11月初頭にリリースされたプレスレポートによると、テロを気がかりにしているヨーロッパの議員らがエンドツーエンド暗号化の禁止を急いでいるという。実際はこれよりももう少し違ったニュアンスが含まれているので、実状を書いた我々の分析を読んでいただきたい。
ヨーロッパは、E2E暗号化を禁止するのだろうか?
答えは、ノーだ。
昨日のオーストリアプレスの同国における最近のテロ攻撃に関する見出しでは、エンドツーエンド暗号化の禁止を提案しているようにも見受けられた。実際、暗号化を規制するかどうか、そしてその方法といった暗号化の議題に関しては数年前から加盟国間で議論されている。
レポートは欧州連合理事会(CoEU)の11月6日の決議草案に基づいており、草案によると導入のためにさらなる修正が加えられた最終書類が11月19日に理事会に提出される見込みだ。
CoEUの意思決定機関は、加盟国政府の代表者で構成されており、議員連合の政治的方向性を決定する責任を有している。しかし、立法案を作成するのは欧州委員会であり、これは「EU法案ではない」ことは確かだ。
サイバーセキュリティ戦略に関与している委員会の内部関係者の1人は、この決議を内容がまったくない「政治的ジェスチャー」だと表現している。
CoEUの決議草案の内容とは?
この草案は「強力な暗号化の開発、実装そして使用」に対するEUの完全なサポートを主張することから始まっている。E2EEの禁止も意図しているのであれば、これは非常に理解が難しい主張だ。
次に、重要な市民のインフラストラクチャーを保護するために使用されているのと同じ技術に、犯罪者が簡単にアクセスできるという事実が生み出す公安への「課題」が書かれている。犯罪者がE2EEを使用すれば、彼らの通信に「合法的」にアクセスすることは「非常に困難」または「実質的に不可能」になると伝えている。
当然これはセキュリティ界では珍しくない議論で、ファイブアイズによるより優れた監視力の強化によって定期的に焚きつけられており、通信技術の発達により技術業界に関連して繰り返し議論されている。ただし、CoEUは、暗号化されたデータへのアクセスが実際に不可能であるとは一言も言っていない。
その代わりに決議は、正当な法の手続きとEUの権利そして自由(特に私生活を尊重する権利、および通信、個人データの保護に対する権利)を完全に尊重する一方で、有能な安全保障および刑事司法当局の権限を維持できるようにする方法についての議論に移っている。
本文書は、競合する利益の間で「より良い」均衡を作る必要があると示唆しており、「暗号化を介したセキュリティと暗号化の意に反したセキュリティの原理は完全に守らなければならない」としている。
「政府、業界、リサーチそして学界が戦略的にこの均衡を協力して作り出す」と言うのが具体的な決断だ。
決議草案では、暗号化をバックドアにする必要性を呼びかけているのか?
こちらも答えは、ノーだ。
閣僚評議会は、「監督当局は、サイバーセキュリティを維持しながら、合法的かつ的を絞った方法でデータにアクセスでき、基本的な権利とデータ保護管理を完全に尊重しなければならない。暗号化されたデータにアクセスする技術的なソリューションは、合法性、透明性、必要性および均整性に準拠する必要がある」と具体的に記載している。
つまり「安全保証の強化」を実施していることをアピールするための全体的な政治的動きを超えて、的を絞ったアクセスの改善とともに、そういった的を絞ったデータへのアクセスが、通信のプライバシーなどの基本的な権利を保証するEUの主要原則を尊重することが求められている。
だが、これはE2EEの禁止やバックドアにはならない。
決議案は法的枠組みに関して何と言っているのか?
閣僚評議会は、委員会が既存する関連規制の見直しを適切に行い、すべてが同じ方向に向かっていることを確認し、法執行機関が可能な限り効率的に運営できるようにすることを期待している。
この時点で「潜在的な技術的ソリューション」の言及があるが、強調するポイントは、EU法に準拠する国内の枠組み内での捜査権の使用をサポートする法執行の支援だ。また、さらに「基本的な権利の保護と、暗号化のメリットの維持」を強調している。情報セキュリティは文書で前述されている暗号化の重要なメリットであるため、文字通り詳しく説明せずにセキュリティを維持するよう要求する必要がある。
草案文書のこの部分には、取り消し線がいくつか引いてあるので、文章の変更が行われる可能性が非常に高い。しかし、進行方向の合図として、「ソリューション」の開発に関する通信サービスプロバイダーと共同で作業する場合においては透明性の必要性が強調されている(誰もが言うバックドアは、明らかにバックドアではない)。
草案のもう1つの提案は、関連当局の技術的専門知識や運用上の専門知識を向上させるためのスキルアップ、つまり警察に対するサイバートレーニングを求めている。
最後のセクションでは、CoEUは、EU全体で関連する調整と専門知識を向上するための共同作業は、当局の調査能力を強化するためのキーとなると再び強調している。
また、「新しい技術を視野にいれた革新的アプローチ」の開発に関する議論もあるが、結論では「暗号化されたデータへのアクセスを提供するための規定された技術的ソリューションはあるべきではない」と明確に述べている。つまり、黄金の鍵やただ一つのバックドアはないと言うことだ。
では、心配の必要はないのだろうか?
委員会は、新しいサイバー戦略に取り組んでおり、特定の政策案を政治的に推進する可能性があるため、この問題に圧力を感じる場合があるだろう。しかしおそらく来年までに大きな動きを見せることはないだろう。CoEUはまだ方針を固めておらず、せいぜい何かを策定するための支援を求めるくらいだ。
TechCrunchは、ヨーロッパを拠点とする独立したサイバーセキュリティ研究者兼コンサルタントであるLukasz Olejnik(ルーカス・オレイニク)博士に、決議草案についての考えを聞いた。同氏は、草案にはE2EEに対する反対意見はなく、またそこから法案が流れるという短期的な見通しもないことに同意している。実際、同氏はCoEUは何をすべきか分かっていないようだと述べ、学術界および業界外部の専門家に助けを求めているのではないかと言う。
「第一に、バックドアに関する議論はありません。このメッセージは、暗号化がサイバーセキュリティとプライバシー両方にとって重要であることを明確に示しています」とオレイニク博士は語る。「この文書の議題に関しては、現時点では長期的なプロセスの模索的段階にあり、問題とアイデアが特定された段階です。すぐに何かが起こるということはないでしょう」。
「E2EEの禁止に関してはいまだ具体性はなく、明確に何をすべきか把握していない状態だと言えます。よっておそらく、『高い知識を持つ専門家グループ』を配置するアイデアくらいはあると思います。この文書では、学界の関与について言及していますが、このプロセスは、政策プロセスで使用される場合と使用されない場合がある『推奨事項』を特定するために委員会によってイニシアチブがとられる場合があります。その後、誰がそのグループに参加するかを中心に発展しますが、これはケースによって大きく異なります」。
「例えば、AIグループは、非常に合理的だとみなされてきましたが、偽情報に関する他の専門グループは、実際、研究者や具体的な専門知識ではなく、EUのメディア関係者を対象としていました。これらがどこにつながるかはわかりません」と続けた。
オレイニク博士は、複雑性を考えるとこの場合評議会が独自に立法案を推し進めることができるかどうか疑問を感じるという。同氏はまた「法律制定について話をするのは早すぎます。EUにおける法律制定プロセスは、理解するには非常に複雑です。EU理事会はこのような複雑な事態を自分たちで解決することはできません」と語る。
European Union wants to work on technical and regulatory frameworks to access encrypted communication? https://t.co/fo1r8H3xKc Source: https://t.co/iEWh1mrfVv pic.twitter.com/BcpTWB5RME
— Lukasz Olejnik (@lukOlejnik) November 8, 2020
しかし彼は、CoEUが「暗号化の意に反したセキュリティ」という言葉を作ったことは注目に値する発展だと強調しており、この新しい構想ポリシーの観点からどこにつながるのかが不明確であることを示唆している。よってこれまでと同様、暗号化に関するセキュリティの議論には注意が必要だ。
「特に重要だと思うのは、『暗号化の意に反したセキュリティ』という単語を作ったことです。これは不吉かつ独創的です。しかし、この技術的なポリシー用語での問題は、現在暗号化によって保護されているように、(物理的?)セキュリティを理解するポリシーと技術的なポリシーを意識的にブレンドさせる場合があるということです。これにより、2つは直接的に対峙することになります。副産物がどこにつながるのかは誰にも分かりません。このプロセスは終息にはかなり遠いと思っています」と同氏。
しかし、EU全体に何らかの「合法的傍受メカニズム」を導入する力はなかったのだろうか?
すべてのメカニズムを尊重する必要があるEUの法的原則と権利を考慮すると、そのようなステップには大きな課題があったと考えられる。
CoEUの決議草案はこれを何度も繰り返しており、例えば、通信のプライバシーや合法的原則、透明性、必要性そして均整性などの基本的権利を尊重するセキュリティ活動が必要であると強調されている。
EU加盟国の国内の監視法も、最近になってこの点に関してヨーロッパの最高裁判所で不十分であることが明らかとなった。そのため、裁判所でのセキュリティの行き過ぎに関して異議を申し立てることへの道が明確となった。
つまり、ある種の傍受メカニズムがEU立法プロセスで断行される可能性があるとした場合、十分な政治的意思をもって推進されたとしても激しい法的課題に直面し、裁判所が選ばない可能性があることは間違いない。
BREAKING: Austrian press reporting EU Council of Ministers have an ‘almost complete’ resolution on the table to ban end to end encryption on apps like @whatsapp & @signalapp. Waiting on further reporting. https://t.co/jgLfsGnn9Q pic.twitter.com/p07WFfJaB4
— John Scott-Railton (@jsrailton) November 8, 2020
セキュリティとプライバシーの「より良い」均衡を模索するという決議草案で提唱された概念についての見解と、それが近年「 例外的なアクセスメカニズム(批評家らはユーザーの信頼を損ない、バックドアとほぼ同等の包括的なセキュリティリスクが発生すると主張)」としてGCHQによって提唱された「ゴーストプロトコル」のようなものを推進するのではないかという考えについて尋ねたところ、オレイニク博士は「現代の技術によりセキュリティはより強力になっているため、暗号化の弱体化は難しい領域であると言えます。最新のセキュリティエコシステムでは、電気通信インフラストラクチャーからの合法的な傍受はまず想像できません。民間企業にとっては信頼の問題でもあります。個々のユーザーはオンラインで今後も自由に社会的活動をし続けることができるのか?これは、答えを導き出すのに数十億ドルはかかる質問です」と述べた。
関連記事:人気スマホゲーム「アニマルジャム」でデータ流出、いますぐ親がすべきこととは
カテゴリー:セキュリティ
タグ:ヨーロッパ プライバシー
[原文へ]
(翻訳:Dragonfly)