透明性
Kaspersky Labは数ヶ月前、Global Transparency Initiativeの立ち上げについて発表しました。同取り組みの一環として、今年春には、バグ報奨金プログラムの報酬を最高10万ドルに引き上げました。このたび、Global Transparency Initiativeの次なるステップとして、当社インフラの一部、すなわち「ソフトウェアアセンブリライン」 およびKaspersky Security Network(KSN)データの保管と処理を担うサーバーをスイスのチューリッヒに移転し、また、最初のTransparency Centerをチューリッヒに開設することをお知らせします。
この取り組みの目的および重要性をご理解いただくため、一問一答形式でご説明します。
アセンブリラインとKSNデータの移転とはどういうことか?
カスペルスキー製品および脅威検知ルールの更新データのコンパイルと作成を担う当社のビルドシステム(アセンブリライン)が、チューリッヒに置かれることとなります。当社ソフトウェアは、スイス国内で第三者組織による監督の下でコンパイルおよびデジタル署名が行われた後に、お客様へ提供されるようになります。
また、欧州、北米、オーストラリア、日本、韓国およびシンガポールに在するお客様のKSNデータの処理および保管を行うサーバーをチューリッヒに移転します(他の国々のデータも今後追加予定)。このデータの処理および保管も、同様に第三者組織による監督の下で実施されます。
アセンブリラインとKSNデータを移管することの意味とは?
当社のデータ処理およびソフトウェア開発インフラは、現時点でも極めて高いレベルで保護されていますが、当社では保護レベルの向上に取り組み続けています。サプライチェーン攻撃に対するレジリエンスおよびお客様への透明性を向上させるためには、ソースコードがTransparency Center内でレビューを受けること、そして、レビュー済みのコードが実際に製品としてコンパイルされた上でお客様へ出荷されるようにすることが重要です。コンパイルとデジタル署名の機能をスイスへ移転する理由は、そこにあります。
KSNによって処理されるデータについても同様です。独立した組織による監督の下、スイス国内でKSNデータを保管するということは、すなわち、データに対するアクセスはいかなるものも細心の注意をもって記録されるということです。記録されたログは、必要なときにいつでもレビュー可能です。
Transparency Centerとは?
Transparency Centerは、信頼できるパートナーおよび政府のステークホルダーが、当社製品のソースコードおよび当社が使用するツールをレビューするための施設です。Transparency Centerにてアクセス可能となるものは以下のとおりです。
- 安全なソフトウェア開発に関する文書
- 公にリリースされた製品(旧バージョン含む)のソースコード
- 脅威検知ルールのデータベース
- 欧州および北米地域に在するお客様のデータの受信と保管を担うクラウドサービスのソースコード
- 製品(ビルドスクリプト)、定義データベース、クラウドサービスの作成に使用されるソフトウェアツール
こういった取り組みをなぜ実施するのか?
Global Transparency Initiativeの一番の目標は、当社の製品、アップデート、脅威検知ルール、データストレージ等の完全性に関して、当社の言葉による説明を必要としないレビュープロセスを確立することにあります。関連の専門知識および専門技能を有する政府組織あるいは民間組織の責任あるステークホルダーが、当社製品が期待どおりに動作することを確認可能となります。
Kaspersky Labがルールを遵守していることを誰が確認するのか?
チューリッヒのTransparency Centerにおける製品およびビジネスプロセスの信頼性を、第三者組織が査定する予定です。同組織は可能な限りのアクセスを有します。同組織の機能は以下のとおりです。
- KSNを通じて受け取りスイスのデータセンターに保管される製品メタデータに対する、Kaspersky Lab社員によるアクセスの監視および記録
- ソースコードレビューの体系化および実施
- カスペルスキー製品の信頼性を査定および検証するためのその他タスクの実施
Kaspersky Labは、当社のみならずパートナーおよび参加を希望するメンバーのためにこの責任を負う、新たな非営利組織の設立を支援します。この監督組織とTransparency Centerは、完全に別の独立した組織です。
なぜスイスなのか?
スイスを選択したのには2つの理由があります。まず、スイスは永世中立の政策を2世紀にわたって維持してきた国であること。次に、スイスには強固なデータ保護法が存在することです。当社の極めて重要なインフラの一部を移転するには申し分のない土地と考えます。
ほかにもTransparency Centerを開設する予定はあるか?
2020年までに、北米およびアジアにもセンターを開設する計画です。しかしながら、詳細についてはまだお話しできる段階ではありません。
移管はどのくらいの期間で行われるのか?
移管には時間がかかることでしょう。アセンブリラインの移転は比較的容易であり、2018年末までには完了すると見ています。データ処理インフラの構築については、数十のサービスをモスクワからチューリヒへ移転し、実装する必要があります。こちらのプロジェクトは始動段階であり、完了は2019年末を予定しています。
当社の知るかぎり、このような取り組みを進めるソフトウェア企業は当社が最初です。先駆者としての取り組みである以上、複雑で困難なプロセスではありますが、今こそソフトウェア開発を透明化する時期であり、遅かれ早かれすべての企業が同様の取り組みを実施しなければならない時が来ると、当社は強く確信しています。この点において、最初に事を為すことは当社にとってアドバンテージであることでしょう。
本取り組みの更新情報については、こちらの記事をご覧ください。
Kaspersky Labは、サイバーセキュリティ業界の透明性、協力体制、信頼をトピックとしたCyber Security Future Summitをオンライン開催いたしました。以下のリンクより、録画をご覧いただけます。
※英語での開催です。
※ご覧いただくには、BrightTALKへの登録が必要です。
ヒント