情報セキュリティ  暗号化

現在のところ、現状維持策が取られていますが、これが再び世間を騒がすニュースとなるのに時間はかからないでしょう。データのセキュリティとプライバシに関する国民の権利と、テロリストの通信チャネルを傍受することで人命を保護する政府の権利という、2 つの相反する利害を調整するうえで今必要なことは、政治的、技術的な解決策です。これはインドにとっては難しい判断ですが、世界の他の国にとっても大きな教訓となるでしょう。

インドでの Blackberry 問題

携帯電話のユーザー数の増加率は驚くべきものです。国内の賃金労働者から会社役員まで、あらゆる人が携帯電話を持っています。当初は Nokia や Motorola といった企業が市場を独占していましたが、現在ではあらゆるハードウェア企業やソフトウェア企業が独自ブランドの携帯電話を発売しています。

Blackberry の携帯電話

Blackberry の携帯電話は、魅力的な携帯デバイスであるばかりでなく、オフライン データ アクセス、GPS 機能、モバイル データ サービスなど、便利な多くのソフトウェア コンポーネントをサポートしています。このデバイスに統合されている不名誉な電子メール クライアントは、世界中で爆発的な人気を得ました。すべての電子メール、連絡先、および予定表が、ユーザーの操作を必要とせずに自動的に Blackberry デバイスにプッシュされます。Blackberry は、携帯電話の世界でプッシュ メールという概念を使用した最初の企業です。

Blackberry は、電子メールのクライアント/サーバ ネットワーク アーキテクチャをサポートしています。クライアントはデバイスの OS に組み込まれています。いったんコンポーネントをアクティブ化すると、デバイスはその地域にあるサーバを探し、一意の Blackberry PIN を通じて自らを識別します。大企業では、通常サーバは組織のネットワークにインストールされていて、電子メールのインスタント リレーが進められています。Microsoft や Nokia といった企業も同じノウハウを使用して企業マーケットへの参入を試みましたが、無残な結果に終わりました。

対称暗号化アルゴリズム

1 人の Blackberry ユーザーから別の Blackberry ユーザーに送信される電子メールは暗号化されます。この秘密コードを破ることはほとんど不可能であり、CrackBerry という言葉がインターネットに出回っています。Blackberry は symmetric encryption を使用しています。このキーは接続またはハンドシェイク時に交換されます。クライアントは Blackberry PIN を Blackberryサーバに送信し、サーバはこのキーを使用してデータの暗号化と復号化を行います。1 つの電子メールで、その内容の長さに応じて 10 個以上の異なるキーが使用されます。

インドでのセキュリティの問題

新種の攻撃が定期的に行われる中で、テロリストは普通の人よりも多くの技術を使用し、それを悪用しているのが実情です。だからこそ、彼らは追跡不可能なのです。犯罪者のほとんどは暗号を使用して会話を隠ぺいしています。インドは、間違いなくテロリストのあらゆる活動の被害を受けています。インド政府はセキュリティを最大の関心事としており、そのために、国内でのテロリストのあらゆる活動を阻止するために巨額の資金を投じています。

こうした背景より、Blackberry 電話は、インド政府にとって非常に慎重な対応が求められる問題になっています。Blackberry 携帯電話から送信される電子メールは、地域の電話サービス プロバイダの無線ネットワークを流れ、インド国内に物理的に設置された Blackberryサーバに置かれます。次に、インド国内を離れ、他国にある別の Blackberryサーバまたは別の携帯電話に送られます。問題となるのは、Blackberry デバイスまたは Blackberryサーバで送受信されるすべてのデータが暗号化されることです。これに加えて、デバイスに保存されるすべてのデータも同様に暗号化されます。さらに、データを傍受するかどうかは論議の対象となりますが、ネットワークを流れるデータは、暗号化キーを入手しない限り、リアルタイムでクリア テキストの状態であるということは決してありません。

このため、インド情報通信省 (DoT) は、アルゴリズムと、暗号化キーを生成する独自の方法を公開するように Blackberry に要請しました。この情報は、DoT が Blackberry ネットワーク上の電子メールを復号化するうえで役立ちます。しかし、Blackberry にとっては、セキュリティという名の下に、インド政府に対して企業の重要資産を明け渡すことになります。

損得

得 : 暗号化はまったくもって合法的な活動です。実際に、セキュリティ アドバイザは、さまざまな対称アルゴリズムと非対称アルゴリズムを使用して、インターネット経由で送信するすべてのデータを暗号化するようにユーザーに求めています。Blackberry は、電子メール クライアントそのものにセキュリティを組み込み、ユーザーが手動でこの作業を実行しなくても済むようにし、電話を強化したにすぎません。

Blackberry の他社に対する強みは、その優れたセキュリティにあります。データの暗号化に使用される 256 ビットの Advanced Encryption Standard (AES) は、これまでだれにも破られていません。キーそのものがテキストと共に送信されることはないため、"介入者" (MTM) 攻撃は完全に失敗に終わっています。Blackberry はこの優れた AES 暗号化アルゴリズムを使用して、所有者に対して確実なセキュリティを提供しています。

損 : 各国のインターネット サービス プロバイダは、法執行機関に対して、自社を通過するデータの傍受に役立つサーバの設置を許可しています。インドでは、これは政府とのライセンス契約の本質的部分になります。ISP がオープンであることにより、世界各国の政府機関は、インターネット データを監視し、リアルタイムで電子メールを傍受することができます。Blackberry が米国など他国に対してサポートを拡張することになった場合、同じ相互関係がインドのような国にも与えられる必要があります。そうでない場合、疑いのある Blackberry 電子メール ID をリアルタイムで監視できるようなシステムを作成しなければなりません。

しかし、Blackberry 側からすれば、これを行った場合、セキュリティとプライバシに関する自社の約束を破ることになります。同社が国の法律に従わず、自社のニーズのみに関心を向けた場合は、国から差し止めを受ける可能性があります。しかし、Blackberry のような企業に対して、インドでの国内営業を突然停止させるようなことになれば、国の信頼にかかわる問題となります。

結論

Blackberry とインド政府間の問題は、今後、他国でも発生する可能性があります。一方で個人や企業のプライバシの問題を保護し、他方で新しい通信チャネルと共に台頭しているテロリズムという問題に関して、その線引きは非常にあいまいになっています。

政府には、仮想的な国境を越えて送信される電子メールを読む権利が与えられる必要があると考えますが、こうした権限は絶対的であってはなりません。あらゆる確認を行い、均衡を保った後の最後の手段としてのみ行使する必要があります。システムでは、どのような種類であっても、電話の不正な盗聴などの悪用が可能であってはなりません。

しかし、現実の世界では白黒はっきりするものはなく、グレーな部分ばかりです。そのため、各国は国民のプライバシの扱いに関して独自の方法を考案する必要があります。各国政府はプライバシと侵入の境界を定める必要があり、何にもまして、それを国民に知らせなければならないのです。