本日の内容スマートデバイスでのプライバシに関する懸念アプリケーション連携クラウドサービス連携事例 BYODの状況個人情報漏えいを防ぐためにユーザができること 1

スマートデバイスのプライバシに関する考察 2012 年 2 月 8 日株式会社 NTTデータ木原洋一

スマートデバイスでのプライバシに関する懸念ケース1: 利用者が意識しない間にプライバシー情報が取られていたまたは意図しない使われ方をしていた ( 例 ) CarrierIQ カレログクラウド連携アプリ等 ( 明らかに悪意のあるケースは除くとして) 一般的にはサービス機能提供サービス品質向上顧客の行動分析 (CRM 広告配信 )などに利用する目的で情報活用するケースが多いしかしながら利用者がプライバシー侵害と感じるかどうかは個人差ある一方アプリケーションのインストール時やサービス開始前に利用者はアプリケーション/サービスが要求するパーミッションを許可しているのでサービス提供者側は問題ではないという主張もあるケース1-1:ユーザが意図しない時にも( 勝手に) 個人情報を収集するものケース1-2:Web 型サービスでユーザがサービスを受ける際の行動履歴や入力情報を収集するものケース2: 利用者の使い方の誤りにより or 故意ではなくプライバシー情報を漏洩してしまった/されてしまった ( 例 ) 人気アイドルが鍵付きTweet( 公開先を限定する)していたが写真投稿アプリが Twitter 標準アプリでなかったためにプライベート写真が公開されてしまったライブ会場の観客に断り無く動画を録画してYouTubeにアップしてしまい指摘を受ける本来の正しい使い方を理解していなかった場合や肖像権などの問題に触れる事を考慮せずに USTREAMや YouTubeへの配信を行うケース 2

アプリケーション連携事例 :Facebook Facebook の情報活用サービス利用している情報 : スマートフォンの電話帳に含まれるメールアドレス等情報の利用したサービス: 電話帳アプリに含まれるメールアドレスの中に Facebookユーザとして登録済みのメールアドレスが存在した場合そのユーザに知り合いかも? として紹介し SNS 上のつながりを促す田中太郎電話帳 : : : 鈴木ヒロシ hiro@hogehoge.co.jp : : : : インターネットデータセンタ : hiro@hogehoge.co.jp : (2) 分析知り合いかも? アカウント情報を格納したデータベース鈴木ヒロシ hiro@hogehoge.co.jp h 中太郎 Facebookの友人紹介の流れ(イメージ図 ) 1 1 上記のイメージ図は Facebookヘルプ画面の情報からシステム構成と情報の流れを推測したものです 2 Android 版 Facebookアプリは利用者がインストール時に READ_CONTACTSパーミッション( 電話帳の情報取得に必要 )の許可を与えます Facebookヘルプ画面より http://www.facebook.com/help/?page=199421896769556 3

アプリケーション連携事例 :TwitterNeighbor TwitterNeighbor の情報活用サービス WindowsPC 上で動作するソフトウェア利用している情報 : 位置情報付きTweet をした任意の人の位置情報情報を利用したサービス: (1) 隣接ユーザ表示機能 : 数分以内数百 m 以内にツイートした2 人のユーザを探し出しその人たちのいた場所を GoogleMap 上に見やすく表示する (2) 自分の隣接ユーザ通知機能 : ソフトウェアを起動中に自分のアカウントで位置情報付きツイートすると近くに他のユーザがいる場合通知する B A flwbra tak26 渋谷駅 4

クラウドサービス連携 Apple icloudのようにデバイスの不足点 (ストレージ容量処理能力等 )をクラウドで補うような連携サービスが出てきているクラウド連携によるインパクト: クラウド上のデータアクセスによりどの端末から業務継続可能 PCがなくても業務が可能ユーザ行動を集めることが可能ビッグデータ分析による新サービス(データマーケットプレイス) Amazonの事例 11 月にUSで発売された Kindle Fireではクラウド側で画面処理を実行する Silkブラウザにより軽快なWebブラウジングを実現端末スペックを抑えて圧倒的な低価格化を実現 Dynamic Split Browsing 出典 : Amazon Silk: Amazon's Revolutionary Cloud-Accelerated Web Browser - Official Presentation 記載されている会社名商品名又はサービス名は各社の商標又は登録商標です Amazon EC2 SPDYで接続 Kindle Fire Internet ユーザのあらゆるWeb 活動がAmazonクラウド上で集約 Googleが開発したWebトラフィックを圧縮最適化するプロトコル画像はイメージです 5

クラウドサービス連携事例 :Siri iphone 4Sに実装されている音声入力可能なパーソナルアシスタント音声の意味を理解し必要な対応をしてくれるサービス音声認識技術 AI 技術がモバイル化されていくにより新たなユーザエクスペリエンスを生み出していく Siriの iの代表的な使い方画像はイメージですスケジュール 2012 年 1 月 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 9:00 10:00 スケジュール最短経路 1 事故渋滞自動車事故 8 4 所要時間分経路案内メッセージ新着メッセージ << 削除 >> メッセージ週間天気 1/28 晴れ 1/29 晴れ 1/30 曇り 1/31 晴れ 2/1 晴れ天気予報リマインダー株式情報メモ音楽時計 Webブラウザ参考 :http://www.apple.com/iphone/features/siri.html 記載されている会社名商品名又はサービス名は各社の商標又は登録商標です 6

クラウトサーヒス連携事例 :AT&TのAPIフラットフォーム戦略 AT&Tは 1 月に開催した携帯電話向けアプリケーション開発者会議 2012AT&T Developer Summit で HTML5ベースのWebアプリ開発の推奨アプリ開発実行環境としてストレージや通信インフラをクラウドで提供通信キャリア独自のネットワーク機能を利用可能にするAPIの提供などクラウドサービス連携を支援する発表を行った AT&T Cloud Architect アプリケーションが使用するストレージやネットワークインフラを提供する開発者向けクラウドサービス分単位 or 時間単位 or 月次単位で支払可能 AT&T API Platform SMS 認証アプリ内課金 (AT&Tへの通信量支払と同時に徴収 ) U-verse(IPTVサービスを組み込んだマルチスクリーンサービス) Application Resource Optimizer(データ通信量最適化とバッテリー消費量の低減を可能とする機能 ) など約 130のAPIを提供 AT&T AppCenter Webアプリとネイティブアプリの両方のためのネットストア Copyright 2011 NTT DATA CORPORATION 7

BYODの導入ニーズ個人所有のスマートデバイスを企業に持ち込んで業務で利用するニーズが日本の企業でも増えてきました米国を中心に数年前から流行っていた新しいワークスタイルですこれまでこれから私物解禁! 従業員 : 自分のスマホを使って仕事の効率をアップ一人一台企業が貸与 BYOD (Bring Your Own Device) 経営層 : コストをかけずに従業員の生産性満足度をアップ! 韓国では2015 年までに公務員の20%にあたる約 5 万 4 千人を在宅勤務に米国では2013 年に75.5% 西ヨーロッパでは50.3%がモバイルワーカーになるという市場予測があります米国ではBYOD 導入率が現在 30%であるが 2014 年末には90%まで増える予測あり日本においても相当数の企業がBYOD 導入済みと思われます 8

BYODを実現するアーキテクチャ (1)リモートデスクトップ(2)ブラウザアプリはセキュリティプリはセキリ的に有利だが利便性ネットワーク接続性の面から課題が多く (3)クラサバ型 (4)クラウド型への要望が強い多くの企業では標準のアプリを用いた(4)クラウド型のメールグループウェア利用が自然発生的に進んでいるがセキュリティ対策は十分ではなく課題は多い (1)リモートテスクトッフ (2)ブラウザアプリ (3)クラサバ型 (4)クラウド型アプリデータアプリデータデータアプリデータスマートデバイススマートデバイススマートデバイススマートデバイスブラウザアプリアプリデータストレージ画面 (ヒットマッフヒットマッフ )を転送画面 (html)を転送専用 APがサーバと通信ストレージがサーバと適時情報を同期ネットワーク常時接続フロートハント常時接続適時接続操作感スマホらしい快適な操作感セキュリティ端末に情報が残らないため対策は比較的容易 (NWの暗号化認証等 ) 左記に加えアプリ改ざん防止左記に加え情報漏えい対策 9

BYODにより高まる個人情報漏洩リスク (1)BYODでは個人用スマホに企業の情報が格納される( 取引先情報企業内機密情報企業サーバ情報 ) 個人用スマホのため企業貸与スマホレベルのセキュリティ対策が困難実施困難な例 ) MDMにより機能 /AP 利用制限マルウェア対策ソフトの常時監視紛失時の強制的なリモートワイプ (2) 起こりうる問題プライベート利用時に企業情報が誤操作マルウェア等により漏えいプライベート情報と企業情報が混合することによる誤操作の増加企業内でのスマホの私的利用の増加 (3) 対策はいくつかが登場仮想化技術によるプライベートビジネス環境の分離 (VMWare LG) 専用アプリケーションによるネットワーク接続およびデータ暗号化 (Cachatto(e-Janネットワークス) DME(ソリトン) 等 ) 10

個人情報漏洩の被害者にならないためにいつ目的具体的な方法普段の備え紛失盗難時のメモ写真など電源オフ時ロックの設定の漏えいの防止リモートロックリモートワイプのリトワイプの設定不必要な個人情報取得の抑止 GPSを利用しない場合 OFFにしておく* 譲渡売却破棄時本体メモリーカード内の個人情報の漏えい防止本体の消去メモリーカードの消去クラウドサービスへのログイン情報の消去 * アプリケーショ不適切な情報を取得するアプリパーミッションの内容を確認 * ンインストーケーションを利用しない ( 実際は難しい) ルアップデート時実績のあるアプリケーションのみを利用信頼できるマーケットのみを利用 * なりすまし改ざんアプリではな同名のアプリが他にないことを確認 * いことを確認アプリケーションの設定データ発言等の意図よりも広範囲への公開の防止発言データ等の公開範囲を確認 (アプリによっては設定が複雑で確認が困難 )* イベント参加画像ビデオによる自己情報のイベントにおける撮影配信の有無の事前確認時希望しない放送 * スマートデバイス特有もしくはスマートデバイスでリスクがより大きなもの 11

個人情報漏洩の加害者にならないためにいつ目的具体的な方法普段の備え紛失盗難時の知人の連絡先電源オフ時ロックの設定写真などの漏えいの防止リモートロックリモートワイプの設定法制度の無理解による知人個法制度 ( 肖像権等 )の理解 * 人情報の漏えい譲渡売却破棄時アプリケーションの設定端末内の知人の連絡先写真等の漏えいの防止データ発言等の意図よりも広範囲への公開の防止本体の消去メモリーカードの消去発言データ等の公開範囲を確認 (アプルによっては設定が複雑で確認が困難 )* イベント主催画像ビデオによる参加者情報イベントにおける撮影配信の有無の事前時時の希望しない放送周知 * 写真の場合撮影を拒否する方法の提供 * 公開時のモザイク処理等 * * スマートデバイス特有もしくはスマートデバイスでリスクがより大きなもの 12

本資料に掲載の会社名製品名またはサービス名はそれぞれ各社の商標または登録商標です

本 日 の 内 容 スマートデバイスでのプライバシに 関 する 懸 念 アプリケーション 連 携 クラウドサービス 連 携 事 例 BYODの 状 況 個 人 情 報 漏 えいを 防 ぐためにユーザができること 1

本日の内容スマートデバイスでのプライバシに関する懸念アプリケーション連携クラウドサービス連携事例 BYODの状況個人情報漏えいを防ぐためにユーザができること 1