News

TOOLBOX: 旅する科学者のためのサイバーセキュリティー

Nature ダイジェスト Vol. 16 No. 2 | doi : 10.1038/ndigest.2019.190229

原文:Nature (2017-08-02) | doi: 10.1038/548123a | Cybersecurity for the travelling scientist

Brian Owens

旅行中の研究者が大切なデータを紛失や盗難から守るにはどうすればいいだろう?

拡大する

ILLUSTRATION BY THE PROJECT TWINS

Mark Gersteinが自分の電子機器を紛失し、自分の個人情報や研究データにアクセスできなくなるのではと恐れる理由は十分にあった。エール大学(米国コネティカット州ニューヘイブン)のバイオインフォマティクス研究者であるGersteinは、「セキュリティーは意識している方なのですが、『ぼんやり教授』的なところもあるので」と言う。彼は以前、ボストン(米国マサチューセッツ州)を訪れた時に、タクシーにスマートフォンを置き忘れたことがあった。iPadの追跡アプリ上でスマホがどんどん遠ざかっていくのを見ながら、彼はタクシーを追いかけて走った。追い付くことはできなかったが、幸い、タクシー会社に連絡がついた。そこで今度は、スマホが自分の元に戻って来るのをiPadで見守ったという。

Gersteinの物語はハッピーエンドを迎えたが、旅の途中で落としたハードウエアとは永遠の別れになることが多い。それは、旅をする研究者が直面する多くの脅威の1つにすぎない。研究室という比較的安全なITインフラの外に出た途端、彼らのデータやハードウエアはハッキングや窃盗などの危険にさらされる。研究者は、自分の研究を守るためだけでなく、機密扱いの患者のデータや知的財産を保護するためにも、ハッキングや窃盗に用心する必要がある。

サイバーセキュリティーへの懸念が特に大きくなるのは国境を越えるときだ。いくつかの地域はハッキングをしているという噂があり、国境警備隊がファイルを見せろと強く要求してくることもある。

研究者は、旅行中に向けられる詮索の目からデータを守るために、どんな対策をとれるだろうか? ファースト・ルック・メディア(First Look Media;米国カリフォルニア州サンフランシスコ)のセキュリティー担当取締役(本誌掲載時)で、政府の内部告発者が機密データを持って旅をするのを助けた経験を持つMorgan Marquis-Boireは、その人が持っているデータと、直面しそうな脅威によって対策は変わってくると言う。あなたが主に心配しているのは、職務に熱心過ぎる国境警備隊だろうか、一瞬の隙を突いてくる泥棒だろうか、それとも政府の支援を受けたハッカーだろうか?

サイバーセキュリティー対策の相談は医師への健康相談に似ていると彼は言う。「医師に『どうすれば健康になれますか?』と尋ねれば、一般的な助言を受けられるでしょう。けれどもあなたがジャングルに行こうとしている場合には、違った助言が必要です」。

予想される脅威が何であれ、データ保護の第一歩は暗号化だ、とMarquis-Boireは言う(「科学者のためのサイバーセキュリティー対策」参照)。つまり、電子的な鍵を使ってデータを数学的に変換し、読めなくするのだ。この簡単な一手間で、不注意で窃盗にあってもデータを保護し、よほど決意が固いハッカーが相手でなければハッキングを阻止することができる。オックスフォード大学(英国)のデータ・ライブラリアンJohn Southallは、「私たちが真っ先に推奨するのはデータの暗号化です。特に、モバイル端末はディスク全体を暗号化するべきです」と言う。

ほとんどのスマートフォンはデフォルトで全ディスク暗号化を利用しているし、ノートパソコンの暗号化には多くの選択肢がある。特に重要なファイルは、コンピューターに内蔵されたファイル保護ツールや「VeraCrypt」「BitLocker」「7-Zip」などのフリーソフトウエアを使って個別に暗号化するべきだ。あなたの所属機関も助けてくれるかもしれない。例えば、オックスフォード大学の情報セキュリティー部門は、研究者のハードウエアを暗号化してくれる。

電子機器の盗難を防ぐ

電子機器の物理的な安全についても考慮する必要があるとSouthallは言う。「価値の高いノートパソコンなどは、盗まれやすいのです。置き換えの利かないデータは入れないようにしましょう」。

紛失したノートパソコンやスマートフォンに入った情報を遠隔操作で消去できる追跡アプリ(アップルの「iPhoneを探す」など)を使えば、ハードウエアを盗まれてもデータが他人の手に渡ることはない、とGersteinは言う。

新たな問題も生じている。米国は2017年3月21日、中東各地の空港から米国に向かう航空便において機内へのノートパソコンの持ち込みを禁止し、英国も同様の措置を取った。メリーランド大学カレッジパーク校(米国)でサイバーセキュリティーの研究をしているJonathan Katzは、「その結果、ノートパソコンの損傷や紛失、盗難や、データ流出などの恐れが大幅に高まりました」と言う。

ノートパソコンの機内持ち込み禁止措置は米国では2017年7月に、英国では2019年1月に全面解除された。ちょうどその時期に中東を訪れる用事があったKatzは、まだ禁止措置が解除されていなかったら、機密データを持っていなくても、コンピューターを預け入れ荷物にするぐらいならFedExで送ろうと計画していたという。

クラウドの安全性

技術に明るい研究者は、多くの場合、データを全く運ばないで済ませることができる。DropboxやGoogleドライブなどのクラウドサービスにデータを保管しておくと、旅先からアクセスできる。これらのサービスは暗号化されていて比較的安全だが、サーバーがハッキングされたりアカウントのパスワードが破られたりした場合に備えて、ファイルは暗号化してからアップロードした方がよい(アカウントへのアクセスに、パスワードと携帯電話が自動的に生成する確認コードの両方を必要とする「2ファクター認証」で、セキュリティーをもう1段階強化できる)。

Marquis-Boireは、こうしたサービスは自動的にアクセスするように設定されていることが多いため、出国の際には出発前に端末からアプリを削除し、サービスからログアウトし、ブラウザの履歴を消去するように勧める。

研究者はバーチャル・プライベート・ネットワーク(virtual private network;VPN)の利用も考えるべきだとSouthallは言う。インターネット接続に不安があるときに、安全なネットワーク通信が可能になる。この種のサービスには「IPVanish VPN」「NordVPN」、(少々下品な名前だが)「Hide My Ass!」などがあり、Southallによれば、多くの研究機関が旅行前のVPN設定をサポートしているという。

Gersteinは、旅行中に自分のデータにアクセスする際には、米国内にいるときでもほとんど常にVPNを利用するという。ただし、中国のように政府がインターネットを強く規制している国ではややこしくなることもある。VPNは中国でも違法ではないのだが、中国政府は2017年1月から国内のVPNプロバイダーの締め付けを強化している。しかし、研究者が利用する可能性のある海外のVPNへの影響は不透明だ。

多くの科学者にとって、モバイル端末のサイバーセキュリティーへの不安が最も大きくなるのは中国への渡航時である。中国は技術革新を加速するためにサイバースパイ活動を行っているだけでなく(例えば、米国の鉄鋼業界は2016年に、中国人ハッカーにより企業秘密が盗まれたとして告発を行っている)、2014年のカナダ国立研究評議会へのサイバー攻撃など、研究者や科学研究機関へのハッキングも行っていると非難されている。ラディー小児病院ゲノム医学研究所(米国カリフォルニア州サンディエゴ)のStephen Kingsmore所長は、同僚の中には中国に行くときには使い捨ての格安ノートパソコンやプリペイドスマホを使う人もいると言う。

国境でのトラブル

2017年1月にトランプ政権が発足して以来、米国は潜在的なテロリストに対する国境の警備を強化しており、旅行者のデータセキュリティーへの新たな脅威となっている。国境警備隊が入国する旅行者に対してモバイル端末の提出とパスワードの提供を求めるケースは近年増加傾向にある。米公共ラジオ局の報告によると、国境で捜索を受けた電子機器は2015年には8500台であったのに対し、2016年には2万4000台に増加したという。

研究者といえども、こうした捜索を免除されることはない。2017年3月、米国市民でNASAジェット推進研究所(JPL;米国カリフォルニア州パサデナ)の技術者であるSidd Bikkannavarが、私的な南米旅行からの帰国時に、テキサス州ヒューストンの空港で足止めされたことがニュースになった。彼はNASA(米航空宇宙局)から支給されたスマートフォンを提出してPINコードを教えるように指示された。Bikkannavarは当初、機密データを理由にこの指示に従うことを拒否したが、最終的には折れた。彼のスマホは30分間取り上げられ、データはコピーされた。JPLに戻ったBikkannavarが事の顛末を報告すると、NASAは彼のスマホを科学捜査的手法を用いて調べ、何が取られたか、何かインストールされていないかを確認した。

このような場合に備えて、情報を隠したり、技術的なトリック(例えば、本物のパスワードの代わりに使用すると、端末のロックを解除するが、一部のデータを隠して暗号化する「強迫対策パスワード」など)を利用したりしたくなるかもしれない。しかし、スタンフォード大学(米国カリフォルニア州)でサイバーセキュリティー法を研究するJennifer Granickは、そのような戦略はとらない方がよいと警告する。「政府職員に嘘をつくことは犯罪になる可能性があるので、賢明なやり方ではありません」。自分はこのデータについて守秘義務を負っていると科学者がいくら主張しても、国境警備隊は「それなら仕方ありませんね」とは言ってくれないだろう。

「ですからあなたは、どうすれば自分のデータを保護できるか、自分で考える必要があります」とGranickは言う。

科学者のためのサイバーセキュリティー対策

  • 旅行に出る前に、所属機関から支援と助言を受けよう。
  • データはディスク全体と個々のファイルの両方で暗号化しよう。
  • リモート・ネットワーキングのためにバーチャル・プライベート・ネットワーク(VPN)を利用しよう。
  • データをUSBメモリーに入れて持ち歩いてはいけない。紛失しやすく、暗号化機能付きのものは少ない上、完全なデータ消去は困難だ。
  • クラウドベースのサービスからログアウトし、アプリをアンインストールし、ブラウザの履歴を消去しよう。
  • 使い捨ての格安ノートパソコンやプリペイドスマホを検討しよう。
  • ノートパソコンやスマホを無人の車内やホテルの部屋に放置しない。

(翻訳:三枝小夜子)

キーワード

Nature ダイジェスト Online edition: ISSN 2424-0702 Print edition: ISSN 2189-7778

プライバシーマーク制度