セキュリティのための始めの一歩
セキュリティのための始めの一歩(EFF文書)
(仮訳) 監視は、私たちがどこで暮し、何をしていようと、私たち皆に影響します。幾人かの人たちには監視の影響が直接及ぶでしょうし、それ以外の人たちでも自分達のコミュニケーションやデータをスパイ活動から防衛するのにどのような手段があるのかを知りたいと思うかもしれません。この入門のガイドは、どのようにあなたの個人的なリスクを検証し、あなたの最も大切なコミュニケーショや情報を保護し、プライバシーを強化するツールを日常生活のルーティンに組み入れることをあなたが考えるきっかけになるお手伝いするためのものです。
ツールを選ぶ
あらゆるデジタルのツールは、ハードであれソフトであれ、安全であるべきものです。すなわち、これらは、あなたを監視から保護し、あなたのデバイスが他人にコントロールされないように作動すべきものです。悲しいことに、現状ではそうなっていません。多くのデジタルの挙動に対して、結局のところ特別なセキュリティを考慮した専用のプログラムや装置を求めることにとどまっているかもしれません。これに対してこのガイドで私たちが用いている事例には、あなたのメッセージを暗号化するような、PGPといったソフトを含んでいます。
とはいえ、多くの企業やウエッブサイトガ安全なプログラムやハードを提供しているときに、どうやってあなたに適したものを選んだらいいのでしょうか。
セキュリティはプロセスであり、買うものではない。
まず最初に、あなたが使っているソフトを変更したり、新たにツーツを購入する前に、いかなるツールもあなたにあらゆる環境での監視からあなたを絶対的に保護することにはならないだろうということを想起すべきです。暗号化ソフトを使うことは一般に、他人があなたのコミュニケーションを読んだり、あなたのコンピュータのファイルを探したりすることを困難にはするでしょう。しかし、あなたのデジタル・セキュリティへの攻撃は、つねにあなたのセキュリティ対処の最も弱い箇所を探し出そうとします。あなたが新たな安全なツールを利用するとき、その使用方法が、別の方法であなたを標的にする可能性のある誰かがどのような影響を与えるかを考える必要があります。たとえば、もしあなたが、自分の電話が危険に晒されているかもしれないと知っているので、安全にテキストを送受信するプログラムを通信相手に使うことを決めた場合、このプログラムを使うというその事実が、プライベートな情報について話しているのだというヒントを敵に与えるかもしれません。
第二に、あなたにとっての脅威モデルとは何かを想起しましょう。もしあなたの最大の脅威が、インターネットの監視ツールを使わない私立探偵による実空間での監視であるなら、あなたは、「NSAお墨付き」といった高価な暗号電話を購入する必要はありません。あるいは、もし、暗号化のツーツを用いていることを理由に反対派をいつも投獄する政府と対峙しているならば、あなたはラップトップに暗号化ソフトを用いた証拠を残すようなリスクを回避するために、――事前に打ち合わせた符丁のような――より単純なトリックを使うのが賢明かもしれません。
こうしたことを踏まえて、ここでは、ダウンロードしたり購入したり、あるいはそれらを使ったりする前に、ツールについての幾つかの疑問に答えておきましょう。
透明性はどうなのか
デジタル・セキュリティは大抵のところ秘密保持に関するものだと思われていますが、セキュリティの研究者たちの間にある確たる確信は、公開性と透明性こそがより安全なツールを生み出すということなのです。
デジタル・セキュリティのコミュニティが利用し推奨する多くのソフトはオープンソースです。これは、このソフトがどのように作動するかを決めるコードが公開され、第三者によって検証、修正あるいは共有のために利用できるということです。このプログラムがどのように作動するのかが透明であることによって、こうしたツールのクリエータたちは第三者をセキュリティの弱点を探すことに招き入れ、プログラムの改善を助けるのです。
オープンソースのソフトは、よりよいセキュリティの機会を提供しますが、これを保証するものではありません。オープンソースの利点は、コードをチェックする現実の技術者コミュニティに一部は依存しています。これは小規模なプロジェクト(ポピュラーで複雑なプロジェクトであってもそうですが)では達成するのは難かしいかもしれないことなのです。あなたがどのツールを使うかを検討する場合、そのソースコードが利用できるかどうかを調べてください。そしてセキュリティの質を確認する独立のセキュリティ監査があるかどうかを調べてください。最低限、ソフトやハードが、第三者の専門家の検査に対して、どのようにしてそれが機能するか詳細な技術的な説明が提供されるべきなのです。
利点と欠点をどれだけはっきりと提示しているか
どんなソフトもハードも完璧に安全なものはありません。クリエターであれ販売者であれ、自分たちの製品の限界について正直な人たちは、彼らのアプリケーションがあなたに適しているかどうかについてよりしっかりした考え方を示すでしょう。
コードは「軍事レベル」だとか「NSAお墨付き」だといった謳い文句を信じてはいけません。こうした謳い文句は何の意味もなく、クリエータは自信過剰であるか自分の製品のありうる問題に気付いていないかもしれないと強い警戒心をもって受けとるべきです。
攻撃者は常に、ツールのセキュリティを破る新たな方法を発見しようとするために、ソフト、ハードは新たな脆弱性に対応するためのアップデートをしばしば必要とします。しかし、ツールのクリエータたちが、悪評を恐れたり、問題に対処するためのインフラを構築してこなかったりして、これに対応しようとしなければ深刻な事態になりうるのです。
あなたは未来を予言することはできません。しかしツールの制作者たちが将来どのような態度をとるのるかについて、彼らの過去の対応は、格好の指標になります。もし、ツールのウエッブサイトがこれまでの問題についてリストアップしていたり、定期的なアップデートや情報にリンクを貼っているならば――特に、このソフトが最後のアップデートからどれくらいの時間が経っているのかといった情報――、あなたはかれらが将来においてもこのサービスを提供し続けるだろうと強い確信を持てるかもしれません。
もしクリエターが侵害されたら何が起きるのか。
セキュリティツールのメーカーがソフトやハードを構築するとき、(まさにあなたと同様に)明確な脅威モデルについての認識を持たなければなりません。最上のクリエターは、どのような攻撃者からあなたを守るのかをその説明文書に明確に記載するはずである。
しかし、多くのメーカーが考えたくない攻撃者がいます。それは、彼ら自身が攻撃されたり、彼ら自身が自分達のユーザを攻撃するという場合です。たとえば、裁判所や政府が企業に個人情報を提出させたり、そのツールが提供しているプロテクトを全て解除するような「裏口」を作ったりする場合です。あなたは、クリエータは司法に従わなければならないと考えるかもしれません。たとえばの話しだが、もしあなたの脅威がイランの政府からのものなら、米国に本社のある企業はイランの裁判所の命令に逆らうことができると考えられるかもしれません。とはいえこの企業は、米国政府の命令には従わなければならないでしょう。
たとえクリエータが政府の圧力に抵抗することができるとしても、攻撃者は同様の結果を、このツールを使う顧客を攻撃するためにメーカー自身のシステムに侵入して同様の結果を得ようとするかもしれません。[1]
最も抵抗力のあるツールは、ありうべき攻撃としてこうしたことを考慮し、これに対する防御の設計ができているものです。クリエータはプライベートなデータにアクセスしないだろうといった口約束ではなく、プライベートなデータにアクセスすることが不可能だと断言する文言があるかどうか探してみるべきでしょう。また、個人情報に対する裁判所の命令と闘う定評のある団体を探すべきでしょう。[2]
リコールやオンラインの批評をチェックする
もちろん、製品を売る企業や新製品を広告することに必死になる者たちは、騙されたり、騙したり、あからさまな嘘をついたりするかもしれない。元々は安全だった製品に将来深刻な欠陥が見つかるかもしれません。ですから、あなたが使っているツールについての最新のニュースによく目を通しておくことが必要でしょう。
同じツールを使っている人を知っているか
ツールについての最新ニュースをフォローするのは大変労力のいることでもあります。もしこうした製品やサービスを使っている同僚などがいたら、彼らとも協力しながら、今どうなっているのか情報を確かめることです。
このガイドで言及する製品
このガイドで言及するソフトやハードは、上で言及した基準を満たしていることを出来る限り確かめるよう私たちとしても努力している。私たちは、現在、デジタル・セキュリティについて、確たる基盤を有する製品だけをリストするように最善の努力をしてきました。一般に、その動作(及び失敗)について透明性があること、クリエータ自身が侵害される可能性があることへの防御があること、そして、技術的にも知識の豊富な多くのユーザの基盤がありメンテナンスがなされているということです。執筆時点で、これらの製品には、その欠陥を検証する広範なオーディエンスの目があると信じています。しかし、こうした製品について私たちが独自に保証したり検証するリソースを持っていないということも理解していただきたいのです。私たちは、これらの製品を裏書きするのではないし、その完全なセキュリティを保証することもできません。
どの電話、コンピュータを買うべきか。
セキュリティについて最もよくある質問は「アンドロイドを買うべきか、iPhoneを買うべきか」「PCを使うべきかMacを使うべきか」、あるいは「どのオペレーションシステム[3]を使うべきか」という質問です。これらには単純な答えはありません。ソフトやデバイスが他と比べて安全かどうかは、新たな欠点が発見されたり古いバグが修正されたりして、常に変動します。企業はよりよいセキュリティを提供しようと競争しています。あるいは逆に、どの企業もこうしたセリュリティを弱めるようにという政府の圧力にさらされているかもしないのです。
一般的なアドバイスはおおむね正しいでしょう。あなたがデバイスを買うとかOSを買う際には、そのソフトをアップデートして最新のものに保つことです。アップデートは攻撃が利用する古いコードにあるセキュリティの問題に対処したりもするからです。特に、マイクロソフトはウインドウズXPとそれ以前のバージョンについては、たとえ深刻なセキュリティの問題があっても対応しないことを名言しています。もしXPを利用しているのであれば、攻撃者から安全を守ることは期待できません。(同様のことは、MacのOS10.7.5以前のOS Xあるいは「Lion」にもあてはまります)
出典:https://ssd.eff.org/en/playlist/want-security-starter-pack
Start from the beginning with a selection of simple steps.