Image by Apple
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。
保護されずアクセス可能なファイルが「23億」も
ダークウェブやインターネット上に潜むリスクを解決するための「デジタルリスク管理ソリューション」を提供することで知られるDigital Shadowsは、5月30日(米国時間)、インターネット上には、保護されることなくアクセス可能な状況にあるファイルが23億も存在するという調査結果を発表した。前年度の調査では15億だったことから、およそ50%増加したことになる。
Digital Shadowsのウェブサイトより
最も多くのファイルがアクセス可能な状況になっていたのは米国(3億2600万)とされ、フランス(1億5000万)、日本(7700万)がそれに続くという。それらファイルには、医療データなどの個人情報や平文のパスワードなども含まれるようだ。
この調査結果からも分かるように、インターネットのビジネス利用が進展するとともに個人情報漏洩問題が深刻化している。SNS、検索サービス、オンラインショップ、ウェブメール、オンラインバンキングなど、もはやインターネット上で提供される各種サービスは私たちにとって欠かせない存在となっているだけに、各人が自分自身の個人情報を守る意識を持つことが大切だ。
では、どうすれば漏洩被害から個人情報を守ることが出来るのだろうか。その方法のヒントが、6月3日(米国時間)にAppleが開催した開発者向け会議「WWDC 2019」で示されていた。
個人情報保護の新たなる一手「Sign in with Apple」
Appleといえば、米IT大手4社を指す「GAFA」の中で最も個人情報保護に力を入れていることで知られる。ビックデータの収集・解析がビジネスの成否を分けるとも言われる中で、ユーザーの個人情報をビジネス活用しない方針を貫くAppleに信頼を寄せる人も少なくないことだろう。今回のWWDCでは、その姿勢をさらに鮮明にしていた。
個人情報保護に関心を持つ人々が、今回のWWDCで最も驚かされたのは「Sign in with Apple」の発表ではないだろうか。
Sign in with Appleとは、Appleが今秋より提供を予定しているシングルサインオン・ソリューションの名称だ。新たなサービスやアプリを利用する際に、「Sign in with Facebook(Facebookアカウントを利用してログインする)」や「Sign in with Google(Googleアカウントを利用してログインする)」を利用したことがある人も多いことだろう。そのApple版というわけだ。
今回のWWDCでは、他社のサインイン・システムが使われるすべての場面で活用されるように、その実装をアプリ開発者に求めている。
他社のサインイン・システムと同じ場面で利用するとはいっても、個人情報保護に力を入れるAppleは他社とはひと味違う。ユーザーが自分のメールアドレスを教えないことを選択できるというのだ。しかも、iCloudのキーチェーンとも統合されるので、利便性が損なわれることは無いようだ。
ランダムなメールアドレスの利用で情報漏洩に備える
なぜメールアドレスを教えないことを選択できるのかというと、Appleが、そのアプリが使用するランダムなメールアドレスを自動生成し、アプリから発信されるメールは、そのアドレスにルーティングされるからだ。万一そのアプリに登録した個人情報が漏洩したり、スパムメールが大量に届くようになったとしても、自動生成されたメールアドレスを無効にすればいい。
しかも、メールアドレス以外にデベロッパーが受け取る情報は、Apple IDに関連づけられたユーザーの名前とアカウント設定に必要な識別子のみという。これなら安全性は高い。
自分のメールアドレスを教えないことの大切さ
Sign in with Appleを利用すれば、メールアドレスを使い回さなくてよくなる。多くのサービス、アプリはメールアドレスで個人の識別を行っているため、個人情報が漏洩した際にも、メールアドレスに様々な個人情報をヒモ付けられる危険性も大幅に減るだろう。迂闊にも使い回していたパスワードが漏洩したとしても、登録されているメールアドレスが異なれば悪用することは難しい。
Sign in with Appleは、その優れた機能だけでなく、私たちにメールアドレスを使い回すことの危険性を再認識させてくれたことでも意義深いといえる。
Apple製品のユーザーでなくとも、新たなサービスやアプリの登録時に、それぞれ異なるメールアドレスを用意すれば、利便性こそ同等とはいかないが、Sign in with Appleに近い安全性を確保することが出来る。転ばぬ先の杖として、ぜひとも参考にしたものだ。
オフラインでも機能する端末追跡システム「Find My」
WWDC 2019では、もう一つ、セキュリティ関連で注目したい発表があった。それは、従来の「iPhoneを探す」の機能強化版ともいえる「Find My」だ。
Find Myの大きな特徴は、紛失したり盗難されたApple製端末の在処を、その端末の周辺にある第三者のApple製端末を利用して教えてもらえるところにある。この新機能の肝といわれるのが、第三者の端末を利用しているにもかかわらず、Appleや第三者には個人情報や位置情報が知られることのない高度な暗号技術とされる。
Appleがこのような新機能を提供する背景には、Apple製端末の紛失・盗難がとても多く、セキュリティ上の大きな懸念になっているということがある。
Apple製以外の端末利用者にはFind Myを利用できないが、同等のサービスを提供する他社製端末や、「MAMORIO(マモリオ)」「Tile」といった紛失・盗難時に位置情報を送信する「紛失防止タグ」も販売されている。この機会に導入を考えてはいかがだろう。