「データ セキュリティは簡潔なものであるべきです。」
Google は 2019 年以来、ミュンヘンの Google セーフティ エンジニアリング センター(GSEC)を拠点として、インターネット上のデータ プライバシーとデータ セキュリティに重点的に取り組んできました。現場責任者である Wieland Holfelder 博士が、GSEC の最新の開発状況、チームの働き方、デジタル エクセレンスの中心となったミュンヘンの位置付けについて語ります。
Holfelder 博士、Google セーフティ エンジニアリング センター(GSEC)は 2019 年にミュンヘンで開設されました。そこでは何が行われているのでしょうか?
GSEC は、Google のプライバシーとセキュリティに関わるエンジニアリングの世界的な拠点です。ここで私たちは新しいプロダクトを開発し、ユーザーの要件を見極め、知識を発信して、パートナーと協力しながらインターネット セキュリティの向上に取り組んでいます。
データのプライバシーとセキュリティはドイツで非常に重要視されています。Google セーフティ エンジニアリング センターをここに開設するうえで、この国の伝統はどれくらい重要でしたか?
12 年前、私がミュンヘンに Google オフィスを設立したとき、ドイツのユーザーにとってデータ保護が非常に重要であることがすぐにわかりました。データ保護とデータ セキュリティに関しては、まず特別な開発チームを立ち上げました。ミュンヘンでチームを設立してから 10 年が経ったとき、私たちは活動範囲を拡大し、対話の機会を設けたいと考えました。そこで、この目的にフォーカスした GSEC をミュンヘンに開設することが理にかなっていると判断したのです。私たちは、Google のすべてのプロダクトが EU 一般データ保護規則(GDPR)の要件を満たすように努めてきました。この知識と認識は他の国にも普及しつつあり、実際、データのプライバシーとセキュリティは世界中で一層の関心を集めるようになっています。
GSEC は、40 を超える国から来たスタッフが働いている国際色豊かな職場です。
国際的なプロダクトの開発には、多様な視点を持つことが必要です。スタッフが可能な限りユーザーを代表する存在になることで、多様な視点がチームにもたらされます。今はまだその理想からは程遠いと言わざるを得ませんが、私たちは多様性に富んだチームの構築に取り組んでいます。たとえば、開発チームに女性をもっと増やしたいと考えています。
GSEC では日常的にどのような業務が行われていますか?
200 人以上のプライバシー エンジニアが、Google アカウントや Google Chrome ブラウザといった Google サービスに日々取り組んでいます。また、関心のあるユーザーを対象に、 セキュリティ トレーニングなどのワークショップや、差分プライバシーに関する Codelab などのイベントを開催しています。こうした活動は私たちにとって特に重要です。状況が急激に変化する中、インターネット セキュリティのトピックに関する情報をもっとたくさん提供したいと考えているからです。
ミュンヘンからのミッション ステートメント: Google セーフティ エンジニアリング センターの内部
インターネット ユーザーが日常的に目にしている、GSEC が手掛けた仕事にはどのようなものがありますか?
Google のサービスを利用していると、たとえば、より関連性の高い検索結果を提供するために個人向けのカスタマイズでどのようなデータが使用されているか、疑問に感じたことがあるかもしれません。Google アカウントでは、このような個人向けの情報に使用されるアクティビティ データの概要を確認できます。また、このデータ収集を継続するかどうかに応じて、Google アカウントを設定することもできます。こうした目的のために、私たちはプライバシー診断を開発しました。これは、Google アカウントでプライバシーを簡単に設定できる機能です。Chrome と Android 向けのパスワード マネージャーも開発しました。このツールを使用すると、ユーザーは使用しているすべてのウェブサイトとアプリのパスワードをオンデマンドで自動的に作成して保存できます。また、パスワード チェックアップを使用してパスワードにセキュリティの問題がないかを分析することもできます。数秒以内に、データ窃盗で漏洩したパスワードがないかを確認できるうえ、パスワードを変更する手順がユーザーに示されます。私は特に、こういったパスワード保護ツールの開発における GSEC の成果を誇りに思っています。
その理由をお聞かせください。
パスワード マネージャーがフィッシング ウェブサイトに騙されることはありえません。ユーザーはウェブサイトごとに新しい安全なパスワードを作成でき、パスワードを覚える必要はないのです。そのため、ハッカーにパスワードを推測されることを阻止し、複数のサイトで同じパスワードを使用することを防止できます。
なぜそれが問題になるのでしょうか?
たとえば、私があるウェブサイトで妻のために花束を注文するとします。そのサイトの購入者用のアカウントに、別のサイトでも使用しているパスワードをとっさに入力してしまったとしましょう。その花屋さんのサーバーにアクセスできるハッカーがこのパスワードを入手してしまったら、彼らは私のメール アカウントか Google アカウントも同じパスワードでアクセスできるとすぐに推測できてしまいます。それだけでなく、私が使用している別のアカウントに新しいパスワードを作成してしまうこともできます。パスワード マネージャーを使用すれば、サイトごとに独自の安全なパスワードを自動的に作成できるので、オンライン環境で安全を確保できます。
「国際的なプロダクトの開発には、多様な視点を持つことが必要です。」
Wieland Holfelder
Google エンジニアリング担当バイス プレジデント兼現場責任者
安全性をさらに高める方法はありますか?
はい。Google アカウントをお持ちであれば、2 要素認証を使用できます。この認証方法では、新しいデバイスでアカウントにログインするたびに、スマートフォンに送信されるコードを入力する必要があります。
GSEC では、このような新しいプロダクトを具体的にどのように開発しているのですか?
たとえば、ユーザーに「ユーザー エクスペリエンス リサーチラボ」やオンライン インタビューに参加してもらうことで、インターネットの利用方法や情報の検索方法を調査しています。こうした調査は、ユーザーが自身のプライバシー設定について十分な情報に基づいた決定をするには、一般的にどのようなツールとヘルプが必要になるのかを把握するのに役立っています。私たちは「Chrome ブラウザをご家族の方と一緒にどのように使っているか教えてください」といった質問をしたり、実際に Google プロダクトを操作してもらって、それぞれの反応を評価したりしています。こうした分析情報は、表示される情報の配置は適切か、インターフェースとボタンは使いやすいかなどを把握できるので、とても重要です。確実にユーザーのニーズに合ったプロダクトを開発できるのです。セキュリティに詳しくなくても誰もが安全にウェブを利用できる。これが私たちの理念です。こうした状況と、この分野はニーズが非常に多様であるという事実が、今後も私たちの取り組みを導いていくでしょう。
現在、サードパーティ Cookie の使用廃止にも取り組んでいるそうですね。そもそも、Cookie とはどういうものなのでしょうか?
インターネットの利用に Cookie は付きものです。Cookie とは、ウェブサイトのプロバイダが情報をローカルでコンピュータに保存するために使用する小さなファイルです。今でも Cookie はインターネットで重要な役割を果たしています。たとえば、ファーストパーティの Cookie は、オンライン アカウントでログイン状態を維持したり、e コマース ウェブサイトにショッピング カートを設けたりするために使用されます。それ以外にも、関連性の高い広告の表示を可能にするサードパーティの Cookie も存在します。サードパーティの Cookie は、ユーザーがオンラインで特定の商品を検索したことも記録できます。たとえば Cookie は、ユーザーがあるサイトでバックパックを検索したことを登録して、別のサイトで販売されている似たようなバックパックの広告をユーザーに表示するといったことが可能です。
なぜ、そのようなことが行われるのでしょうか?
インターネットは、オープンでほぼ無料のプラットフォームです。ウェブサイトが提供するサービスの費用は主として広告によって賄われており、広告の関連性が高ければ高いほど、ユーザーとプロバイダにとって広告の価値が上がります。
サードパーティの Cookie があれば、オンラインでのユーザーの行動をトラッキングできます。現在、GSEC はそのような Cookie を将来的になくす方法を探求しているということでしょうか?
はい。現在、私たちは「プライバシー サンドボックス」を開発中です。これにより、広告主が Cookie を介してユーザーを識別することは将来的にできなくなるでしょう。ウェブ コミュニティ全体で、サードパーティの Cookie はユーザーの期待にかなうものではなかったという認識が広がっています。ユーザーデータの使用方法に関する透明性、選択肢、管理機能を含めて、プライバシーの強化を求めるユーザーの声は強まっており、ウェブ エコシステムがそうした需要に応える進歩を迫られていることは明らかです。クロスサイト トラッキングに終止符を打つため、ウェブはサードパーティ Cookie や、ブラウザのフィンガープリントといった、気づかれないように使用されているトラッキングの方法から離れる必要があるのです。しかし過去 30 年以上にわたって、多くの中核的なウェブ機能もこういった方法に依存してきました。私たちは、ウェブから重要な機能が失われることを望んでいるわけではありません。たとえば、パブリッシャーがビジネスの成長を維持し、ウェブのサステナビリティを確保することを可能にする機能は重要です。他にも、コンテンツのユニバーサル アクセスの基盤となる機能、デバイスごとに最適なエクスペリエンスを提供する機能、実在するユーザーと bot および不正ソフトウェアを識別する機能なども大切なものです。プライバシー サンドボックス オープンソース イニシアチブにおける目標は、ユーザーのためにウェブのプライバシーとセキュリティを強化しつつ、パブリッシャーも支援することなのです。
Google はどのようにこの問題を解決するのでしょうか?
プライバシー サンドボックス イニシアチブの一環として、私たちはウェブ コミュニティと協力しながら新しいテクノロジーの開発に取り組んでいます。それは、ユーザー情報のプライバシーを確保してフィンガープリントのような侵襲的トラッキング技法を回避しつつ、効果的な広告を掲載して収益を上げる手段をサイトに提供するテクノロジーです。今年の初め、私たちは Topics API のプレビュー版を発表しました。これは、インタレスト ベース広告に関する新しいプライバシー サンドボックスの提案であり、規制当局、プライバシー アドボケイト、デベロッパーのフィードバックに基づいて、FLoC に代わるものとして開発されたものです。Topics API を使用すると、広告主は、ユーザーがアクセスしたウェブサイトから推測された「スポーツ」などの興味 / 関心に基づいて関連性の高い広告をユーザーに表示できます。なおかつ、そのすべての過程がユーザーのプライバシーに最大限に配慮した仕方で処理されます。これまでユーザーの特定に使用されてきた Cookie とは対照的に、Topics API の根底にあるのは、ユーザーの個人的な閲覧履歴がユーザーのブラウザまたはデバイスから取り出されることはなく、広告主を含めて誰にも共有されないという考え方です。つまり、広告主はウェブ全体をトラッキングすることなく、引き続き関連性の高い広告とコンテンツを配信できるのです。
FLEDGE や測定 API といった、プライバシー サンドボックスのその他の提案にも大きな進展が見られます。引き続き、英国の競争・市場庁(CMA)と連携しつつ、Google の提案がエコシステム全体で機能するように開発を進めているところです。
近年、ミュンヘンはデジタル関連のスタートアップ企業やその他のテクノロジー企業の拠点として注目を集めています。Google のミュンヘンの現場責任者として、そのことを実感されていますか?
今、ミュンヘンには目を見張る変化が起きています。Apple、Amazon、Google が揃ってこの地で事業に投資し、拡大を図っています。他にも、データ分析サービスを提供するユニコーン企業の Celonis など、魅力的な企業がミュンヘンを選んでいます。この地域に拠点を構える有力なテクノロジー企業が多いことから、多くの B2B 企業もミュンヘンに拠点を設置しています。また、ここにはローカルのアントレプレナーシップ センターを運営する LMU や TUM といった優れた大学があります。さらに、バイエルン州政府が推進する「ハイテク アジェンダ」アクション プランによる支援は、他に類を見ないレベルです。人工知能と量子コンピューティングへの多大な投資はその一例で、これは素晴らしいことです。エンジニアリングとテクノロジーに関する長年の地域の伝統と専門知識、豊かな経済状態、政府の惜しみない援助、優れた教育機関や高い生活水準。これらの有利な条件があいまって、ミュンヘンを素晴らしい場所にしているのです。
GSEC は 2 年前にバイエルン州の州都で開設されました。
現在、ミュンヘンで新しい Google オフィスが建設中です。新型コロナウイルス感染症のパンデミックによる影響はありましたか?
パンデミックの前は、私たちは勤務時間のほとんどをオフィス内で過ごしていました。オフィスにはたくさんのカフェ、会議室、レストランがあり、スタッフはそこで直接顔を合わせて一緒に仕事をしていました。このような働き方は、明らかにパンデミック中に大きく変化しました。この 1 年で学んだ多くのことを、新しいオフィスの Arnulfpost プロジェクトにも取り入れているのですよ。
リモートワークで、以前と同じ雰囲気を作り出すことは可能だと思いますか?
Google はクラウドの中で誕生し、クラウドの中で発展してきた企業で、私たちの活動の場はクラウドの中です。だからこそ、私たちは、朝食ミーティングやオープンなビデオ会議を通して、スタッフがオンラインでやり取りすることを奨励しています。一方で、数年かけて築き上げてきた社会資本に永遠に頼ることもできないとも考えています。Google が雇用した従業員の中には、まだ Google のオフィスに実際に足を踏み入れたことのない人が大勢います。その一人ひとりに目を配るのは、すべてのマネージャーにとっての課題です。
特にミュンヘンの GSEC において、このことは今後の働き方にどのように関わってくると思いますか?
革新的なアイデアを思いつくのに必要なセレンディピティ(思いがけず幸運な発見をすること)を引き寄せるためには、人と人が一緒に働くことが重要であると私たちは固く信じています。ですから、完全な仮想環境に移行することはありません。しかし、全員が固定した仕事場を持つ必要があるかについては検討を重ねてきました。セールスチームはいつでも柔軟な働き方が可能ですし、エンジニアの開発ツールの多くはクラウドに移行済みです。将来的には、柔軟な働き方を選ぶ人と決まった作業場所で働く人の数を各チームが自分たちで決定できるようになるでしょう。決まった作業場所というよりも、カメラやプロジェクター、電子ホワイトボードを備えたブレインストーミング用のクリエイティブなスペースの拡大が必要になるかもしれません。
写真: Sima Dehgani