フェイスブックの最高セキュリティ責任者は木曜日、米国家安全保障局(NSA)の大規模な監視プログラムが6月に暴露された時点で、同社はすでにより強力なセキュリティ管理を実施していたと述べた。
クアラルンプールのハック・イン・ザ・ボックス・セキュリティ会議からIDGニュースサービスに電話で語ったジョー・サリバン氏[cq]は、このソーシャルネットワーキングサイトはセキュリティインフラのアップグレードを続けていると述べた。
元NSA契約職員エドワード・スノーデン氏の暴露によって、「おそらく、公に話し合い、これまでずっと舞台裏で行われてきた努力を示すことが少し容易になった」とサリバン氏は語った。
ワシントンポスト紙は火曜日、NSAがFacebook、Yahoo、Microsoft、Googleなどのサービスからインターネット上で送信される電子メールやインスタントメッセージのアドレス帳を収集していると報じた。
同社は、データが収集されていたことを認識しておらず、協力もしていないと述べた。サリバン氏によると、FacebookはデフォルトでTLS(トランスポート・セキュリティ・レイヤー)、つまり「https」暗号化を有効化しているため、チャットの連絡先リストなどの情報は現在暗号化されているという。これにより、傍受者が解読できない限りデータは保護されるが、Facebookは7月に全ユーザー向けにこの機能を有効化したばかりだ。
Facebookのセキュリティロードマップには、1,024ビットRSA暗号化から2,048ビットRSA暗号化への移行が含まれているとサリバン氏は述べた。また、将来的に秘密鍵が漏洩した場合に復号可能なデータ量を制限する暗号化機能であるPerfect Forward Secrecyの実装も計画している。サリバン氏は、この作業が年末までに完了することを期待していると述べた。
PRかセキュリティ対策か?
ワシントン・ポストが公開したスライドによると、フェイスブックは、サービスプロバイダーからさまざまな電子データを収集するNSAのプリズムプログラムに巻き込まれたマイクロソフト、グーグル、ヤフー、アップルなどの多くの企業のうちの1社だった。
米国政府との協議を経て、フェイスブックやその他のテクノロジー企業は6月に、米国の外国情報監視裁判所と国家安全保障書簡からのデータ収集要請に関連するいくつかの数字を公表することを許可された。
しかし、フェイスブック、グーグル、ヤフーはさらなる情報開示を求めている。3社は9月9日、米国外国情報監視裁判所に対し、命令や指令に関するさらなる情報の公開許可を求める請願書を提出した。
サリバン氏は、フェイスブックは「法執行機関からのすべての要請を精査する非常に厳格な慣行を設けており、透明性を保つ機会があれば安心できる」と述べた。
8月、同社は初のグローバル政府要請レポートを発表しました。多くのケースで、Facebookは要請があったにもかかわらず、政府にデータを提供しませんでした。
サリバン氏によると、法執行機関は、求めている情報をどのように要求すればよいかわからない場合が多い。例えば、どのユーザーに関する情報を求めているのかが十分に明確でないといったケースだ。また、要求されたアカウントが存在しなかったり、特定できなかったりすることもある。
すべてのリクエストは、法的基準を満たしているかどうかを確認するためにチームによって手作業で審査されますが、これは非常に複雑な作業になることがあります。「統計からも明らかなように、私たちが受け取るリクエストのかなりの割合が法的に不十分です」とサリバン氏は述べています。
