ブログ

プライバシーに関する事項

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2016 年 11 月 28 日公開
親愛なるジョン

最近、消費者が関心を持っている「P」は 2 つあります。パフォーマンスとプライバシーです。 前者は、ますますモバイル化が進む世界、つまりメモリ、コンピューティング、ネットワークなどのリソースが制限されるプラットフォームによって推進されています。 後者は、侵害に関するセンセーショナルなニュースによって懸念が消費者の意識のトップに上り、必然的にそのような手紙(または電子メール)の 1 つにつながる。 それらは「親愛なるジョンへ」という手紙のようなもので、受け取ると内心同じように気分が悪くなります。

消費者は、自分たちが関わるブランドがプライバシーとデータの安全性を確保するためにできる限りのことを行っているという安心感を求めています。 もっと速くしたいのですが、もっと安全も望んでいます。

そもそも、ほとんどの消費者は安全なプロトコルや暗号化についてあまり詳しくありません。 実際、ほとんどの IT 担当者はそれらの違いを説明できません。 しかし、特定の暗号が安全でないということ(あるいは暗号がそもそも安全な HTTP とどのように関係しているか)や、CA 信頼がどのように機能するか、中間者攻撃が実際にどのように機能するかを理解する必要はありません。 彼らが知っておく必要があるのは、安全な取引に他人が介入することがないように、また彼らが入力するすべての文字を誰も監視していないようにするために、あなたができる限りのことをしているということだけです。

PFS を入力します。 完全な前方秘匿性。

もちろん、PFS は暗号やアルゴリズムではなく、キーを処理する方法です。 これは、セッションごとに 1 回だけ生成される一時的な (つまり使い捨ての) キーに依存します。 アプリのセキュリティの観点からは、Heartbleed が公開された後、秘密鍵を「盗み」、トランザクションを復号化できる可能性が出てきたため、これが重要になりました。

PFS は、パーティーの参加者 1 人につき 1 回限りのパスコードによく似ています。 全員が同じパスワードを使用するのではなく、各人が独自の個人用プライベートパスワードを取得し、ホストであるあなただけがそのパスワードが本物であると検証できます。 つまり、ボブがアリスとパスワードを共有したとしても、アリスはパスワードを再利用しているため招待されていないことがわかります。

ハッピーPFS

仕組みそのものよりも、消費者に対して、データのプライバシー確保に真剣に取り組んでいるという安心感を与えることの方が重要です。  Baymard Institute がこのテーマに関して2016 年に実施した調査を検討してみましょう。 チェックアウト中に購入を中止した理由のうち、18% が「クレジットカード情報をサイトに提供することを信頼できなかった」と回答しています。 同じ調査では、サイトに配置されたさまざまな「シール」の信頼性の認識をテストし、2016 年に最も「信頼」を呼び起こしたシールはSSLシールではなく信頼シールであったことに驚きを示しました。 これらのシールは、必ずしも業界標準であったり、認められていたりするものではありませんでした。 多くは、消費者データと取引の安全性を確保するために企業が行っている取り組みを象徴的に表現したものに過ぎません。

Perfect Forward Secrecy (PFS) は、その「個人的」な性質により、取引の安全性を高める技術的な方法です。 PFS を導入し、テクノロジーを通じて取引の安全性を高める措置を講じていることを消費者に知らせることで、より高い信頼が生まれ、放棄による収益への悪影響を軽減できる可能性があります。

もちろん、ビジネス側が懸念するのは、安全性を高めるとパフォーマンスが低下するという代償が伴うことが多いということです。 結局のところ、セッションごとにキーを生成すると、インフラストラクチャとapplicationに負担がかかる可能性があります。 その結果、アプリの動作が遅くなることが多く、消費者にとって同様にイライラさせられるだけでなく、収益の損失にもつながります。

これに対処するには、適切なサービスを使用して PFS を実装することをお勧めします。適切なサービスは、サーバーの上流にあり、消費者の安全を確保するために必要な負荷の高い暗号化計算を処理するために特別に構築されているため、より優れたスケールとパフォーマンスを提供します。 このような専用のセキュリティ サービスは、計算を高速化しパフォーマンスを向上させる特殊なハードウェア (カスタム ハードウェアと商用ハードウェアの両方) を活用して、消費者がより安全で高速なエクスペリエンスを得られるように設計されています。

PFS は、消費者を保護するだけでなく、企業の資産を保護するのにも適した方法です。 これにより、個人情報の取得コストが増加し、攻撃者にとって魅力的なターゲットではなくなります。同時に、消費者に対して、個人情報の安全性を十分に配慮し、最新のテクノロジーを使用して個人情報とプライバシーを保護していることを保証できます。

プライバシーは重要ですが、パフォーマンスも同様に重要です。 安全性はスピードを犠牲にして得られるものではありません。 適切なアーキテクチャ上の場所で適切なサービスを選択するよう実装時に注意と配慮を払うと、より高いセキュリティ基準を採用した場合でもパフォーマンスを維持できます。