記事

Gmailを利用する上で理解する必要があるセキュリティとプライバシーのこと

最近、何かとGoogle、特にGmailのセキュリティ・プライバシーの話題がホットだ。

ただ、いくつかこの話題や日本で省庁がGoogleグループを公開のデフォルト設定で利用していたことなどをベースにセキュリティのことを考えたらGoogle・Gmailを利用すべきではないという誤った意見が散見されるので簡単にまとめておきたいと思う。ついでに、ここでは大雑把にセキュリティは悪意のある第三者からのデータ奪取に対する耐性、プライバシーはGoogle自身や公的機関からのデータの取得に対してユーザーが与えられている権利と考えておくと理解が早い。

メール・Gmailに関するセキュリティに関すること

まず、話題をGmailに絞るとメールというシステムはそもそもセキュリティ的に極めて脆弱だ。メールはその出自からも信頼をベースにしたシステムの上に成り立っているので、こちらでメールの内容を送信先の公開鍵を利用してPGPで暗号化しない限り、メールのトラフィックは原則平文でインターネット上を通る。そういう意味で、Gmailは関係なくメールを暗号化せずに利用している一般ユーザーにとってはメールのセキュリティというものはそもそもプロトコル上成立していないことを意識する必要がある。なので、絶対に漏らしたくない情報は、送信先の公開鍵を利用してPGPで暗号化しましょう。

まず、この基本に立脚した上で考えるとGmailというシステムは、そのメールというプロトコル自体の脆弱さを抜きにすれば、セキュリティとしては個人が利用できるものではほぼ最高峰に近い。まずHTTPSというプロトコルが強力だ。Gmailへのアクセスは全てHTTPではなく強制的にHTTPSになるが、個人が何も特別なことをせずに利用できるプロトコルのなかでHTTPSはもっとも手軽でもっともセキュリティの高いプロトコルと言ってよいと思う。また、暗号化を行う上でもっともネックとなる証明書自体を信頼することができるかどうかもブラウザは非常にわかりやすい形で表示してくれる。証明書がおかしい時はブラウザのアドレスバーにすぐ警告が表示されるし、そのアクセス自体も初期設定ではブロックしてくれる。また、Googleが管理しているサーバ自身のセキュリティの高さも一級品だ。そもそもデータは全て暗号化されかつ分散してハードウェア上で保管されているので、データサーバに潜入してデータを取得するというのはほぼ不可能に近い。このあたりの話は以下の本とかでもいろいろ検討されている。

リンク先を見る Googleを支える技術 ~巨大システムの内側の世界 (WEB+DB PRESSプラスシリーズ) posted with toy - chain search 西田 圭介
画像を見るAmazon.co.jpで詳細をチェック
画像を見る楽天市場でこの商品を検索

そんなわけで、GmailのWebインターフェースにHTTPSでアクセスしている限りにおいて、そこから外部サーバにメールを送信しなければセキュリティとしては非常に強固な状態にあると考えられる。

なので、Googleのサービスを利用すべき上でもっとも注意すべきはクライアント側のPCのセキュリティだ。いくらサーバ側が堅牢でもウィルス付きのPCでアクセスしていたら、せっかくの暗号化した通信も最終的にはすべてPC上で表示されるわけでクライアント側のPCのセキュリティをぼくらはケアする必要がある。このあたりはGoogleも公式で良い情報を提供している。

あと、Google Appsなどのセキュリティ解説ページも非常に参考になる。

僕らが考えるべきプライバシーのこと

さて、次はプライバシーのことだ。Gmailの利用において、プライバシーに関連して僕達が考慮すべき点は主に以下の2つである。

  • Googleは機械的にあなたのデータにアクセスすること。たとえばGmailのインターフェースでは機械的にメールの内容が読まれて広告が表示される。

  • 裁判所の令状があれば米国はGoogleからあなたのデータを合法的に取得可能あること

まず、最初のGoogleは機械的にあなたのデータにアクセスすることだが、これが信条的に我慢できない人はそもそもGmailを利用しない方がよい。Googleだけではなく、Facebookなどもでもそうだが、サービスを提供する側はその利用規約に準じてデータを利用する。Googleはメールのデータにサーバーサイドでアクセスしているようで、このあたりはクロサカさんの記事に詳しい。

しかしこれは、実態と異なっていたようだ。現在は、Gmailもサーバーサイドでメールの内容を読み取り、広告表示を行っているようだとの指摘を、複数のエンジニアからいただいた。そしてこれは、少なくとも2011年春時点の運営方針の改定(優先トレイのシグナルを使ったパーソナライズ)以降は、ほぼ確実に行われているらしい。


サービスを提供する側にとっては自分たちが保持しているプライバシーのデータをどのように利用するかは、長期的な視点でみると、自社の利益に直結する極めて重要な事項だ。ただ、無闇矢鱈にデータを利用できないように僕らもサービスプロバイダーにしっかりと働きかけていき、双方の納得できるおとしどころを見つけていく必要がある。その過程で現在起きている以下の様な裁判も議論を深めるためのさまざまな論点となると思う。

大事なのは、自分たちが預けているデータがどのように利用されているかをしっかり把握することと、その利用のされ方が自分にとって許容できない場合に、利用をやめるなどの対抗策を踏まえ行動として働きかけていくことだと思う。

そして、最後に現在PRISM事件でもホットな米国がネットワークサービスプロバイダーからデータにアクセスできる無制限の権限をもっているのではないか、という話。しかし、この話もなんかいろいろ確定していない情報が広まっており、各社は基本的には裁判所の令状なり米国における法的な手続きを経て、犯罪捜査のために情報を開示していると反論している。もちろんそんなのは信じられないという人もいるが、そもそも、Gmailのような主に米国人が利用するサービスにおいて、米国の当局が法的な権限に基づかずに情報への無条件なアクセスを行うことは、国民側からの監視がある以上、ある一定の法的な根拠という抑止力が働くことになると考えるのが自然だと思う。

これは日本のサーバを利用していても、犯罪捜査のために当局からの要請で日本の警察にデータを提供するのと同レベルの話であり、企業の重要情報や国家機密に関わっている人以外が神経質になる必要はない、と考えるのが妥当だろう。もちろん企業の重要な情報、国家機密を扱っている人は別の話で、米国が自分の意思でデータ取得可能なところに機密データを保持すること自体に問題があるので、そこは各自暗号化したデータを自サーバの専用線でやるなり対処を別途考える必要がある。Gmailの出自の話とかはやはりこの本が良いと思う。

リンク先を見る グーグル ネット覇者の真実 追われる立場から追う立場へ

posted with toy - chain search
スティーブン・レヴィ

画像を見るAmazon.co.jpで詳細をチェック
画像を見る楽天市場でこの商品を検索

まとめ

そんなわけで、言いたかったことをまとめると、以下のようになる。

  • Gmailは個人が利用できるサービスとしてはGoogleのサーバ側のセキュリティも含めて最高峰のセキュリティが実現されています。使う人が一番気にする必要があるのはサーバ側のセキュリティではなく、クライアントPC、つまり自分が利用しているPCのセキュリティです。

  • ただし、メールというシステム自体がそもそも脆弱なので、機密情報を外部に送信する場合はきちんと暗号化しましょう

  • プライバシーの問題はサービスプロバイダーとユーザーがきちんとお互いのやっていることを把握して企業が存続可能な利益とプライバシーの妥協できるポイントを探っていく行為自体が大事です。

  • 当局が個人のデータにアクセスできる件はそもそも裁判所の令状があれば合法的なことではありますが、企業の重要な情報や国家機密相当の情報に関わる人以外は、まぁ、そのようなことが行われる可能性があるのだ、ということを把握していれば良いと思います。日本にとって重要な情報を他国の法律下でアクセスできるところに置くことは問題があるので、そういう情報を扱っている人はきちんとした対策を考えましょう。

僕の結論としては、Googleのプライバシーポリシーに納得できて、ある一定以上のレベルの機密を扱わない人はGmailを利用しても良いと思ってます。

あわせて読みたい

「セキュリティ」の記事一覧へ

トピックス

ランキング

  1. 1

    新型肺炎の専門家見解「信じて」

    中村ゆきつぐ

  2. 2

    破産者マップ再びか 識者が警鐘

    町村泰貴

  3. 3

    副外相 中国への肺炎支援に異議

    鈴木馨祐

  4. 4

    河野太郎氏 SNSで器の小ささ露呈

    文春オンライン

  5. 5

    肺炎で安倍政権が守りに 米報道

    飯田香織

  6. 6

    五輪巡る批判報道に無言の圧力か

    WEDGE Infinity

  7. 7

    ロッテ捕手 キャンプ中に妻不倫?

    SmartFLASH

  8. 8

    新型コロナで「新手の派遣切り」

    田中龍作

  9. 9

    百田氏 謝礼もらう保守論客いる

    女性自身

  10. 10

    なぜネットは社会学者を嫌うのか

    津田正太郎

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。