THE BRIDGE

タグ security

ヤバい「IDとパス」の組み合わせをチェックしてくれるGoogleの Password Checkup、その仕組みとは

SHARE:

ピックアップ:Protect your accounts from data breaches with Password Checkup ニュースサマリー:Googleは2月5日、セキュリティー対策の一環として、新たなエクステンション「Password Checkup」を公開した。同エクステンションをブラウザChromeにインストールすれば、入力されたログイン名並びにパスワード情報に漏洩可能性が…

woman s hand on laptop
Photo by rawpixel.com on Pexels.com

ピックアップ:Protect your accounts from data breaches with Password Checkup

ニュースサマリー:Googleは2月5日、セキュリティー対策の一環として、新たなエクステンション「Password Checkup」を公開した。同エクステンションをブラウザChromeにインストールすれば、入力されたログイン名並びにパスワード情報に漏洩可能性がないかを判断することができる。

Password Checkupは、40億件を超える危険性が伴うユーザー名・パスワードの組み合わせをデータベース化し、同エクステンションを通して検証をするとしている。また、同プロジェクトはスタンフォード大学における暗号学のエキスパート達と共同で検証実験をしている。

話題のポイント:Googleは昨年、同社が運営していたGoogle+から個人情報漏洩の可能性があったことや、EUにおけるGDPR(General Data Protection Regulation)の施行でプライバシー保護の向上に積極性を見せています。

今回のエクステンションも、ユーザー情報をデータベースと検証する際、Google側に識別情報が一切伝わらない仕組みを取っています。Googleが公開したブログでは、Password Checkupの利点を述べる一方で、ユーザーの個人情報保護に対しても以下のように強調しています。

Privacy is at the heart of our design: Your usernames and passwords are incredibly sensitive. We designed Password Checkup with privacy-preserving technologies to never reveal this personal information to Google. (プライバシー保護はGoogleにとって最重要な観点です。Password Checkupはその利用時、ユーザーネームまたパスワードから個人を特定する情報はGoogleに一切伝わらない設計を取っています)。

----------[AD]----------

家族の安全のために、ファミリーセキュリティのEachpal(听風)がエンジェル投資で約50万米ドルを調達

SHARE:

上海のファミリーセキュリティのスタートアップであるEachpal(听風)は最近、VRV Software(北信源、SZ:300352)からエンジェル投資で300万元(48万8,742米ドル)を獲得したと発表した。VRV Softwareは北京の情報セキュリティサービスであり、Eachpalの株を10.7%保持する予定だ。 EachpalのCOOであるLu Gangqun(陸剛群)氏は、今回の資金を…

ethpal

上海のファミリーセキュリティのスタートアップであるEachpal(听風)は最近、VRV Software(北信源、SZ:300352)からエンジェル投資で300万元(48万8,742米ドル)を獲得したと発表した。VRV Softwareは北京の情報セキュリティサービスであり、Eachpalの株を10.7%保持する予定だ。

EachpalのCOOであるLu Gangqun(陸剛群)氏は、今回の資金をマーケティング、製品のアップグレード、家族・車のセキュリティシステムの開発者との提携に使う予定だと述べた。

Eachpalは、家族や大切な資産を追跡できるハードウェアとアプリの両方を提供している。まずユーザは、GPS/GSM/WIFIを搭載したリモートポジショニングデバイスを高齢の両親や子供、ペットや車に取り付ける。そうすれば、家族と互いにチャットできるアプリを通じて、現在位置と移動経路の履歴をモニターできる。

Eachpal

追跡装置を身に着けていれば、緊急時に家族へSOSの知らせを送れる。さらにユーザは、対象者が自由に歩き回れる範囲を設定することができる。対象者がその範囲に近づくとデバイスが信号を発信し、ユーザは自分のモバイル機器でアプリ通知を受け取ることになる。

これはホームセキュリティ業界にとって、またVRV Softwareから投資を受けた社員20名のEachpalにとっても好望といえる、と投資家は明かした。

【via Technode】 @technodechina

【原文】

----------[AD]----------

Baidu(百度)、東南アジア向けにPC用セキュリティソフトをリリース

SHARE:

【原文】 Baidu(百度)とQihoo 360(奇虎)の仲が悪化していることは明らかだ。セキュリティ企業Qihoo 360が独自の検索エンジンをリリースした後、BaiduがQihooの縄張りであるセキュリティ分野で逆襲を企てるのは時間の問題だと思われた。そして、とうとうBaiduはセキュリティ関連プロダクトをリリースしたのだが、興味深いことにそれは中国をターゲットとしていないのである。その代わり…

【原文】

Baidu(百度)とQihoo 360(奇虎)の仲が悪化していることは明らかだ。セキュリティ企業Qihoo 360が独自の検索エンジンをリリースした後、BaiduがQihooの縄張りであるセキュリティ分野で逆襲を企てるのは時間の問題だと思われた。そして、とうとうBaiduはセキュリティ関連プロダクトをリリースしたのだが、興味深いことにそれは中国をターゲットとしていないのである。その代わり、新登場のBaidu PC Fasterソフトウェアセットはタイをメインのターゲットとしている。

Baidu PC Fasterという、少々ぎこちない名前がつけられたセキュリティソフトのセットは2つの言語(英語、タイ語)で利用可能となっており、4つの主要なアプリケーションを備えている。ブートタイムマネージャー、Windows Updateマネージャー、ストレージクリーナー、そして4つ目のヘルスケアだが、こちらはおそらくコンピュータに発生した問題を解決し、セキュリティを強化するアプリケーションだと思われる。

ドメイン名「.co.th」とタイ語のオプションから考えると、このプロダクトは主にタイをターゲットとしていることが明らかだが、英語版も用意されていることで東南アジアの人々にとって利用しやすいものとなっている(少なくとも、中国語よりは利用しやすいだろう)。

baidu-pc-faster-680x275

これは興味深い戦略だ。東南アジア市場には多くの中国企業が参入を目指しているようだが、BaiduはおそらくQihooに先駆けて東南アジアへ参入することで、Qihooの海外進出の可能性に先手を打とうと試みているのだろう。おそらく、QihooのCEO、Zhou Hongyi(周鴻禕)氏にとって、これは本当に気分を害する動きだ。率直に言って、それこそBaiduの関係者がその戦略をとった理由なのかもしれない。

もちろん、東南アジアは成長が著しく利益が上がる市場だ。だからBaiduの動きはライバルのQihooに平手打ちを食わせるだけにとどまらず、スマートな事業戦略と言えよう。しかし、このサービスが同地域においてどのように受け止められるのかは興味深い。というのも、中国は東南アジアにおける種々の領土問題において強硬姿勢を示しており、同地域の国々はこれに悩まされているからだ。(例えば、ベトナムは中国製のビデオゲーム内に問題となる係争地域の地図が含まれることからこれを禁止した。)

そのため、中国企業の中には東南アジア地域へと拡張する際、中国製であることを目につきにくくするか、控えめに表示するようにしているところもある。しかし、Baiduはその名前を堂々と出すことを選んだ。タイでこれが同社に重大な悪影響を及ぼすという可能性はあまりないかもしれないが、他の東南アジアの国々、例えばベトナムやインド(両国とも中国との深刻な領土問題を抱えている)ではこのプロダクトのセットについて異なる見方がなされるかもしれない。Baiduのブランド構築とは別に、例えばプロダクトのBaiduのページには中国のことが全く触れられていないことは注目に値する。

【via Tech in Asia】 @TechinAsia

----------[AD]----------

スタートアップが気をつけるべきプライバシーとセキュリティとは? TokyoStartupSchool vol.4 レポート

SHARE:

ウェブサービスを立ち上げようとしている人にとって、避けては通れないことの一つに、サービスのセキュリティやプライバシーポリシーなどへの配慮が挙げられます。ビジネスとしてサービスを運営し、規模を拡大していこうと考えているのであれば、なおさらこれらのことは重要になってきます。ここを曖昧にしたままサービスをリリースし、大きくしていくと、どこかのタイミングで問題が発生し、炎上や訴訟などのトラブルにまで、発展…

ウェブサービスを立ち上げようとしている人にとって、避けては通れないことの一つに、サービスのセキュリティやプライバシーポリシーなどへの配慮が挙げられます。ビジネスとしてサービスを運営し、規模を拡大していこうと考えているのであれば、なおさらこれらのことは重要になってきます。ここを曖昧にしたままサービスをリリースし、大きくしていくと、どこかのタイミングで問題が発生し、炎上や訴訟などのトラブルにまで、発展してしまうことが大いに考えられます。

第4回目の開催となるTokyo Startup Schoolは、「スタートアップが気をつけるべきプライバシーとセキュリティ」というテーマで開催しました。せっかく作り出したサービスを、ユーザに心地よく使ってもらうために必要最低限な、セキュリティとプライバシーポリシーについて、専門家の方々をゲストの方をお招きして教えていただきました。(前回のスクールの様子はこちらからご覧ください。)

ゲストにお越しいただいたのは、ウェブサービスの利用規約、プライバシーポリシーに関するセミナーを数多く行ってらっしゃる弁護士の雨宮さん。経営、マーケティング、セキュリティコンサルを提供する株式会社エヴォルツィオの高橋伸和氏。一般社団法人 OpenIDファウンデーション・ジャパン事務局長の山中進吾氏の3名の方にお越しいただきました。

1時間目:セキュリティ、プライバシーについて法的にスタートアップが気をつけること

まずは雨宮さんに、そもそもプライバシー、セキュリティとはなんなのか。プライバシーやセキュリティの法的規制にはどのようなものがあるのか、ということについて簡単に解説していただきました。

「プライバシー」と「セキュリティ」の違い

まず基本的な理解として、「プライバシー」は「自己に関する情報をコントロールする権利」(情報プライバシー権)とされており、憲法に基づく権利なのですが、その範囲は曖昧なものとなっています。「セキュリティー」は情報を守るための「手段」となります。

「プライバシー」と「個人情報」の違い

プライバシーと個人情報にも違いがあります。「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)(第2条第1項)となります。実は個人情報保護法で決められている範囲は狭く、プライバシーとして個人が管理したいと考える対象の範囲のほうが広く、ここの齟齬でもめてしまうことが多いです。

「ライフログ」と「個人情報」の違い

「ライブログ」とは、蓄積された個人の生活の履歴のことを指します。ウェブサイトの閲覧履歴、検索履歴、位置情報、サイトに書き込んだコメントなどなどです。それ単独で、個人を識別できない場合は個人情報にはあたりませんが、情報が大量に蓄積されることにより、個人が識別できるようになってしまうと個人情報となることもあります。

「ライフログ」と「プライバシー」の関係

「ライフログ」が蓄積すると、個人の嗜好が推測できてしまいます。あまり他人には知られたくないなと思うような情報が知られてしまうとなったとき、たとえ、個人が識別できなくても、プライバシー権侵害にはなってしまう可能性があります。これがライフログの怖いところです。

プライバシー、セキュリティに関する法的規制

プライバシーや、セキュリティに関する法的規制は現在では、「個人情報保護法」、憲法上の「プライバシー権」「知る権利」、電気通信事業法「検閲の禁止」、提言および自主規制などがあげられます。個人情報保護法を理解するためには、「定義の正確な理解」、「目的外使用の禁止」、「第三者提供の禁止」、「安全管理措置」、「保有個人データの取扱い」といったのポイントがあります。

法的な規制を守るだけではユーザの反発を受けることも

法的な規制は最低限のレベルです。「個人情報保護法」で保護される「個人情報」は範囲が狭すぎますし、「プライバシー」が規定する範囲はあいまいです。「法的」な規制を形式的に守るだけでは、ユーザーの反発を受けることが起こりえます。それを回避するためには、どんな人がサービスを利用するのか、想像力をはたらかせて、その人たちが後から知って「いやだな」「気持ち悪い」と思うかもいしれないようなことであれば、予めちゃんと明示して同意を得ておきましょう。ユーザーテストを行うことが必須になるでしょう。

ウェブサービスを運営する上では、「個人情報」だけに限らず、「人に関する情報」、 「プライバシー」に対する配慮する姿勢をみせることが不可欠になってくることが考えられます。その上で、その情報を守るためにセキュリティ対策を行い、情報の保護することがサービスへの信頼につながってくる、ということなどをお話いただきました。

 

2時間目:知識をつけ、ユーザの立場にたってプライバシー、セキュリティを考える

続いて、高橋氏によるセキュリティとプライバシーのお話を伺いました。せっかく立ち上げたサービスがプライバシーやセキュリティの問題で運営をやめることになってしまったりしてはとても残念なので、そうならないように知識をつけ、対応しようというメッセージから2時間目はスタート。

情報セキュリティインシデントに関する調査報告書によると、昨年上半期だけで「807件」のインシデント件数(情報管理やシステム運用に関して保安上の脅威となる現象や事案)があり、「208万5566人」の人々の情報が漏洩し、「573億1642万円」もの損害賠償総額が想定されているそうです。何かしらのトラブルが起こる可能性は充分にあり、トラブルが発生したときに備えてセキュリティやプライバシーに対しての知識は必要だと、高橋氏はおっしゃいました。

大企業ではプライバシー委員会を作ってユーザプライバシーの保護をアピールしたり、CSO(Chief Security Officer)といった役割を設け、対応を実施したり、多くのリソースを割いています。ただ、起業直後に同じように対応することは難しいため、スタートアップの経営者には「最低限の知識を身につけること」、「専門家に相談すること」、「少しだけ記事を気にすること」などから始めてほしいとのことでした。(プライバシーに関しては先程の雨宮さんの内容と、こちらの記事をご参考ください。)

プライバシーはセクハラに似たところがあります。というのは、何をもってセクハラとするかが個人の感覚によって異なるように、プライバシーが侵害されているかどうかも、人によって感覚が異なってくるものだからです。そのため、利用規約が大事になってきます。予め同意をとっておき、嫌だったら使わなければいいよね、という状態を作っておかなければいけません。セキュリティについても、ユーザの立場になって考えるクセをつけることが大事です。知識をつけ、外部の専門家に相談しながら対策していってください。

最後に、「プライバシー・セキュリティについてベンチャーが考える50のこと」というチェック項目の一部を共有して、高橋氏の講義は終了しました。

クリックすると拡大します。

3時間目:パネルディスカッション

最後は、OpenIDファウンデーション・ジャパンの山中進吾氏を交え、パネルディスカッションを行いました。パネルディスカッションに入る前に山中氏によるセキュリティやプライバシーに関してお話していただきました。

みなさんは車にブレーキがついている理由はご存知ですか?ブレーキは止まるためではなく、速く走るためのものなのです。ブレーキがなくてはスピードを上げていくことはできませんから。セキュリティやプライバシー対策は、いわばブレーキなんです。 企業の成長やイノベーションのためには、性能の良いブレーキを整備することが重要です。

そもそも、利用規約という日本語ではなく、「サービス定義」という単語が適切なのではないか、とも山本氏はおっしゃいました。「Terms of Use」というより、「Terms of Service」なのではないかと。このほかにも、セキュリティ対策やプライバシー保護は「おもてなし」の一部であり、この対策をしっかりと行なっていくことも、User Experience(UX)のためには大切なこと、ユーザに対する思いやりの心を持ってほしいといったメッセージもいただきました。

パネルディスカッションでは、専門家から見て、スタートアップの人たちへのアドバイスとして、ある程度サービスを作りこんでローンチ前に相談を受けることが多いので、もう少し早い段階で相談してほしい、という話などが行われました。利用過程でユーザがどう感じるかに対して、イメージが不足しているのでは?となる疑問に感じることが多いため、サービスを作っていく段階でユーザテストを行うことを推奨しているとのことでした。

今回のスクールを通じて、プライバシー、セキュリティに対して意識を高め、最低限の知識をつけて、対応を行うこと。それがサービスのユーザの安心感を高めることにつながり、UX的にも重要なことであるというメッセージが会場の参加者に向けて投げかけられていました。

最後に、いつもの通りMeetupイベントを開催し、第4回のTokyo Startup Schoolも無事終了いたしました。ご来場くださったみなさま、ゲストとして登壇してくださったお三方に感謝いたします。今回開催したセキュリティ、プライバシーに関するイベントは引き続き、何かしらのかたちで行なっていく予定です。また情報があり次第、お伝えしていきます。

----------[AD]----------