適切な​バランスを​見つける

Somogyi 氏、​ここドイツでは、​人々は​常に​シートベルトを​締め、​あらゆる​保険に​加入し、​ATM で​暗証番号を​入力する​ときには​手元を​隠します。​それなのに、​なぜインターネットでは​軽率な​行動を​とってしまうのでしょうか？

これは​ドイツだけの​現象ではなく、​世界的な​現象です。​このような​現象が​起こるのは、​人間の​心が、​具体的で​目に​見える​危険に​対しては​対処する​ことに​慣れている​ためです。​これは​インターネット上の​リスク以外の​ことにも​当てはまります。​ですから、​Google のような​テクノロジー企業に​とって、​ユーザーの​安全を​確保する​ことが​特に​重要と​なるのです。​Google は​近年、​こういった​安全性の​確保を​実現する​ために​集中的に​取り組んできました。

どのような​取り組みを​されていますか？

Google では​ユーザーに​対する​理解を​深める​ために、​多くの​時間と​資金を​投資してきました。​一例と​して、​ユーザーに​対して​多くの​セキュリティ警告を​表示しすぎていた​ため、​ユーザーは​警告を​真剣に​受け取らなくなっていたと​いう​ことが​わかりました。​そこで、​警告を​いくつ表示すれば​よいかと​いう​ことに​なるのですが、​その​適切な​バランスを​見極める​ことは​簡単では​ありません。​私たちは、​人的要因を​過小評価しが​ちなのです。

どういう​意味ですか？

ユーザーが​自ら​判断して​メール内の​リンクを​クリックしたり、​不用意に​データを​共有してしまう​場合、​私たちに​できる​ことは​ほとんど​ありません。​多くの​攻撃が、​人間の​信じやすさを​前提に​して​行われているのです。

「人間には、​生まれつき他者を​信用すると​いう​傾向が​あり、​犯罪者は​その​ことを​知っています。」

Stephan Somogyi

それに​よって​どういう​ことが​起こりますか？

人間には、​生まれつき他者を​信用すると​いう​傾向が​あります。​犯罪者は​こういった​特性を​熟知している​ため、​ユーザーが​知らない​メールアドレスから​送信された​メールを​信用する​よう、​巧みに​仕向ける​ことができるのです。​また、​単純に​ユーザーを​不安に​させる​ために​攻撃を​行うこともあります。​いずれの​場合も​結果は​同じで、​ユーザーは​不適切な​判断を​してしまうことになります。

具体例を​教えてください。

た​とえば、​こんな​メールが​届きます。​お気に入りの​テレビシリーズの​新しい​エピソードを​観ようと​思っていた​ストリーミング サービスが​ブロックされようと​している、と​いう​内容の​ものです。​この​メールに​よると、​ブロックされないように​するには、​メールに​記載された​リンクを​クリックして、​銀行口座の​情報を​入力する​必要が​あります。​このような​場合、​多くの​ユーザーが​判断を​誤り、​メールに​記載された​指示に​従ってしまうのです。​その​結果、​犯罪者が​ユーザーの​銀行口座に​アクセスできるようになります。

攻撃者は​常に、​ユーザーが​思わず​反応してしまう​ことを​狙っていると​いう​ことですか？

そのとおりです。​ただ、​ユーザーに​知識が​なかったり、​無頓着だったりする​ことに​よって、​セキュリティ警告が​無視されてしまう​ケースも​多数あります。​その​ため、​Google では​セキュリティ警告に​関する​案内を​より​わかりやすい​ものに​するように​努めています。​ユーザーが​すべきことと​すべきでない​ことを​示すのではなく、​そうした​行為に​よっても​たらされる​危険性に​ついて​知らせる​必要が​あるのです。​ユーザーが​十分な​情報に​基づいて​判断できるように、​すべての​事実を​過不足なく​提供する​ことを​目指しています。

現在では、​デスクトップ パソコン以外にもさまざまな​アクセス ポイントが​使用されています。​他の​デバイスでも、​セキュリティ要件は​同じでしょうか？

これは​ Google に​とって​大きな​課題と​なっています。​オンライン セキュリティを​確保するには、​常に​付随的な​データ交換、​例えば​暗号化などが​必要に​なります。​デスクトップ パソコンでは​問題ないのですが、​スマートフォンの​場合は​データ量を​考慮する​必要が​ある​ため、​こういった​データ交換が​課題と​なる​可能性が​あるのです。​つまり、​絶対に​必要な​データ量以上は​使用しないと​いう​セキュリティ対策を​講じる​必要が​あります。​Google では​モバイル デバイスで​転送される​データ量を​削減する​ために​大変力を​入れており、​現在では​データ量を​以前の​ 4 分の​ 1 まで​減らすことに​成功しています。​とにかく、​ユーザーが​データ量を​抑えようと​して​セキュリティ設定を​オフに​する​ことの​ないように​する​必要が​あるのです。​ここでも、​人的要因が​関係しています。

セキュリティに​関する​すべての​アドバイスに​従い、​個人データの​取り扱いに​注意していれば、​ユーザーは​外部の​ウイルス対策プログラムを​使用する​必要は​ないのでしょうか？

最近では、​システムを​更新し続けていれば、​ユーザーは​十分に​保護されていると​いえるでしょう。​しかし、​昔から​こういう​状況だったわけでは​ありません。​以前は、​十分な​セキュリティ対策を​講じていなかった​企業が​多く​ありました。​そうした​状況は​近年大幅に​改善されており、​リスクも​劇的に​減少しています。

未来を​簡単に​見てみましょう。​次の​目標は​何ですか？

Google では、​HTTPS を​ウェブ全体の​標準プロトコルに​して、​接続が​常に​暗号化されるように​する​ことを​目指しています。​Google 検索や​ Gmail などの​多くの​サービスで、​すでに​セキュアな​ HTTPS 暗号化を​使用した​データ転送が​行われています。

すべての​オンライン データが​安全に​転送されるように​すると​いう​ことですか？

はい。​これまでは、​接続が​安全な​場合に、​アドレスバーに​その旨が​表示されていました。​将来的には​これを​逆に​して、​接続が​安全でない​場合に​フラグが​付くように​したいと​考えています。

.

写真: Felix Brüggemann