【Global Transparency Initiative】ステータスアップデート

2018年8月30日

Kaspersky Labは2017年10月、Global Transparency Initiativeを発表しました。当社には隠すものなどないこと、したがってお客様の信頼を損ねるようなことはないことを、言葉だけでなく行動で証明するための取り組みです。


当社はこれまで、さまざまなメディアによる、不正行為を為したとするいわれなき主張に直面してきました。こうした主張を裏付ける事実は何一つありませんが、それでも、Kaspersky Labが信頼に足る企業であることを証明することは当社の責任であると考えます。当社が信頼に値することの根本たる理由、それがGlobal Transparency Initiativeです。

この取り組みの進捗は、この記事を更新する形で随時お知らせいたします。

※更新情報:2018年8月2018年11月2019年4月2019年7月2019年8月

なぜスイスなのか

スイスを選んだのには、いくつか理由があります。スイスは欧州の中心部に位置する一方で、EUには加盟しておらず、自国で意思決定のできる独立した国家です。Global Transparency Initiativeの原則の1つは当社の独立性を示すことであることから、取り組みを開始するにあたってこれ以上ない場所です。

スイスはIT分野で革新的かつ高度であることでもよく知られており、当局からのデータ処理要求に関して厳格な規則を有することでも有名です。したがって、当社のユーザーデータは、世界で最も安全な場所の1つにて保管され、処理されることとなります。

Global Transparency Initiativeのステップ

Global Transparency Initiativeの他の要素も進行中です。

当社では、最初のTransparency Centerをスイスに開設する計画です。現在、設備の設置を進めており、チューリッヒのデータセンターにてデータ処理を開始する準備が整い次第、開設の予定です(今年終盤を予定)。
※最初のTransparency Centerが開設されました(詳細

このほかに目指しているのは、ソフトウェアおよび脅威検知ルールデータベースのアセンブリラインの移転です。ただし、ユーザーデータに対する不正アクセスの懸念に対処することを優先し、アセンブリライン移転に関してはデータ移転プロセスを開始してからの着手となります。

また、その他国々のユーザーデータ処理を担う施設の移転も決定しています。この移転はかなり複雑なプロセスであるため、お客様の保護にできるだけ混乱が生じないよう、漸次の実施とする判断を下しました。したがって、欧州のユーザーデータを処理する設備について移転が完了したのちに、その他国々のユーザーデータ処理設備の移転に着手します。
※移転プロセスが開始され、欧州市民に関しては2019年内に完了見込みです(詳細

第三者によるコードとプロセスのレビューについても、現在は適任であるパートナーを探している段階であり、このデータ移転後に開始します。
※パートナーとの契約が行われました(詳細

Global Transparency Initiativeの実施は、当社にとって非常に重要です。この長期にわたるプロジェクトに時間と労力を注ぐことは、Kaspersky Labの完全な透明性、および独立性を証明するために不可欠であり、当社の信頼性を裏付ける理由たるものと確信しています。当社の透明性への取り組みに関する活動を一か所でご参照いただけるように、Global Transparency Initiativeに関して新たな展開があった場合には、この記事を追記・更新していきます。また、Transparency Centerに関するWebサイト(英語)もあわせて追記・更新します。

【進捗情報】2018年8月29日現在

進捗は良好であり、今年春には、取り組みの一環としてバグ報奨金プログラムの報酬を最高10万ドルへ引き上げました。本プログラムは、当社製品の安全性と信頼性を高めるのに貢献しています。これ以外にも、Global Transparency Initiativeの次段階として、欧州のユーザー処理の移転に必要な機器の導入が開始されました。

Kaspersky Labはまた、当社サーバーのホスティングに関する設備の提供について、欧州のプロバイダーであるInterxion および NTS と契約を交わしました。公的セクター・民間セクターのステークホルダーが表明した、ユーザーデータに対する不正アクセスの懸念に対処するため、データの収集、処理、保管に必要な新規インフラを、2018年末までにスイスのチューリッヒに設立します。欧州のユーザーに関するデータの処理および保管については今年中に移転を開始し、その他国々のユーザーに関するデータも追って移転を開始します。欧州諸国に関しては、2019年第4四半期にデータ移転完了の予定です。

【進捗情報】2018年11月14日現在

2018年11月13日、最初のTransparency Centerが公式に開設の運びとなりました。当社製品のコード、ソフトウェア更新、脅威検知ルールのレビューを、信頼できるパートナーの皆さまにご覧いただけるようになります。

また、欧州でカスペルスキー製品をお使いのお客様より共有された悪意あるファイルおよび不審なファイルの処理を、チューリッヒに在する世界水準のデータセンター2か所にて同日より実施します。

また、Kaspersky Labは、脅威検知ルールデータベースの作成および配信に関わる当社のエンジニアリング手法が最高の業界セキュリティ慣行に則していることについて第三者による確認を得るため、SSAE 18の下での監査の実施について4大監査法人の1社と契約を交わしています(リンク先は英語)。

【進捗状況】2019年4月4日現在

2019年4月2日、2番目となるTransparency Centerの開設を発表しました。Kaspersky Labの製品および技術に関してより多くの情報を提供する目的で、スペインのマドリードに6月開設予定です。同Transparency Centerはまた、当社製品のポートフォリオ、エンジニアリング手法、データ処理手法に関する情報を来訪者へ提供する、ブリーフィングセンターとしての役割も担います。2020年までにアジアおよび北米でTransparency Centerを開設する計画についても進行中です。

当社のデータ処理インフラの移転も、順調に進んでいます。データ受理インフラはすでにスイスへ移転済みであり、データ保管インフラの移転に関しても第2四半期末までに終了する計画です。欧州のユーザーに関するデータ処理に関しては、2019年末までに完全移転することを見込んでいます。

このほか、ロシアの法律について、またこうした法律がKaspersky Labにどのように適用されるかについて、有志の第三者による法的アセスメントを実施し、その結果を公開しました。本アセスメントは、スウェーデンのウプサラ大学の国際投資貿易法教授であり、ロシア法に精通するKaj Hober博士によって実施されました。主な結果は以下のとおりです。

  • Kaspersky Labはロシア連邦保安庁(FSB)より協力を要請される可能性はあるが、これに従う義務はない。
  • 実動・捜査活動に関しFSBへの支援を義務づける法の適用対象は、電気通信サービスを提供する企業に限られ、Kaspersky Labはこれにあたらない。
  • ロシア国内にデータを保管すること、またこれらデータおよび暗号化キー(データ復号用)のFSBへの提供を企業に強制する法の適用対象は、インターネットサービスプロバイダーに限られ、Kaspersky Labはインターネットサービスプロバイダーではない。

さらに、当社のバグ報奨金プログラムの対象製品として、Kaspersky Password ManagerとKaspersky Endpoint Security for Linuxが追加となりました。本プログラムを通じてこれまでに50以上のバグが発見・報告され、支払われた報奨金の総額は17,000ドルを超えています。

【進捗状況】 2019年7月23日現在

2019年6月、Kasperskyのお客様およびパートナー様向けに、2番目となるTransparency Centerをマドリードに開設しました。2020年末までには、少なくとも3番目のTransparency Centerを開設する計画です。

このほか、Global Transparency Initiative の重要なパートである、Kasperskyのサイバーリスクマネジメント統制に対する第三者によるService Organization Controls(SOC2 Type 1)監査が完了しました。WindowsおよびUnixサーバー向け製品の定義データベースの定期的な自動アップデートに関する管理統制について、4大監査法人の1社が監査を実施し、これら定義データベースの開発およびリリースが不正な変更から保護されていると結論づけました。この結果は、当社製品の安全性と信頼性を新たに裏付けるものです。本報告書は、要望に応じて当社のお客様および規制当局者様向けに開示が可能となっています。

さらに、当社のバグ報奨金プログラムの拡大を継続しており、このたびDisclose.ioプロジェクトへの参加を果たしました。これにより、当社製品の脆弱性を調査するリサーチャーの皆さまにセーフハーバーを提供し、リサーチャーの皆さまに対して法的措置をとらないことを保証するものです。Disclose.ioへの参加に関しては、こちらの記事をご確認ください。

【進捗状況】2019年8月21日現在

今月、3番目となるTransparency Centerの開設を発表しました。2020年の早い時期に、マレーシアのサイバージャヤに開設予定です。この施設は、すでに開設したチューリッヒとマドリードのTransparency Centerと同様に、当社のパートナー企業や政府関係者が当社製品のソースコードを確認することができる場となります。また、マレーシアのサイバーセキュリティ専門の国家機関であるCyberSecurity Malaysiaが、同センターの場所を提供します。

当社CEOのユージン・カスペルスキー(Eugene Kaspersky)は、これがKasperskyにとってAPAC地域初のTransparency Centerであり、当社の製品および技術に関してより多くの情報を求めるパートナー企業や政府機関のステークホルダーの声に応えることを目的としたGlobal Transparency Initiativeが順調に進んでいることを示すものであると述べています。