたテキスト上で実行されるため、ユーザーデータを復号する必要がなくなる未来を想像することも可能になる。

準同型暗号は当然のことながらセキュリティとプライバシーの「聖杯」と呼ばれており、Dualityのようなスタートアップはそれを追い求めて奔走している。しかし、現場、オンライン、そしてアプリストアでの現実は、はるかに初歩的なままだ。そこでEvervaultは、暗号化のレベルをより一般的なものにしようとすることには大きな価値があると考えている。

カラン氏はまた、多くの開発者は収集したデータを実際にはあまり処理していないと指摘し、そのため、信頼できる実行環境内でプレーンテキストデータをケージングすることで、いずれにしてもこうした種類のデータフローに関連するリスクの大部分を取り除くことができると主張している。「現実には、最近のソフトウェア開発者の多くは、必ずしも自分でデータを処理しているわけではありません。彼らはユーザーから集めてサードパーティのAPIと共有しているだけなのです」。

「Stripeを利用して何かを構築しているスタートアップを見てみると、クレジットカードはシステム内を流れていますが、最終的には必ず別の場所に渡されることになります。これは、最近のスタートアップのほとんどが行っている傾向だと思います。ですから、Amazonのデータセンターのシリコンのセキュリティに依存して実行を信頼することができるのは、ある意味最も理に適っていることです」。

規制面では、このデータ保護のストーリーは、通常のセキュリティスタートアップの展開よりも少し微妙なところがある。

欧州のGDPRは確かにセキュリティ要件を法制化しているが、旗艦的なデータ保護レジームは、個人データに付随する一連のアクセス権も市民に提供している。これは「データプライバシー」に関する開発者ファーストの議論では見落とされがちな重要な要素だ。

Evervaultは、チームの初期の焦点は暗号化であり、データアクセス権は今のところ意識の中心にはなっていないことを認めている。しかしカラン氏は「時間をかけて」「アクセス権もシンプル化する」プロダクトを展開する計画だと語ってくれた。

「今後、Evervaultは次の機能を提供していく予定です。暗号化されたデータのタグ付け(例えばタイムロックデータの利用)、プログラム的な役割ベースのアクセス(例えば従業員がUIでプレーンテキストのデータを見れないようにする)、そしてプログラム的なコンプライアンス(例えばデータのローカリゼーション)です」と同氏はさらに説明した。

画像クレジット:Janet Kimber / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

米司法省はサイバー攻撃やデータ侵害を隠ぺいした政府契約企業を訴える

米国司法省は、サイバー攻撃やデータ侵害の報告を怠った国の契約企業に対して、今後、民事訴訟で起訴すると発表した。

今週、副司法長官のLisa Monaco(リサ・モナコ)氏が導入したCivil Cyber-Fraud Initiative(民事サイバー詐欺対策)は、既存のFalse Claims Act(FCA、不正請求防止法)を利用して「政府契約企業や助成受給者によるサイバーセキュリティ関連の不正行為を追及する」。

司法省のプレスリリースによると、この政策は国の契約企業や個人が、欠陥のあるサイバーセキュリティプロダクトやサービスを故意に提供して、米国のサイバーインフラストラクチャを危険にさらした場合、彼らの責任を問うものだ。同じく政府契約企業はこれからは、サイバーセキュリティのインシデントと侵害を監視し報告することを怠った場合「義務違反」で処罰される。

これは、政府機関を狙った大量のハッキング行為に対する、バイデン政権の最新の対応だ。被害者の中には、財務省や国務省、国土安全保障省まで含まれていた。その後法務省は、ロシアの外国諜報サービスであるSVRのために仕事をしていたハッカーたちの、スパイ行為を非難している。ロシアのハッカーはSolarWindsのネットワークに侵入し、企業のネットワークとデバイス群をモニターするOrionソフトウェアにバックドアを仕込んだ。そしてそれを、汚染されたソフトウェアアップデートにより顧客のネットワークに直接押し込んだ。

関連記事
NASAと米連邦航空局もSolarWinds製品を使った大規模ハッキングで被害に遭ったとの報道
FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる

司法省によれば、このような、下請けレベルのセキュリティ強化により、公共部門におけるサイバーセキュリティの侵犯に対する「広範囲な耐性」を得ることができ、また、広く使われているプロダクトとサービスにある脆弱性を政府が見つけてパッチを作成し配布できるようになる。企業が政府のセキュリティ基準を満たせなかったときには、損失の回復を企業に要求できる。

副司法長官モナコ氏は次のように語る。「侵害はそれを報告して、公にするよりも隠した方がリスクが少ないという間違った信念により、企業はあまりにも長年、沈黙を選んできました。それが、今日から変わります。本日の発表によりこれからの私たちは、私たちの民事請求ツールを使って企業を追及できるようになります。彼らは国のお金をもらっている政府契約企業であり、必要なサイバーセキュリティのスタンダードに従うことができなければ、私たち全員を危険にさらすことになるからです。これは、納税者のお金が適切に使われて、国庫と国への信頼が確実に守られるようにするためのツールです」。

この政策が発表された時期は、National Cryptocurrency Enforcement Team(米国暗号資産遵法局)が創設された時期でもある。こちらは暗号資産の誤用と犯罪に対する複雑な捜査のために作られた警察的な組織だ。

さらにまた今週は、上院議員Elizabeth Warren(エリザベス・ウォーレン)氏と下院議員Deborah Ross(デボラ・ロス)氏が両院提出の法案Ransom Disclosure Act(身代金開示法)を議会に提出した。同法によると、ランサムウェアの被害者は被害額の大小を問わず48時間以内に詳細を公表しなければならない。

関連記事:ランサムウェアの身代金支払いに関する情報開示を企業に義務付ける米国の新法案

画像クレジット:Andrew Harrer/Bloomberg/Getty Images

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)