Data Compromise＝情報流出は正解か：IT基礎英語

[鈴木聖子，ITmedia]

　ITmediaで海外情報を長年翻訳している鈴木聖子さんが、IT関連記事に登場する英文の中からよく見かける単語や気になった表現について紹介するコーナー。第3回は「compromise」について。

---

　民間企業や自治体、政府機関などから個人情報や顧客情報が流出する被害が後を絶たない。世界一守りが固そうなイメージの米国土安全保障省さえも、例外ではなかったらしい。

U.S. Customs and Border Protection officials said Monday that photos of travelers had been compromised as part of a “malicious cyberattack,”

（Washington Postより）

　米国境取締局（CBP）は月曜、渡航者の写真が「悪質なサイバー攻撃」に遭って流出したことを明らかにした。

　サイバーセキュリティ用語としての「compromise」は、ネットワークへの不正侵入や脆弱性を突く攻撃などの被害が発覚した場面で使われることが多い。データがcompromiseされたといえば、大抵の場合、不正アクセスを受けて情報が流出したことを意味する。

　と思っていたのだが、その翻訳が当てはまりにくい場面に出くわした。2018年、米通信大手T-Mobileが不正アクセスの被害に遭い、一部の顧客情報が流出した事件。

a T-Mobile spokesperson told me that “encrypted passwords” were included in the compromised data. In its original announcement, the company said: “no passwords were compromised.”

（Motherboardより）

T-Mobileの広報は記者の取材に対し、compromiseされたデータの中には「暗号化されたパスワード」が含まれていたと語った。同社のもともとの発表では、「パスワードはcompromiseされなかった」としていた。

　結局、T-Mobileのパスワードは流出したのか、しなかったのか。

　compromiseの定義については、別の流出事案が起きた思い出アプリ「Timehop」の発表の中に、こんな説明があった。

A Compromise is an incident in which an unauthorized user breaks the confidentiality, integrity, or availability of a service - quite simply, it means that our security was broken.

Compromiseとは、権限のないユーザーが、サービスの機密性、完全性、あるいは可用性を破る事案。ごく簡単にいうと、われわれのセキュリティが破られたことを意味する。

　この解釈をT-Mobileに当てはめると、データが流出したことは認めるけれど、パスワードは暗号化されていたので破られていない、と言いたかったらしい。

　Timehopの発表資料では、Compromiseと「Exposure」「Breach」などの違いについても解説しているので、以後、参考にさせてもらっている。もっとも冒頭の国境取締局の情報流出について報じたWashington Postの記事では、「Stolen」「Breach」という用語を同じような意味で使っているので、英語ネイティブの人も、あまり厳密には区別していないらしい。

便利なセキュリティ関連用語解説

　T-Mobileの分かりにくい説明は、都合の悪い発表に際し、そのあたりのあいまいな認識を突いて、重大な印象をかわそうとした企業努力だったのかもしれない。

T-Mobileは発表内容をcompromiseした？