最終報告書が、セキュリティについて全く触れていないわけではない。会議にはAppleやGoogleの担当者も呼ばれ、一応、当事者としてヒアリングを受けている。その際、特にAppleはセキュリティ上のリスクを強く指摘している。
中間報告後は、筆者を含め多くのメディアが、この法案のリスクを指摘した。
デジタル市場競争会議ももちろん、こうした意見を意識はしている。
最終報告では、一通りの議論にとってつけたようには「セキュリティについては十分な配慮すべきである」といった一文が書き加えられた。
最終報告書では全195ページ中の54ページに「セキュリティ」という言葉が登場している。
しかし、その中身はというと、最終報告の前に行われた公正取引委員会などの調査では、セキュリティについての配慮も必要だが、公正取引委員会ではセキュリティ上の安全性は検証できないと、しっかりと逃げの一文を入れて責任回避を行っている。
一応、まるまる一章はプライバシー保護やセキュリティについての議論に割いてはいるが、その章もいかにして少しでもアプリの流通手段を増やすかというアングルで議論を進めている。
なぜ、他社のストアによる配布では危険なのか、この章を細かく見てみよう。
「モバイル・エコシステムに関する競争評価」の最終報告書では
の4つのパターンに対して、検証を行っている。というか正確にはこれら4つのケースのそれぞれがどのようにすれば形式上しっかりとしたセキュリティが取れているように見えるかを議論している。
まず「3」と「4」は論外だ。皆さんの身の回りにも、何かのきっかけで電話番号や電子メールアドレスが、迷惑メール業者や詐欺グループに見つかってしまって詐欺メッセージを受信した人がいるはずだ。
こういった詐欺メッセージを通して、あなたのiPhoneに常駐して情報を盗むアプリや、サンドボックスという安全のための仕組みの脆弱(ぜいじゃく)性を利用して、他のアプリから情報を盗み出すようなアプリが混入する恐れがある。
もちろん、iOSでは、そういった危険なアプリから身を守るために二重三重の策が施されているので、例えば大事な個人情報にアクセスしようとしたり、勝手にカメラ機能やマイク機能をオンにしてしまったりする前に「このアプリがこんな情報を利用しようとしているが許可するか」と問い合わせるダイアログが出てくるはずだ。
しかし、そうした注意をよく見ず許可してしまった経験は誰にでもあるのではないだろうか。例えば仕事で問題が起きてあわてている際にこうしたダイアログが出ても、あなたは1つ1つ冷静に対処しているだろうか。もし、あなたがそこまで冷静沈着だったとして、あなたの同僚や家族、友達もそのように冷静に対処できると思うだろうか。
マルウェアを送り込む詐欺師たちは、自分たちの詐欺メッセージや詐欺アプリに全員が引っかかってくれることなどは期待していない。何千件何万件のうちのたった1人でも引っかかってくれれば、そこからビジネスチャンスが生まれる。
スマートフォンの安心安全を考える際には、そういった犠牲者のことを考えて配慮をしないといけない。セキュリティへの配慮は、どんなに高めても高過ぎることはないのだ。
では、「1」と「2」についてはどうだろうか。
「モバイル・エコシステムに関する競争評価」の最終報告書では、他社ストアで配布されるアプリは、ストアを運営する会社が責任を持って審査すればよく、どの会社がストアを運営するかをAppleが審査すれば問題ないとしている。
果たしてそうだろうか。
マルウェアなどが広まってiPhoneを使うことが危険になれば、Appleは自社製品のブランドイメージが下がるという直接の被害を受ける。だからこそ、そうならないようにAppleは日々、真剣に提供アプリの質を管理せざるを得ない。
では、他の会社の場合はどうか。確かに他の会社がストアを運営したとしても、iOSを真剣に学び、Appleと同じレベルの人員やコストをかけてしっかりと審査を行えば、Appleと同等のレベルの安全基準でのアプリ審査は理論上は可能だ。だが、Appleほどの真剣さと責任感を期待できるだろうか。
例えば、最初はApp Storeと同じ水準で審査をしていた会社が、それだとコストがかかり過ぎて利益が出ないという結論になった場合、その会社の経営者はどのような判断を下すだろうか。
あるいは「しっかりとアプリを審査する」と宣言してストア事業に挑むが、そもそもセキュリティ意識が甘かったり、マルウェアに関する知識が乏しいストアが出てきたりすることだってあるのではないか。
Copyright © ITmedia, Inc. All Rights Reserved.