適切なバランスを見つける

Google のセキュリティおよびプライバシー プロダクト管理部門に勤める Stephan Somogyi は、ユーザーが自身のオンラインでの行動についてより注意深くなるべきだと考えています。

ここドイツでは、人々は常にシートベルトを締め、あらゆる保険に加入し、ATM で暗証番号を入力するときには手元を隠しています。それなのに、なぜインターネットでは軽率な行動をとってしまうのでしょうか?

これはドイツだけでなく、世界中で見られる傾向です。このような現象が起こるのは、人間の心が、具体的で目に見える危険に対して対処することに慣れているためです。インターネット上のリスクは目に見えません。ですから、Google のようなテクノロジー企業にとって、ユーザーの安全確保が特に重要なのです。Google は近年、こういった安全性の確保を実現するために集中的に取り組んできました。

具体的にどのようなことに取り組んできたのですか?

Google ではユーザーをもっと理解するために、多くの時間と資金を投資してきました。一例として、ユーザーに対して多くのセキュリティ警告を表示しすぎていたため、ユーザーは警告を真剣に受け取らなくなっていたということがわかりました。そこで、警告をいくつ表示すればよいかということになるのですが、その適切なバランスを見極めることは簡単ではありません。私たちは、人的要因を過小評価しがちなのです。

詳しく説明してもらえますか?

たとえばユーザーが自ら判断してメール内のリンクをクリックしたり、不用意にデータを共有してしまう場合、私たちにできることはほとんどありません。多くの攻撃が、人間が信じやすいことを悪用しているのです。

「人間は、生まれつき他者を信用しがちであり、犯罪者はそれを熟知しています。」

Stephan Somogyi

それによってどういうことが起こりますか?

人間には、生まれつき他者を信用しがちです。犯罪者はこういった特性を熟知しているため、ユーザーが知らないメールアドレスから送信されたメールを信用するよう、巧みに仕向けるのです。また、単純にユーザーを不安にさせるために攻撃を行うこともあります。いずれの場合も結果は同じで、ユーザーは不適切な判断をしてしまうことになります。

具体例を教えてください。

たとえば、こんなメールが届きます。お気に入りのテレビシリーズの新しいエピソードを観るために使おうとしていたストリーミング サービスがブロックされようとしている、という内容のものです。このメールによると、ブロックされないようにするには、メールに記載されたリンクをクリックして、銀行口座の情報を入力する必要があります。このような場合、多くのユーザーが判断を誤り、メールに記載された指示に従ってしまうのです。その結果、犯罪者がユーザーの銀行口座にアクセスできるようになります。

攻撃者は常に、ユーザーが思わず反応してしまうことを狙っているということですか?

そのとおりです。ただ、ユーザーに知識がなかったり、無頓着だったりすることによって、セキュリティ警告が無視されてしまうケースも多数あります。そのため、Google ではセキュリティ警告に関する案内をよりわかりやすいものにするように努めています。ユーザーがすべきこととすべきでないことを示すのではなく、そうした行為によってもたらされる危険性について知らせる必要があるのです。ユーザーが十分な情報に基づいて判断できるように、すべての事実を過不足なく提供することを目指しています。

現在では、デスクトップ パソコン以外にもさまざまなアクセス ポイントが使用されています。他のデバイスでも、セキュリティ要件は同じでしょうか?

これは Google にとって大きな課題となっています。オンライン セキュリティを確保するには、常に付随的なデータ交換、例えば暗号化などが必要になります。デスクトップ パソコンでは問題ないのですが、スマートフォンの場合はデータ量を考慮する必要があるため、こういったデータ交換が課題となる可能性があるのです。つまり、絶対に必要なデータ量以上は使用しないというセキュリティ対策を講じる必要があります。Google ではモバイル デバイスで転送されるデータ量を削減するのに大変力を入れており、現在ではデータ量を以前の 4 分の 1 まで減らすことに成功しています。とにかく、ユーザーがデータ量を抑えようとしてセキュリティ設定をオフにすることのないようにする必要があるのです。ここでも、課題は人的要因です。

セキュリティに関するすべてのアドバイスに従い、個人データの取り扱いに注意していれば、ユーザーは外部のウイルス対策プログラムを使用する必要はないのでしょうか?

最近では、システムを更新し続けていれば、ユーザーは十分に保護されているといえるでしょう。しかし、昔からこういう状況だったわけではありません。以前は、十分なセキュリティ対策を講じていなかった企業が多くありました。そうした状況は近年大幅に改善されており、リスクも劇的に減少しています。

今後の目標について教えてください。

Google では、HTTPS をウェブ全体の標準プロトコルにして、接続が常に暗号化されるようにすることを目指しています。Google 検索や Gmail などの多くのサービスで、すでにセキュアな HTTPS 暗号化を使用したデータ転送が行われています。

すべてのオンライン データが安全に転送されるようにするということですか?

はい。これまでは、接続が安全な場合に、アドレスバーにその旨が表示されていました。将来的にはこれを逆にして、接続が安全でない場合にフラグが付くようにしたいと考えています。

写真: Felix Brüggemann

サイバーセキュリティの発展

Google がいかにして世界中の人々のオンラインでの安全性を守っているかをご紹介します。

詳細