タグ: セキュリティ

  • 書評|もう、はじまっている新しい戦争|”Sandworm” by Andy Greenberg

    書評|もう、はじまっている新しい戦争|”Sandworm” by Andy Greenberg

    戦争のイメージって飛行機や戦車が実弾を撃ったり、ミサイルが飛んで街を破壊したり人を殺したりですよね。もちろん、そういう戦争が起きる可能性はゼロではないですし、物理的な破壊兵器は今でも作られ続けています。物理的な攻撃の主なターゲットは相手の兵器もそうですが、発電所や工場などの重要施設となります。ですから、電子機器をショートさせてインフラを破壊するミサイル攻撃「電磁パルス」が脅威とされるのです。

    北朝鮮が示唆する「電磁パルス攻撃」という脅威──それは本当に「全米を壊滅」させる力があるのか|WIRED.jp

    しかし、実施にインフラを機能不全にさせるためにミサイル攻撃は必要ありません。サイバー攻撃で敵国のインフラを沈黙させることができるからです。Wiredの記者であるアンディ・グリーンバーグはWired誌でずっとロシアのサイバー攻撃を調べて記事にしてきました。今回紹介するアンディ・グリーンバーグの”Sandworm”は、これまで彼が調べてきた新しい戦争であるサイバー戦争の成り立ちをロシアのサイバー攻撃部隊であるサンドウォームを中心に描かれています。

    サンドワーム ロシア最恐のハッカー部隊 (角川新書)

    サンドワーム ロシア最恐のハッカー部隊 (角川新書)

    • 作者:アンディ・グリーンバーグ
    • KADOKAWA

    Amazon

    Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers (English Edition)

    Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers (English Edition)

    • 作者:Andy Greenberg
    • 出版社/メーカー: Doubleday
    • 発売日: 2019/11/05
    • メディア: Kindle版

    サンドウォームと聞いてピンときた人はかなり映画が好きですね、しかもSF映画が。そうです。フランク・ハバートの同名のSF小説を原作とする映画『デューン/砂の惑星』に出てくるアレです。「アラキス」など同小説/映画に出てくる名前を多用するためにそう呼ばれるようになりました。

    前半はロシアとウクライナの紛争の歴史、ロシアの他国へのサイバー攻撃の歴史、アメリカのインフラを対象としたサイバー攻撃の歴史を紹介しています。一夜にしてサイバー戦争が起きたわけではなく、長い歴史の上に成り立っているものなのですね。

    本書でメインの舞台となっているのがウクライナです。ウクライナって日本の人たちにはどんなイメージなんですかね。欧米の人たち(特にIT関連の人たち)にとっては主要なアウトソース先の一つです。最近だとMake It in Ukraineというサイトで簡単にウクライナの開発者やデザイナーが集められます。でも、日本でウクライナに発注すると「え?大丈夫なの?」ってよく言われます。まあ、打ち合わせに現地に行きたくないですが、仕事を依頼するのは全く問題ないですよ。頑張って欲しいですしね、ウクライナの人たちには。

    ウクライナの歴史はロシアからの迫害の歴史です。コサック・ダンスホパーク)ってロシアのイメージがあると思いますが、ウクライナですからね。チェルノブイリ原発事故もウクライナですから。現代だと「ウクライナ人へのジェノサイド」とも言われるホロドモールからオレンジ革命リトル・グリーンメンなどロシアのウクライナに対する迫害と嫌がらせは年季が入っています。この本の軸となる一つがこのウクライナとロシアの対立の歴史です。

    もう一つの軸となるのがサイバー攻撃の歴史です。サイバー攻撃の中でも発電システムなどインフラへの物理的な攻撃に焦点を当てています。サイバー攻撃で物理的な効果を狙った実験がアイダホ国立研究所による「オーロラ発電機テスト(Aurora Generator Test)」でした。このテストの様子はCNNが映像記録を残しています。このサイバー攻撃は発電所で使われる保護継電器の脆弱性を狙ったものでした。

    アメリカでは実験にとどまらず、サイバー攻撃のインフラへの物理的な攻撃利用で実用化します。それがスタックスネットでした。こちらはシーメンスのPLCをターゲットとしたマルウェアで、エドワード・スノーデン がアメリカの国家安全保障局(NSA)とイスラエルの8200部隊が共同開発したものだと暴露しました。このスタックスネットはイランの核施設攻撃に利用されました。インフラへのサイバー攻撃の懸念は土屋大洋さんコラムで書いていますね

    三本目の柱がロシアのサイバー攻撃の歴史です。アンディー・グリーンバーグによれば、アメリカ政府は中国のサイバー攻撃は知的財産を盗むことを目的としているが、ロシアのサイバー攻撃がインフラの物理的な攻撃を目的にしていると認識しているそうです。つまり、ロシアのサイバー攻撃はこれまでの物理的な戦争の延長線上にあります。ロシアは2007年にエストニアを情報的に孤立させた世界初の戦争の延長戦としてのサイバー攻撃から立て続けに、2008年のジョージアとの南オセチア紛争でもサイバー攻撃を活用しています。これがウクライナでのサイバー攻撃による大規模停電へとつながっていきます。

    これまでの戦争の延長線上としてのサイバー攻撃であれば、アメリカとロシアはお互いを仮想敵国としているので、水面下でたくさんの小競り合いが起きるわけです。つまり、既に戦争ははじまっています。その代表的なものが2015年と2016年のロシアによるアメリカ民主党全国委員会のネットワークへの侵入です。そして、衝撃的なのがスタックスネットを開発した国家安全保障局(NSA)ハッキングしてNSAの機密文書だけでなく攻撃ツール類まで公開したことでした。

    参考:NSAの天才ハッカー集団がハッキング被害、官製ハッキングツールが流出

    ロシアはサイバー攻撃の部隊”Sandworm”を中心に物理的な攻撃も可能なツールをどんどん開発して、洗練化させていることがこの本では紹介されています。

    この本はどんな人にオススメか

    コンピューターのセキュリティーに興味がある人はまずオススメです。ここで紹介したこと以外でも、多岐にわたる多くのセキュリティーに関する事件や事例が取り上げられています。

    あと、ロシアという国を知るテキストとしてもオススメです。以前紹介したロシアを含めたオイルビジネスを描いた”Blowout”もそうなのですが、少なくともプーチンのロシアは日本に北方領土を返す気なんて1mmもないだろうなと思うのです。ものすごいタフな国なんですよ。正攻法ではどうにもならない。おそらく日本政府の方々はその辺を理解した上で、いろんなスタンドプレーを国民向けにやってると思うんですよね。でも、それって茶番じゃないですか。もっと裏技を考えた方がいいんじゃないですかね。

  • 書評|データとプライバシーにまつわる企業と政府の関係|”Tools and Weapons” by Brad Smith

    書評|データとプライバシーにまつわる企業と政府の関係|”Tools and Weapons” by Brad Smith

    楽しみにしていたエドワード・スノーデンの自伝”Permanent Record”があまりにそのまま「自伝」で肩透かしにあってしまいました。核心部分だけ知りたい人は映画『スノーデン』を観れば十分でしょう。”Permanent Record”はスノーデン個人にとても興味ある人向け。まあ、印税が入ることで少しでも彼の生活の助けになればとは思います。

    “Permanent Record“がハックした側(政府)の告白だとすれば、ハックされた側(テック企業)が何を考えて、どのような行動をしたのかがわかるのがマイクロソフトの法務担当のプレジデントであるブラッド・スミスの著書“Tools and Weapons”です。

    Tools and Weapons: The Promise and The Peril of the Digital Age (English Edition)

    Tools and Weapons: The Promise and The Peril of the Digital Age (English Edition)

    Permanent Record

    Permanent Record

    ボク自身、司法省との裁判の頃、マイクロソフトに所属していました。ブラッド・スミスは前面に立って様々なメッセージを社内外に向けて発信していました。企業に所属する法律家で世界的に最も有名な一人ですし、大企業を代表して企業と政府の関係性を作ってきた人です。

    「データは新しい石油」だと言われます。世の中にはスタートアップに適したビジネスとそうでないビジネスがあります。石油業なんて代表的なスタートアップに適さないビジネスですね。莫大な資本が必要となります。AWS、AzureやGCPのようなクラウド業も同様にスタートアップに向きません(DigitalOceanという例外はありますが)。データセンターの構築には多額の投資が必要となるからです。どれだけベンチャーキャピタルがお金を集めても足りません。

    スノーデンの衝撃

    データセンターの運用にお金がかかるのは単にサーバーの調達費用や運用コストだけではなく、セキュリティーにも細心の注意を払わなければいけないからです。“Tools and Weapons”の序盤ではマイクロソフトがどれだけセキュリティーに注意を払っているのか解説されています。

    アメリカ政府がグーグル、フェイスブック、マイクロソフトなどのテック企業のデータを使って監視しているというスノーデンの告発は世界に衝撃を与えました。そして、その告発はデータセンターを運用している企業にとっても衝撃でした。少なくともマイクロソフトは政府にそのようなデータを提供していない。なぜそんなことが起きるのか?マイクロソフトの見解としてはデータセンターの外にある通信ケーブルをタッピングされていた可能性が高いそうです。データセンターのセキュリティーは守っていたが、データセンターの外の通信までは考慮が足りていなかった。多くのテック企業はスノーデン後に全ての通信を暗号化することに決めました。

    ブラッド・スミスは言います。

    「スノーデンがヒーローなのか裏切り者なのか、人によって見方は違う。ただ一つ言えることは、スノーデンは世界を変えた。そして、スノーデンは自分たち(テクノロジー会社)も変えた」

    データとプライバシーをめぐる政府との駆け引き

    “Tools and Weapons”では利用者データをめぐる政府との関係を詳しく解説しています。データは企業にとって確かに新しい石油であり、利益の源泉です。しかし、データはユーザーの持ち物であり、データセンター運営者はその管理者でしかない。少なくともマイクロソフトはそう考えています。ちなみに、マイクロソフトのAzureでAI関連のサービスを使ったとします。AIにとって学習データはとても重要です。Azureでは学習データは開発者が所有します。グーグルのGCPの場合、グーグルが所有します。データの所有に関する考え方はテック企業共通のコンセンサスってないので注意が必要です。

    基本的人権はアメリカ合衆国憲法を補完する権利章典(Bill of Rights)の中でを規定されています。マイクロソフトは個人データを守るのは基本的人権だと考えています。権利章典の修正第4条(Fourth Amendment)で基本的人権である個人の所有物に関する政府の捜査・押収について規定されています。

    アメリカ政府はデータセンター運用会社にデータを請求することができます。無条件にできるわけではなく、特定の用途のために特定の手続きが必要となります。それを定めている法律の一つが外国情報監視法です。外国情報活動監視裁判所(FISC:United States Foreign Intelligence Surveillance Court)の令状が必要になります。

    では、データ公開を誰に請求するのか?マイクロソフトの立場はデータはユーザーのモノです。政府はデータセンター運用会社であるマイクロソフトではなく、まずユーザーに許可を得る必要があるというのがマイクロソフトの考え方です。しかし、政府はそれをユーザーに知られたくない。そこで口外禁止令(Gag Order)を発行します。ユーザーの権利を守るためにマイクロソフトは司法省を提訴します。個人情報を守るのは基本的人権の一つで、政府は口外禁止令を乱用しすぎですよと。

    もちろん、企業の社会的責任として国家安全のために協力をしなければいけません。ウォールストリート・ジャーナル記者のダニエル・パール誘拐殺人事件では犯人がマイクロソフトのメールサービスを利用していたことからFBIの捜査に協力しました。しかし、同時に時代にあったルールも必要だとブラッド・スミスは考えています。電子データのプライバシーに関する法律の一つが電子通信プライバシー法(ECPA)ですが、ブラッド・スミスはこれも時代にあった改善が必要だと訴えています。

    国をまたがるデータ

    マイクロソフトのような巨大サービスを運営している企業にとって、ユーザーはアメリカだけでなく世界中に広がっています。データセンターもアメリカだけではなく、世界中にあります。データはアメリカの政府だけでなく、各国の政府から提供を要請されます。そのため、マイクロソフトはデータセンターをどこに置くかも慎重に検討しなければいけません。単に安いとか、運用しやすいだけが判断基準ではなく、基本的人権を守れるかどうかも重要な判断基準となります。アイルランドはデータセンター拠点として人気があります。税制のメリットが受けられますし、気候もデータセンターに適しています。それだけでなく、データの扱いに関する法律がマイクロソフトの考え方に合致していることが大きかったとブラッド・スミスは振り返ります。

    国をまたがったデータの取引協定に刑事共助条約があります。しかし、強制力があるものでもないし、完璧でもありません。シャルリー・エブド襲撃事件など迅速に政府と企業が協力体制(マイクロソフトは45分で情報提供要請に応える)を組めることもありますし、個人データの提供をめぐりブラジルでマイクロソフトの役員が逮捕されることもあります。

    この本はどのような人にオススメか

    監視資本主義の時代だと言われています。個人データは誰のものなのか?フェイスブックやグーグルなどデータを独占する企業が独禁法違反の疑いで捜査を受けています。データに関してはテック企業と政府だけでなく、ユーザーの権利も関わってくるのでなかなか複雑です。それを知る上でも”Tools and Weapons”は適切なテキストと言えます。

    いまは私たちのプライバシーを守る法律は整備されている状態ではありません。企業と政府が試行錯誤をしている状態です。当然ながら企業の間でもコンセンサスがないため、それぞれの企業の理念に基づいてバラバラに行動しています。そんな中でもアップルやマイクロソフトはプライバシーに関してはユーザー寄りに立っていると言われています。ユーザーが自衛できるのは使うテック企業を選ぶだけです。メディアリテラシーも必要ですが、いまはプライバシーリテラシーも必要な時代なんだと思います。そういう上でも、本書はとてもオススメです。

  • スタートアップ国家エストニアの脆弱性

    スタートアップ国家エストニアの脆弱性

    エストニアでマネーロンダリング(資金洗浄)が行われている疑いがあるとして、世界を騒がせています。ノルウェーのダンスケ銀行のエストニア支店を通過した約26兆円に相当する資金が疑わしい取引であったということです。いま、このスキャンダルはドイツ銀行やウェルス・ファーゴなどほかの銀行にも広がっています。

    事件の概要

    一般的には外国人が銀行口座を作るのはとてもハードルが高いです。顧客確認(KYC: Know Your Customer)が厳しいのも資金の不正な流通を妨げるためですが、今回の事件ではこれが機能していなかったということになります。事件の概要はこうです。

    • ロシア通貨ルーブルは国際的に流通需要が少ないソフトカレンシーな上、価値の変動が激しい。このため、資産を守るためにユーロや米ドル、英ポンドのようなハードカレンシーへの換金需要がある。しかし、ハードカレンシーへの換金は法律で制限されている。
    • ロシアではそもそも非合法な手段で得たり、出所が不明瞭な資金が多い。そのようなお金はマネーロンダリングして、きれいにしないと使えない。
    • 資金を国外に移動して洗浄したい人は、エストニアに口座を持ち、そこに粉飾見積もりの差額を業者に入金してもらう。
    • エストニア口座に入金した資産を、イギリスの口座に移し、さらに英領バージン諸島など転々とさせる。

    マネーロンダリングに関しては猫組長の『猫組長と西原理恵子のネコノミクス宣言』が読みやすくて面白いのでお勧めです。

    猫組長と西原理恵子のネコノミクス宣言 完全版

    猫組長と西原理恵子のネコノミクス宣言 完全版

    eレジデンシー(仮想住民制度)とマネーロンダリングの関係

    エストニアはスタートアップ的な国家として様々な先進的な施策を実施してきました。その中心となっているのがエストニアに居住しなくてもエストニアで起業できるeレジデンシー(仮想住民制度)の仕組みです。このeレジデンシーがはじまったのは2014年からですが、問題となっている資金洗浄はそれ以前(わかっているだけで2007年)からありました。そのことからもわかるように、エストニアの先進的な取り組みと今回の事件が直接的に関係しているということではなさそうです。それでも、今回の事件でエストニアのイメージ低下は避けられそうにありません。

    捜査はアメリカ、イギリス、フランスなど国をまたいで行われていて、今回のスキャンダルの全容はまだ明らかになっていません。これが単に濡れ衣なのか、本質的に何か脆弱性があるのかわからないため、エストニアも風評被害を抑えようとしています。

    経済大臣のViljar LubiはMediumでeレジデンスの仕組みは資金洗浄が難しい理由を解説するブログポスト”Here’s why money launderers are disappointed with e-Residency“を発表しました。要約するとポイントは以下の四つです。

    • 申請者は警察による身元確認が行われ、IDカードを受け取るためには警察やエストニア大使館など所定の場所で本人が受け取らないといけない。
    • デジタルIDカードを使ってエストニアで企業を設立するのと、一般のエストニア市民がエストニアで企業を設立するのと違いはない。エストニアでライセンスを持つ代表者を立ててマネーロンダリングを含むリスクを開示しなければいけない。
    • 仮想住民がエストニアで銀行口座を開設する場合も同様にそれぞれの銀行でエストニア市民と同じ審査が適用される。
    • エストニアの商法に違反した仮想住民はその権利をはく奪される。

    エストニア政府のeレジデンシー(仮想住民制度)とマネーロンダリングは関係ないという主張はおおむね合理的だと思います。ただ、それはベースとなるエストニアの金融制度や法整備に問題がないことが前提となっています。今回の事件はeレジデンシー(仮想住民制度)のベースとなる根本的なエストニアのビジネスインフラに関して疑問符がついてしまった形になっています。ここからきちんと信頼回復をしていかないと、スタートアップ国家としてのエストニアブランドは厳しいことになりそうです。

  • インターネットのビジネス再入門|中編:インターネットの「石油」を規制する動き

    インターネットのビジネス再入門|中編:インターネットの「石油」を規制する動き

    前回の『インターネットのビジネス再入門|前編:インターネットの広告をちゃんと理解する』ではインターネットのビジネスの側面を支える広告について改めて振り返りました。インターネットが「道」であれば、情報やサービスは「クルマ」、そして広告はその「燃料」であり「石油」でしたね。

    今回はインターネットで利便性と個人情報を等価交換する「広告」のバランスが問われているという話です。悪用させないように規制がはじまっています。

    前回のまとめ

    インターネットを使ってビジネスをする限り、この仕組みの上に成り立っています。なぜなら、GoogleやFacebookというトラフィック(交通量)に依存しなければインターネットのビジネスは成り立たないからです。そして、ユーザーはその対価として個人情報をサインアップやCookieを通じて提供しています。お金ではなく、自分の情報で対価を支払っています。

    Ghosteryというブラウザのプラグインがあります。これを入れると、訪れたWebサイトがどのような追跡ツールを使っているかがわかります。例えば、朝日新聞のトップページは15の広告やソーシャルのトラッキングツールが使われていますし、読売新聞だと12です。このカタパルトスープレックス でも11のトラッキングツールが使われています。これらのトラッキングツールのほとんどはGoogle AnalyticsやAdSenseのような無害なものですので、それほど心配するものではありません。ただ、どれだけのデータが最終的にはGoogleやFacebookのようなプラットフォーマーや広告会社に提供しているのか知ることができます。GoogleやFacebookも慈善事業で便利ツールを配ってるわけではないですからね。

    個人情報規制の動き

    そうはいっても、無制限に個人情報をとっていいということにはなりません。インターネットの場合は特定のID(FacebookやGmailなど)やCookie情報から個人情報や行動情報を提供していますよね。

    ブラウザーでのトラッキング防止が搭載されはじめる

    Safari

    まず、ユーザー自身が気にしなくてもブラウザが自動的にプライバシーを保護してくれるような動きになっています。例えば、MacやiPhoneのブラウザであるSafariにはIntelligent Tracking Prevention(ITP)というトラッキング防止機能があります。簡単に言えばクロスサイトトラッキングを可能にするサードパーティーCookieの寿命を短くする機能です。最近のトラフィックの半分くらいはモバイルからですし、iPhoneでデフォルトのブラウザであるSafariでトラッキング防止機能がついたというのは大きなインパクトでした。

    Firefox

    FirefoxもQuantumからEnhanced Tracking Prevention(ETP)トラッキング防止機能がつきましたが、デフォルト設定ではオフとなっていました。しかし、これもデフォルトでオンとなる設定になりました。ETPもSafariのITPと同じでサードーパーティーCookieを自動的に検知して制限する機能ですね。

    Chrome

    そして、何と言ってもGoogleのChromeです。Googleの売り上げの85%以上は広告であり、ブラウザであるChromeはトップシェアを誇っています。Googleは2017年7月に”Improving advertising on the web“というブログ記事をChromium Blogに投稿しました。ここで明らかにされたのは「よい広告基準(Better Ads Standard)」に準拠しない広告はChromeでの表示を制限するようになるというものでした。

    この基準はCoalition for Better Adsという広告の業界団体が策定したものです。もともと「ポップアップ広告」などは好ましくない広告とされてきましたし、それに伴いブラウザではポップアップは制限されてきました。これに加えて、プレステイシャル広告や画面の大部分を占有する大きな広告が「好ましくない広告」とされました。Googleは自社の広告がこの基準に準拠しているかチェックできるツールを提供しています。

    とは言え、Googleは広告で生きている企業ですので、FirefoxやSafariのようにサードパーティーCookieを問答無用で切り捨てる訳にはいかないようで、だいぶソフトな対応だという印象はぬぐえません。しかも、日本ではこの機能は動いていません。この基準自体がヨーロッパとアメリカが対象なのでこれは仕方がないですね。

    日本の場合はGoogle謹製のデフォルト機能は使えないので、Ghosteryのようなサードパーティーツールを使い続けないといけないようです。あと、これはまた別の機会に書こうと思いますが、ついでにHTTP Everywhereも入れておくことをオススメします。Googleの呼びかけのおかげでSSLはかなり普及しましたが、それでもまだまだまばらだったりしますから。

    法律による規制

    オランダに移住した時にブラウザで表示される小さな画面がいろんなWebサイトでいつも表示されることに気づきました。このサイトではCookieの収集をしています。同意いただけますか?(Yes / No)というものです。日本でもこの表示を見かけるようになりましたよね。これはGPPRが施行され、その影響が日本でもあるからです。

    GDPRとは

    GDPR(General Data Protection Regulation)はEUの個人情報保護の枠組みで、日本語では「EU一般データ保護規則」と言います。この枠組みの範囲は多岐にわたるのですが、ビジネスとしてのインターネットにとって、Cookieを個人情報と捉えたところが非常にインパクトがありました。そして、このCookie制限は「eプライバシー規則(ePrivacy regulation|ePR)」によってさらに強化される予定です。

    GDPRでもCookie取得前にユーザーから同意を取る必要がありましたが、ePRではさらに多くの同意をユーザーから取得しなければいけなくなります。

    フェイクニュースとダークアド

    今回はCookieについて多く取り上げましたが、広告を規制する動きはCookieだけにとどまりません。問題は個人の趣味嗜好を特定して、その嗜好に合わせて広告を出すことです。え?それって悪いことなんですか?もちろん、正しく使われれば、とても便利ですし、UXも向上します。

    年齢など人口特性によるプロファイリングをデモグラフィック、住んでいる場所など地域特性によるプロファイリングをジオグラフィック、行動特性の場合はビヘイビアルという分類方法をマーケティングでは使います。

    そして特定のグループや個人の行動データを蓄積した心理的特性で分類することをサイコグラフィックといいます。そして、このようなサイコグラフィックの分類を使って大統領選挙などで活躍したのがケンブリッジ・アナリティカでした。他にもAggregateIQなどが有名です。

    例えば「このサイコグラフィックグループAは一定の政治的な考えを持つから、そのグループBにあった広告Aを表示しよう、別のサイコグラフィックグループBは別の政治的な考えを持つから、グループBには別の広告Bを表示しよう」ということができます。

    このようにサイコグラフィック属性を利用して異なる政治的なメッセージを出すことをダークアドといいます。プロファイリングをすること自体は問題ではないのですが、人工知能でマイクロセグメント化して数百の異なるメッセージを生成したら本当の主張がなんなのかわからなくなってしまいますよね。

    フェイクニュースと同じで、このダークアドに関してはまだまだ業界としても答えが出ていません。

  • 映画評『スノーデン』|エドワード・スノーデンから学ぶ自由

    映画評『スノーデン』|エドワード・スノーデンから学ぶ自由

    社会人になって読書や映画鑑賞から離れていた時期もありました。音楽もそう。CDをケースから出して、プレーヤーに入れる。ちょっとしたことなんだけど、億劫になってしまう。でも、インターネットとサブスクリプションモデルのおかげで、音楽や映画がまた身近なものになりました。これは良い知らせ(Good News)です。

    でも、良い知らせの裏には悪い知らせ(Bad News)もあります。多くの人は悪い知らせに気がついてませんでした。そのバッドニュースを目の前に出してくれたのがエドワード・スノーデンです。映画『スノーデン』は彼がどうやって(全てを失ってまで)私たちに悪い知らせを届けてくれたのかを描いています。

    www.netflix.com

    選択の自由とプライバシー

    この映画を観て改めて考えるのは「自由ってなんだろう?」ということです。エドワード・スノーデン本人はアメリカ政府の盗聴プログラムの善悪を判断していません。悪いとも言ってないし、いいとも言ってない。でも、人々はそれを知る権利があると考えました。自由というのは知った上で選択できることなのです。それが自由の全てではないにしても、自由であることの条件の一つではある。

    FacebookやGoogleを使うのはプライバシーの観点から確かに安全とは言えない。エンドトゥーエンドの暗号化が実装されているSignalの方がずっと安全です。メールとか最悪ですよね。安全に使おうと思ったらPGPを使うしかない(スノーデンた使っていたLavabitは2017年に再開したもののほぼ利用できず)。それでもFacebookやGmailを使うのは選択です。

    これが自由なんじゃないですかね。サイファーパンク宣言にもあるように「プライバシーは秘密主義とは違う。プライベートなことというのは世間に知られたくないことで、秘密というのは誰にも知られたくないことだ。プライバシーというのは選択的に自己開示する力のことをいう」ということなんだと思います。選択する自由。

    知ることで自由になる

    誰に覗き見されても構わない会話は普通のメールやFacebook Messenger、プライバシーが必要な会話はSignalという選択肢もあります。でも、それはFacebook Messengerはプライバシーに問題があるとか、Signalは他のチャットサービスと比較して安全という知識が必要になります。そもそも、会話が見られて分析されているという知識も。

    エドワード・スノーデンは人々には知る権利があると考えました。知った上で選択すればいい。スノーデンは悪いニュースを届けたのかもしれない。しかし、そのおかげで選択ができるようになった。選択の自由が生まれた。知らなかったら選べない。

    「悪いことをしているから隠したいんだ」と考える人もいるかと思います。確かにそういう面もあるでしょう。しかし、選択の自由を無くしていいことにはなりません。「正しい」か「正しくない」か判断するのは政治家や企業役員だけが決めることではないからです。「全体主義にとって都合のいいのはナチスや共産党の信者ではなく、事実と作り話の差がわからない人」ですし、エリザベス・ホームズが「正しい」企業もやはり立ちいかなくなるわけですから。