タグ: 情報セキュリティ

インターネット上の取り締まり強化を続けるエジプトが暗号化メッセージアプリのSignalをブロック

After subsequent leaks of emails by WikiLeaks and suspected Russian hacks of the Democratic National Convention (DNC) the Clinton campaign is said to advise campaign members to use a messaging app approved by Edward Snowden called Signal. The app uses data encryption to send messages only readable by the designated receiver. (Photo by Jaap Arriens/NurPhoto via Getty Images)

【編集部注】執筆者のFarid Y. Faridはカイロを拠点とするジャーナリスト兼研究者。

暗号化メッセージアプリのSignalが、エジプトで一週間に渡ってブロックされていたが、Signalの親会社であるOpen Whisper Systemsが追加した新たな機能のおかげでサービスは無事復旧した。

これまでに数々の重大な告発を行ってきたEdward Snowdenを含み、活動家の間で人気の暗号化メッセージアプリSignalのユーザーは、先週からサービスに接続できないと報告していた。

エジプトは今年1年を通して言論の取り締まりを段々と強化しており、Signalのブロックは、現政権に対して反対意見を表明している邪魔なオープンジャーナリズムを抑制するための新たな一手でしかない。

「Signalは第三者に連絡先を漏らさずにセキュアなやりとりをするための重要な手段です」とエジプトの有名ブロガーであり、Global Voicesの役員でもあるMohamed ElGoharyは話す。

活動家の中で1番最初にサービス不通の状況をTwitterで報告したのは、ElGoharyだった。

「私が友人にSignal上でメッセージを送ろうとしたところ、『送信できません』という警告が表示され、他の友人も試したのですが結果は同じでした。別のISPを経由してもメッセージは送付できず、VPNを使って初めてメッセージを送ることができました。そのため、私は問題がエジプト国内でだけ起きているのだと考えたんです」とElGoharyはTechCrunchとのインタビューで語った。

iOS、Android、コンピューターの全てで利用可能なSignalは、第三者(例えば政府)がメッセージの内容を見ることができないように、エンドツーエンドの暗号化機能を標準で備えている。このサービスを使うことで情報提供者を保護することができるため、エジプトの活動家やジャーナリストの多くがSignalを利用している

世界中の皆さんへ
昨日からSignalとTelegramはエジプト国内で利用できなくなりました。失われたものは色々とありますが、セキュアな会話ができなくなったのは特に悔やまれます。

エジプトはSignal以外にも、SkypeやWhatappといったVoIPアプリをこれまでにブロックしたことがあるが、このような営利目的のコミュニケーションサービスには、Signalと同じようなレベルの暗号化・プライバシー機能が備わっていない。

エジプト以外の中東諸国や北アフリカ諸国(モロッコなど)も、匿名メッセージサービスのアクセスを制限していたことがあり、トルコは最近起きたロシア大使の暗殺事件を受けて、ソーシャルメディアをブロックしていた。

「このような通信妨害には統一性がなく、その動機もはっきりしません」とカイロにあるAmerican Universityでコミュニケーション論の教授を務め、「The Internet in the Arab World」の著者でもあるRasha Abdullaは話す。彼女自身もSignal利用者で、彼女は同サービスがブロックされていたときもSignalにアクセスすることができた。

エジプトの通信・情報技術省は、Signalをブロックしたという事実を認めても否定してもおらず、TechCrunchからの複数回におよぶ連絡にも応じていない。

Signalを標的とした今回の事件の結果、サンフランシスコを拠点とするOpen Whisper Systemsが「アクセスの検閲」と名付けた、情報セキュリティ上の不安が強まっている。

Open Whisper Systemsは、Signalのアップデート時にドメインフロンティング(domain fronting)と呼ばれる手法を使い、「エジプトとアラブ首長国での検閲回避」を新たな機能として導入した。

「標的のトラフィックをブロックするためには、政府がサービス全体をブロックしなければならないような仕組みをもとに新機能を開発しました。十分な規模のサービスがドメインフロントの役割を担うことで、Sigalをブロックするということを、インターネット全体をブロックするかのように見せることができます」と同社が発行した技術文書には書かれている。

30年間に渡って続いた前大統領ホスニー・ムバーラクの独裁政治が、2011年に起きたアラブの春で覆されたときにも、エジプト当局がインターネットへのアクセスを切断したというのは有名な話だ。

誰か@TEDataEgyptに登録して、このサイト(https://t.co/U7wptEmr4H)にアクセスできるかチェックしてもらえませんか?私だけがアクセスできないとTE Dataは言っているんですが。

「コンテンツをブロックするにしろ、ユーザーの投稿内容を規制するにしろ、インターネット上の自由を奪おうとする動きは、2011年の事件やその数年後に証明された、ソーシャルメディアの力に対抗するための手段に違いありません。オンラインの世界は、これまでになかったような形で、人々が自由に議論を交わして組織をつくるための空間を生み出したんです」とAbdullaは話す。

また、デジタル人権団体のPrivacy Internationalは今年発行したレポートの中で、エジプト国内でアラブの春が盛り上がっていた時期に、政府がイタリア企業のHacking Teamを含む複数のヨーロッパ企業から監視用製品を購入していたと主張している。

Signalのブロックは、表現の自由に対する制限が特に強まっていた時期に発生した。あるFacebookページの管理者は「誤ったニュースを公開していた」ために逮捕され、さらに暴力を扇動しているという理由で、163件のFacebookページが閉鎖に追い込まれた。

アブドルファッターフ・アッ=シーシー大統領のもと、エジプトはインターネット上の取り締まりを強化しており、最近でも物議を醸したFacebookのFree Basicsプログラムを、ユーザーの監視ができないという理由でブロックし、風刺的なポストをFacebook上に投稿した市民を逮捕したほか、Deep Packet Inspectionという技術を使って、エジプト市民のインターネット上での動きを広範に監視しているとの報道までなされている。

27人の命を奪ったイスラム国(IS)によるカイロの教会でのテロ行為が発生した後すぐに、エジプトの各政党は、死刑を含む刑罰が盛り込まれたサイバーセキュリティ関連法を可決するよう国会に再度求めた。

Abdullaは法律の厳しさについて、「残念ながらアラブ社会のほとんどの法律は、規制よりも支配を目的としてつくられています」と説明する。

「さらにこの法案ではISPにも責任が課されるようになっているため、社会の各グループがお互いを監視し合うようになってしまうかもしれません」と彼女は話す。

原文へ

(翻訳:Atsushi Yukutake/ Twitter

ロシア政府がJollaのSailfish OSを初のAndroid代替OSとして認可

jolla-app-grid-2-fixed

残り少ない独立系モバイルOSプラットフォームのひとつである、JollaのSailfish OSの未来が少しずつ見え始めてきた。他社へのライセンシングを目的に、Sailfish OSのコアコードの開発・保守を行っている、フィンランド生まれのJollaは、本日同OSがロシア政府および企業で利用されるために必要となる認証を取得したと発表したのだ。

近年ロシア政府は、AndroidとAppleのiOSの複占市場となっているモバイルOS界で、2つのOSを代替できるようなシステムの開発を奨励しようとしており、SailfishとTizenがその候補に挙げられていた。現状では、SailfishがTizenよりも、Androidの代替OSとして優位に立っているようだ。

さらにロシア政府は、海外製モバイルOSへの依存度を抜本的に減らしたいと語っている。具体的には、2015年の段階でAndroidとiOSが市場の95%を占めているところ、2025年までにはこの数字を50%以下にしたいと考えているのだ。

Sailfishがロシアの認証を取得する前に、今年に入ってからOpen Mobile Platform (OMP)と言う新たな会社が、ロシア国内の市場向けにSailfishプラットフォームのカスタマイズ版を開発する目的で、同OSのライセンスを購入していた。つまり、ロシアにとって極めて重要な”Androidの代替OS”は、現在Sailfishをもとに開発が進められているのだ。

OMP CEOのPavel Eygesは声明の中で「私たちは、オープンソースベースで作られ、他のOSに依存していないSailfish OSこそが未来のモバイルOSプラットフォームだと考えています。このOSは、ロシア以外の地域でも活躍できる可能性を秘めています。Sailfish OS RUSは、さまざまな人の参画やパートナーシップの上に成り立っており、ロシアを新たな高みに導くようなイニシアティブに向けて、私たちは積極的にパートナーやディベロッパーコミュニティに協力を働きかけていきます」と語っている。

他の独立系OSとは違って、SailfishはAndroidアプリと互換性を持っているため、MozillaのFirefox OSなど、なかなかユーザーが増えないOSに比べ、利用できるアプリの数において優位に立っている。なお、TizenでもいくつかのAndroidアプリが使えるようになっている。

Jollaは、TechCrunchの取材に対し、同社の投資家に今回Sailfishのライセンスを購入したOMPが含まれていることを認めた。そのため、昨年シリーズCを期間内にクローズできずトラブルに見舞われた(その後復活した同社は、今年の5月に再度資金調達を行い、1200万ドルを無事調達した)Jollaは、今後間違いなくB2Bのビジネスに注力せざるを得なくなる。

つまり今後Jollaは、インドのIntexのように、消費者に対してSailfishが搭載されたデバイスを販売している企業にOSをライセンスすることよりも、企業や政府に対してデバイスを販売している企業へのライセンシングに注力していくことになる。世界的にみれば、消費者向けデバイスにおけるAndroidの支配率はかなり高く、企業や政府の方が、データ・セキュリティについて専門的かつ差し迫った問題を持っている上、政府のサービスインテグレーションに対するニーズなどを考慮すると、この戦略にも納得がいく。

さらにJollaは、最近Sailfishが、ロシアのソフトウェアやデータベースに関する統一登録簿に追加されたと話す。これにより、今後ロシア政府やロシアの公企業は、モバイルデバイス関連のプロジェクトを行う際に、SailfishをOSとして利用することができるのだ。

Jolla会長のAntti Saarnioは、この登録プロセスに2015年の春から1年半近くかかったと語る。「登録プロセスは大がかりかつ長期に渡り、私たちもかなり力を入れてきました。まずは、ロシア情報技術・通信省が作成した代替モバイルOSの長いリストからスタートし、その後数が絞られていった結果、最終的に2つのOSが技術分析の対象となりました。ひとつがTizenで、もうひとつが私たちのSailfish OSでした」

「数ヶ月間におよぶ徹底的な技術審査を終え、彼らはようやくSailfish OSをコラボレーションの相手に選んだのです。その後、ロシア政府がSailfishベースでありながらも、独立したOSを利用できるように、Sailfishのロシア版のようなものを、私たちは現地企業と共同開発しました」

「ロシア政府は、監査・認証のプロセスを経た国家ソフトウェアのリストを持っているんですが、現在のところSailfishだけが、モバイルOSとしてそのリストに含まれています」と彼は付け加える。

ロシア版のOSは、Sailfishの派生物にはならないとSaarinoは強調する。むしろこのモデルは、ライセンシングパートナーのニーズにあわせて、Jollaがそれぞれのバージョンを開発するための土台となるものなのだ。ただし、コアコードは全てのバージョンで同じものが使われることになる。

同時にJollaは、拠点をロシアへ移し、アメリカ以外のひとつの国でだけ、AndroidとiOSに太刀打ちできるようなOSを開発するつもりもない。同社は、フィンランドにヘッドクオーターを置き続け、現在ロシアで取り組んでいるようなプロジェクトを、他のBRICs諸国へも展開していきたいと話しているのだ。

「私たちの使命は、OSをさまざまな目的に適合させ、その効率性を保つことです」とJollaのCEO兼共同ファウンダーであるSami Pienimäkiは話す。

「基本的に、私たちはSailfishをオープンソースのままにして、(ライセンス先に対して)常に最新のバージョンを提供しようとしています。ここでのJollaの責務かつ役目は、Sailfishの派生OSをつくらずに、ライセンス先企業とのコラボレーションを通じてのみ、Sailfishのカスタマイズ版を開発するよう徹底することです。私たちは、このモデルが他の市場でも成功すると信じています」と彼は付け加える。

「Jollaがロシアで成し遂げたのは、国家に対して自社のコードをベースにした独立モバイルOSを、自分たちのリリース方法で提供するという実例を作ったことです。私たちが知る限り、このような例は現在世界中で他には存在しません」とさらにSaarnioは続ける。

「世界中にはたくさんの国家が存在しますが、私はそのうちの多くが自分たち専用のサービスを求めていると考えています。そして、相手がロシアであるかそれ以外の国であるかに関わらず、実際に彼らにサービスを提供する方法について、少なくとも私たちにはノウハウがあります。今後は新たな顧客や国にアプローチして、ロシアで構築したモデルを他国で再現していきたいと考えています」

Sailfishは、大企業の支配が及ぼない独立系かつオープンなOSであるため、目的に応じてコラボレーションやカスタマイズをするのに最適です

「ある国が、自分たちのデータを管理するために、独自のモバイルOSを必要としているとしましょう。そして、彼らは既にクラウドソリューションなどへ投資しているとした場合、彼らの頭の中にすぐに疑問が浮かんできます。『それじゃ、専用のモバイルOSの開発には、どのくらい時間がかかって、いくらぐらいの資金が必要になるんだ?』これは普通であれば、答えるのが大変難しい問題ですが、今の私たちであれば、半年でここまでできると回答することができます。既にロシアでの実施例があり、予算感も把握しています。そのため、ロシアでのパイロットテストが完了すれば、私たちの顧客候補となる国は、具体的な情報をもとに判断を下すことができるんです」

2015年2月に、ロシアの情報技術・通信大臣であるNikolai Nikiforovは、「グローバルITエコシステムの非独占化」を求める発言をし、国内のディベロッパーが、SamusungのTizenとJollaのSailfishをサポートするよう、両社のプラットフォームへのアプリの移植に対して助成金を交付していた。

さらに同年5月、Nikiforovは、Jollaの株主にフィンランド、ロシア、中国の投資家が含まれていることに触れながら、Sailfishのことを”ほぼ国際企業”だと表現していた。

「私たちは、オープンなOSをベースとした、クローズドなモバイルプラットフォームを独自に開発する必要があると考えています。そのような構想をサポートする準備はできていますし、きっとBRICs諸国のパートナーもその計画に賛同してくれることでしょう。インド、ブラジル、南アフリカの戦略投資家も、いずれSailfishに参加することを私たちは願っています」と彼は当時語っていた。

また、フィンランドとロシアの物理的な距離がロシア政府の好感につながり、SailfishがTizenに勝つ要因のひとつとなった可能性も高い。

「Sailfishは、大企業の支配が及ぼない独立系かつオープンなOSであるため、目的に応じてコラボレーションやカスタマイズをするのに最適です」とPienimäkiは、Sailfishが選ばれた理由について話す。

OMPのロシア版Sailfishには、カスタマイズの結果、追加でセキュリティ機能が搭載される予定だ。Sailfishのプラットフォーム自体は既にロシア語をサポートしているため、ローカリゼーションは必要ない。「現在私たちはセキュリティ機能の強化にあたっています。さらに、顧客のニーズに合わせてOSのセキュリティレベルを上げられるように、OS用のセキュリティ・イネイブラーの開発も進めています」とPienimäkiは言う。

Jollaは以前、セキュリティ機能を強化したSailfishのバージョンを開発するため、どこかの企業とパートナーシップを結ぶ意向を示していた。Pienimäkiは、OMPとの協業がその結果だと言う。

「私たちは顧客の望む機能を実現し、OS用のイネイブラーを開発し、ソースコードや、システムの透明性、ライセンシングモデルなどを提供していますが、最終的なソリューションの実装は、その地域ごとの規制やアルゴリズムなどを理解した、地元企業が行うことが多いです。さらに、地元に根づいたテクノロジーを利用するほうが好まれるということも理解できるため、その地域のテクノロジーとの統合についても、地元企業に一任しています」と彼は話す。

Sailfishを搭載したデバイスが、実際にロシア市場に投入される時期については、未だ明確になっていないが、Pienimäkiは2017年中には実現するだろうと話している。さらに彼は、市場に製品が出るまでの最初のステップとして、公企業でパイロットプロジェクトが行われる予定だと付け加えた。

intex_aqua_fish_01

またSaarnioは、長期的に見て、消費者もプライバシー機能が強化されたAndroidの代替OSを求めるようになると自信を持っているが、現段階では市場がSailfishを求めてはいないと認め、Indexが次の(上図のような)Sailfishデバイスを発売する予定もないと言っている。だからこそ、Jollaはビジネスモデルを、B2BやB2B2Gのライセンシングパートナシップモデルへと切り替えたのだ。

さらにJollaは、現在中国や南アフリカ政府ともSailfish導入に関する議論を進めている。

「中国はロシアよりも、交渉が難しい国です。しかし今回のロシアの例が、中国政府にとってかなり具体的なプロジェクト提案になると言え、さらに彼らは明らかにSailfishのようなソリューションを必要としています」とSaarnioは語る。

「さらに私たちは、他のBRICs諸国とも話を進めており、南アフリカとの議論や交渉も進行中です。しかしもちろん、普通の企業である私たちには、政治的な意図はありません。そのため、独立系OSの必要性や課題を持っている国であれば、どんな国とも喜んで議論をしていくつもりです」

また資金面に関し、Jollaは次の投資ラウンドを検討してはいるものの、新しいビジネスモデルのおかげで資金ニーズは減っているとSaarnioは話す。

「ライセンス先となる法人顧客へとターゲットを変更した結果、Jollaのキャッシュフローも増加しています。そのため、私たちはエクイティ過多の財務体質から脱却しました。しかし当然新たな資金は必要となるため、新しいライセンス先の獲得に努め、新たな顧客からの収益でキャッシュフローがポジティブになるよう願いながら、外部資金調達の計画も立てています」

また、JollaはSailfishを”オープンソース”と表現しているものの、プラットフォームの一部の要素は依然として公開されていない。同社によれば、この部分についても出来る限り公開しようとはしているものの、リソース不足から計画は思うように進んでいない。

「私たちは、プラットフォームの非公開箇所の公開に向けて努力を続けており、今はUIやアプリケーションのレイヤーを優先して、段階的に情報を公開していくつもりです。具体的な計画の詳細については、準備ができ次第発表します。いずれにせよ、私たちはこの課題に本気で取り組んでいきます」とPienimäkiは話す。

「私たちが採用している、ライセンス先企業とのコラボレーションモデルからも恐らく分かる通り、顧客もライセンシングとオープンソース、コラボレーションを組み合わせた形を望んでいます」

「オープンソースとは、実は私たちにとっての投資でもあるんです。ただソースコードを公開したからといって、みんながハッピーになるわけではありません。私たちがそのプロセスをサポートすることによって初めて、コミュニティ内の人たちが公開されたソースコードから意味のあるものを作ることができるんです」とSaarnioは語る。

「そして私たちのような企業にとって、これは大きな投資だと言えます。しかし、Jollaは今の道をこのまま進んでいくつもりでいると同時に、この投資が無駄になることがないよう、きちんとそのプロセスを管理しようとしています」

原文へ

(翻訳:Atsushi Yukutake/ Twitter

ユーザーデータは誰がどのように収集しているのか

data-collection

【編集部注】執筆者のJose Nazario博士は、Fastlyにてセキュリティリサーチ部門のディレクターを務めており、”Secure Architectures with OpenBSD”や”Defense and Detection Strategies against Internet Worms”の著者でもある。

巨大なテック企業から街角の商店を含め、全ての企業はデジタル企業だ。パートナーやサプライヤーといった関係者から成り立つ大きなエコシステムの存在によって、企業はサービスを提供することができている。そして、日々生活がデジタル化していくのを目の当たりにしている顧客もそこにいる。

デジタルサービスがちゃんと機能するため、もしくは無料であり続けるために、ユーザーデータの収集が必要であると多くの消費者が理解している。例えば、地図サービスで位置情報が把握できなければ、サービスの訴求力が弱まってしまう。つまり便利さとプライバシーはトレードオフの関係にあり、ほとんどの人はそれを問題視していない。そして、トレードオフに関する交渉は、消費者とオンラインサイトまたはオンラインサービスとの間で発生している。

しかし、消費者と直接関わりを持つ企業に対してサービスを提供している企業はどうだろうか?舞台裏で動いているパートナーやサードパーティといった存在のことだ。そのうちの多くが、ISPやクラウドサービス企業、コンテンツデリバリネットワーク(CDN)で、インターネットのトラフィックの45%がこのような企業を介している。オリンピックの映像を途切れることなく高速配信し、ECサイトで何十億件もの決済を処理しているのも彼らなのだ。そして彼らのようなサードパーティも、ユーザーのネット上での行動をトラックし、データとして販売している可能性があるということに多くの消費者は気づいていない。

連邦通信委員会(FCC)は、同意なしにユーザーデータを販売しているISPの取り締まりを行っており、最近CDNにもその目を向けはじめた。しかし、ユーザーデータの悪用を止めるためには、規制が作られるのを待っていれば良いということではない。全てのサードパーティは、自分たちがどのようなデータを集めているかをはっきりと公に開示する道徳的責任を負っている。そして、このような情報は契約がむすばれる前に、消費者や法人顧客に対して提供されるべきだ。さらに各企業は、このような消費者中心の個人情報の取扱方法に従うよう、関係するサードパーティに対して強く求めるべきである。

ユーザーデータは少ないほど良い

ユーザーデータの収集は、むしろ善意に基いてはじめられるケースもある。例えばオンラインサービスでは、ユーザーがモバイル端末とデスクトップ端末のどちらを利用してサイトにアクセスしているかというのを知ることで、ユーザーエクスペリエンスを向上させることができる。しかし、オンラインサービスが性別などの人口統計情報を集め出し、消費者にとっては少しパーソナライズされ過ぎているとも映るようなコンテンツを表示するようになると、ユーザーデータの収集・保管に悪意を感じるようになる。

今こそ、全てのサードパーティに対してユーザーデータ保護の水準を高く保ち、データ利用の目的を開示するよう求めるべきだ。

プロバイダは、保管するユーザーデータの量が減ることで、時間と共にその利点を感じられるようになるだろう。もしもプロバイダがユーザーデータを保管しなければ、政府からデータ提出要請を受けても、提出できるデータがないことになる。さらに、サイバーアタックやデータ漏洩から守らなければならないデータの量も減少する。ISP・CDNに関しては特に、ユーザーデータ無しでも何ら問題なく業務を行うことができるのだ。

透明性を向上させユーザーにデータコントロールを返上せよ

Pew Researchの調査によれば、90%以上の大人が、自分たちのデータを企業がオンラインでどのように収集し共有するかに関してコントロールを失ってしまったと感じている。ユーザーデータのアクセス権やデータ保管の期間、また広告をパーソナライズするため、どのようにデータが結合・再構成されるかなどについて、近いうちに企業はユーザーへ情報を開示するよう義務付けられることになるだろう。テック企業最大手のGoogleが、ユーザーデータ収集周りの透明性向上に向けた動きを先導しており、同社のサービスでは、ユーザーがどの情報が共有されても良く、どの情報は共有して欲しくないかというのを簡単に選べるようになっている。

企業が失うものとは?

関連記事

上院議員がGoogleによる児童生徒のデータの収集で質問状をGoogle CEOに送付

企業がどのようなデータを収集・販売することができ、どのくらいの期間データを保管できるかについては、まだ法整備が進んでいない。現存する規制も州によってまちまちで、内容もそこまで厳しくはない。しかし、企業がデータ収集を収益源とするのは賢明ではないだろう。オンライン広告ブロッカーが普及していく中、市場ではすでに自己補正の動きが見えはじめている。さらに、ISPのデータ収集量を削減しようとする動きを、FCCは止めないかもしれない。

サードパーティの中には、消費者と直接関わりを持つ企業が受け取った承諾の影に隠れていることに満足している企業がいる一方で、それではいけないとちゃんと感じている企業も存在する。この曖昧な承諾が現状なのかもしれないが、これもそう長くは続かないだろう。今こそ、全てのサードパーティに対してユーザーデータ保護の水準を高く保ち、データ利用の目的を開示するよう求めるべきだ。自分たちのサービスにとって必須ではないユーザーデータを収集・共有・販売したいという気持ちに打ち克った企業こそが、最終的に日の目を見るのだ。

原文へ

(翻訳:Atsushi Yukutake/ Twitter

元NSAエンジニアが率いる暗号化サービスのVirtruが2900万ドルを調達

Computer in dark office, network lines radiating

時折ある企業がある市場でそれ以外にないというタイミングで事業を展開することがある。政府のスパイ活動や、データ漏洩、ハッキングや個人情報の盗難などオンライン上での脅威が次々と明らかになったことをうけ、今では4000以上もの顧客を抱えるメール・ファイル暗号化サービスのVirtruが、米国時間8月22日にシリーズAで2900万ドルを調達したと発表した。

Bessemer Venture Partnersがリードインベスターとなった今回のラウンドには、New Enterprise Associates(NEA)やSoros Fund Management(億万長者のジョージ・ソロスをトップとする投資会社。彼はさらに、透明性が高く寛容な民主主義を推し進める人権主義団体Open Society Foundationsの理事も務めている)のほか、Haystack Partners、Quadrant Capital Advisors、Blue Delta Capitalらが参加した。

投資ラウンド以外にも、Sonatypeの現CEOかつSourcefireの元CEO Wayne JacksonがVirtruの取締役に就任することが発表された。彼は今後、BVPのパートナーでありVeriSign、Good Technology、Defense.netといったサイバーセキュリティ企業を共同設立してきたDavid Cowanや、Authentic8のCEOであり過去にメールセキュリティ企業Postiniを設立したScott Petryらと取締役を務めることとなる。

Virtruを2014年に設立したAckerly兄弟(John AckerlyとWill Ackerly)は、どちらも公共セクターでテクノロジーに関わる仕事をしていた。具体的には、WillはNSA(アメリカ国家安全保障局)でクラウドセキュリティエンジニアとして勤務しており、Johnはプライベート・エクイティ・ファンドに参加する前にホワイトハウスに対してデジタルプライバシーを含む、テクノロジー関連の問題のアドバイザーを務めていた。

ForwardingControl2

ふたりは当初、日常的に使われているアプリケーションのセキュリティやプライバシー保護機能を向上させるというアイディアを持っており、一般ユーザーが簡単に実装できるような方法を模索していた。彼らにとってのデビュー作となる製品は、Gmailなどの人気メールサービスに対応したChromeとFirexfox用の拡張機能だった。これによってユーザーは、メールのエンドツーエンド暗号化のほか、メールを受け手の受信箱から一定期間の後に自動削除することや、送信したメールを転送できなくすることができたのだ。

その後Virtruは、自社の暗号化やアクセス制限、データ損失防止(DLP)といった技術をGmail、Google Drive、Yahoo、Outlook(2010、2013、2016に対応)などのサービスへ組み込んでいった。さらに同社はスタンドアローンのメールアプリをGoogle PlayとiTunes App Store上で配布している。今回調達した資金は、Microsoft Office 365のようなクラウドプラットフォームへのサービス拡充のほか、ソフトウェアディベロッパーが自分たちのアプリにVirtruを組み込めるようSDKやAPIの開発に利用される予定だ。

DLPFeatureScreenshot

Virtuの「サービスとしての暗号化」アーキテクチャは、Willが開発したオープンソーステクノロジーであるTrusted Data Format(TDF)上に成り立っており、ユーザーはTDFでコンテンツオブジェクトを包み込むことで、アクセス権を持つ人にだけファイルの中身を公開することができる。さらにユーザーは自分で暗号キーを管理することができ、ファイルが開封・共有された後でも受け手のアクセス権を無効化することができる。

今年に入ってから同社は新機能を導入し、メールやファイル内の暗号化されたコンテンツの秘匿検索や、ハードウェアベースの暗号鍵などがサービスに追加されたほか、SDKの配布もスタートした。

Virtruのテクノロジーが評価されている理由は、セキュリティの度合いではなく(John自身、オンラインコミュニケーションにおいてもっとセキュリティを高める方法があると以前認めていた)その使いやすさと価格にある。Virtruは誰でも使い方を理解できるくらいシンプルで、かつ様々なプラットフォームに対応している。さらに個人利用の場合は無料で、プロ・商用についても良心的な価格設定(月額5ドル)がされている。

PDFWatermarking

そもそもの製品アイディアは、一般ユーザーのために情報セキュリティを簡素化するというものであったが、現在Virtruは個人に加えて多くの企業に利用されている。企業はVirtruを使って簡単にGmail、Google Drive、Google Appsなどのセキュリティや暗号化機能を向上させることができるほか、知的財産の保護やCJIS、CFPB、HIPAAなどの規制対応にもVirtruを利用している。また、現在Virtruは、メディア、エンターテイメント、政府、医療、金融、製造などの業界にサービスを売り込んでいる。

スタートアップの資金調達に影響を与える引き締めが行われている中での今回のラウンドは、特に今年のはじめに投資資金が「枯渇する」と言われていた競争の激しいサイバーセキュリティ業界での出来事だったため注目に値する。BVPのCowanは当時、同業界に参入してくるスタートアップの多くが、既に市場に出ている技術を真似ているか、ハッカーが既に回避方法を知っている製品を販売していると語っていた。結果としてスタートアップ各社は資金調達に時間がかかり、支出を抑えるかイグジットを模索せざるを得なかったのだ。しかし、Virtruはしばらくの間そのような問題に悩まされなくて良さそうだ。

「銀行や病院、学校、雇用主そして政府に個人情報を渡した途端、私たちのプライバシー保護は彼らの情報セキュリティ頼みになってしまいます。Virtruのメール・ファイル暗号化サービスの成功は、ビジネスシーンでのプライバシー保護に新たな基準が生まれようとしていることを表しているのです」とCowanは声明の中で述べていた。

原文へ

(翻訳:Atsushi Yukutake/ Twitter