Appleはセキュリティー問題への対処で透明性、対話性を改善する必要がある

Appleは数ヶ月ごとにセキュリティー・スキャンダルに巻き込まれねばならないようだ。

Heartbleed脆弱性にはやられなかったものの、 今年2月には初歩的なプログラミング・ミスでSSL接続確認を無効にするgoto failバグが発覚した。昨年10月には 接続ポートを使ってiOSデバイスからデータが盗む方法がみつかった。ちょうど1年前にはセキュリティー専門家が AppleユーザーのIDにアクセスできる脆弱性を発見し、Appleに通報したにもかかわらず何の反応もなかったため、情報を公開して注意を促すという事件が起きた。

愚かなミスを繰り返す

そして今回のセレブ・ヌード流出事件だ。このスキャンダルはiCloudバックアップのセキュリティーをもっと高めてあれば防げたかもしれない。

どのケースでもAppleは脆弱性を修正し、サポート情報を発表している。しかし上記以外のケースも含めて、ほとんどあらゆるケースでAppleはできるかぎり情報を小出しにして、状況を不透明なままにしようと努力しているようにみえる。

この方針は改める必要があると思う。

Appleはユーザーのプライバシーには特に注意を払ってきた。たとえばAppleはiPadマガジンの購読者情報でさえ発行元と共有しようとしない。しかし、ことセキュリティー問題となると、このようなユーザー重視の姿勢が見えなくなる。Appleはプロダクトのあらゆる細部に神経を使うことで知られている。Appleはデザインについてはボタン一つにも異常なくらいこだわるのに、セキュリティーとなると愚かなミスを何度も何度も繰り返してきた。

透明性と対話の欠如

脆弱性を報告し、修正を助けようとした際のAppleの対応について私は多くのセキュリティー専門家から不満を聞いている。Apple側に透明性が不足しており、会話しようという意欲がないという。

「Appleには内部のセキュリティー専門家と外部の専門家とのコミュニケーションのチャンネルを開いてもらいたい。われわれ外部の専門家は、脆弱性に関してAppleに対策を促す唯一の道は情報を公開フォーラムに発表するしかないと感じている」とセキュリティー専門家の1人、Jonathan Zdiarskiは言う。 世界最大の企業の一つがこのような状態であってはならないだろう。”

最近ではAppleも外部からの脆弱性の指摘に積極的に反応する兆しをみせている。iPhoneのジェイルブレークを開発しているメンバーの1人がそもそもジェイルブレークを可能にしたバグを指摘したことに対してAppleは謝意を述べた。しかし多くのエンジニアやセキュリティー専門家がバグの発見に協力するようになるインセンティブをAppleは与えるべきだ。バグの発見に懸賞金をかけるなどもその方法一つだろう。.

同時に社内のセキュリティー対策も改善される必要がある。セレブ・ヌード事件の過程で知られるようになったiBruteスクリプトはFind my iPhoneログインの際にブルートフォース攻撃を許す脆弱性が存在することを利用したものだった。前述のSSLのgoto failバグも数ヶ月放置されていた。こうしたバグは厳重な内部監査が行われていれば、もっと早く修正できたはずだ。

なぜなのか?

Appleがセキュリティー・コミュニティーからの警告の声に耳を傾けていたら防げたはずの事件は数多い。 Appleのように優れたプロダクトを次々に生み出してきた会社で、どうしてこうしたことが続くのだろう? SSLのgo to failバグが発覚したときから私はこの問題について考えてきた。

その答えは(あくまで私の個人的な見解だが)、Appleはセキュリティーに関するコミュニケーションをプロダクトに関するコミュニケーションと同様に考えているのではないか、というものだ―つまり外部には最小の情報しか発表しないという方針だ。消費者向けプロダクトのマーケティングに当たってはAppleの情報統制はこれまで大きな成果を上げてきた。情報が少なければ好奇心が増し、注目が高まる。

しかしセキュリティーの分野ではこのような要塞に立てこもった態度は間違いだ。ことにスマートフォンが生活、ビジネスで中心的な役割を果たすようになり、そこに蓄積される情報の種類と量が巨大化している現在、セキュリティーはデバイスやサービスの最大のセールスポイントの一つとなってくる。業界のリーダーとしてAppleはセキュリティー問題に対する現在の態度を改めねばならない。透明性の高いオープンで率直なコミュニケーションを確立する必要がある。結局それがAppleのためにもユーザーのためにもベストの方向だろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


Facebook、有名人専用モバイルアプリをテスト中。ファンとの交流を容易に

Facebookは、階級別に分かれていくのだろうか?世界のあらゆるものと同じように。report from AllThingsD’のMIke Isaacの最新情報によると、その可能性は高い。Facebookは、VIP専用モバイルアプリをテスト中で、著名人は自分の周辺で起きている活動や会話をモニターし、即座に返信する機会が与えられる。

FacebookのVIPアプリは、ユーザーを持てるものと持たざるものに階層化するためのものではない — 注目を集める人たちがよりアクティブになりサイトに定着してもらうためだ。言い換えれば、Facebookは再び「人の持っているものは自分も手に入れる」とTwitterに言っている。Twitterは有名人の活動が多く、その結果多くのユーザーを定着させている。理論的に考えて、有名人の活動の増加は若い世代のユーザーを引寄せるのに大きな効果があり、即ちティーンユーザー問題を抱えるFacebookにとって役立つ。

Facebookは、過去にモバイル端末向けにページ・マネージャーを公開したが、それも同様な動機付けによるもので、ブランドが自社のFacebookのプレゼンスを出先からでも管理できるようにする。他にもブランドや有名人がソーシャルメディアのフォロワーを管理し繋ぎ止めるためのサービスはある。HootsuiteやTroy CarterのBackplaneは、実質的にブランドやアーティストが彼らのオンラインでのアイデンティティーからコミュニティーを作るための方法と言ってもよい。

Isaacが指摘するように、Facebookは最近、Twitterから「借りてきた」新機能をいくつも提供している。ハッシュタグトレンドトピックス等々だ。これは同社
が全体公開シェアにシフトしようとしている大きな取り組みの一環であり、友達にならなくても公開アップデートを読むことのできるフォロワー機能もその一つだ。

Facebookの広報担当者が、本件に関する公式声明を発表した。

現在当社は、著名人のファンとの交流を便利にするためのモバイル機能をいくつか試行している。現在少人数のパートナーと共にこれらの機能をテストしており、広く展開することになれば詳細を公開する予定だ。

原文へ