欧州各国と協議して策定した
「Global Transparency Initiative」
こうしてカスペルスキーは2017年10月、透明性への取り組みを強化する「Global Transparency Initiative」(グローバル・トランスペアレンシー・イニシアチブ)を開始した。
各国の規制当局をはじめとする情報セキュリティコミュニティや関係者と従来以上に幅広く連携し、同社の製品、社内プロセス、事業運営における信頼性の検証と実証を図るとともに、説明責任に関する新たな仕組みを導入することで、カスペルスキーがあらゆるセキュリティ問題に迅速かつ徹底的に対処していることを証明するための取り組みである。
シンガリョーフ氏は、主な取り組み内容として、(1)ユーザーから収集した脅威に関するデータについては、モスクワではなくスイスで保存・処理する、(2)各国規制当局や信頼できるパートナーからの要請に応じて、同社製ソフトウェアのソースコードやプログラムなどを開示し、確認することのできる「Transparency Center」(トランスペアレンシー・センター)をスイスに開設する、(3)同社製ソフトウェアのアセンブリ作業ならびに検知ルールデータベースの更新作業を行う拠点も、モスクワからスイスに移転する、(4)製品や社内プロセス、事業運営などについて、独立機関による監督と第三者組織によるレビューを行う、の4つを挙げた。
カスペルスキーは、このイニチアチブを開始するに当たって、英国の国家サイバーセキュリティセンター(NCSC)など欧州各国の規制当局と意見交換を重ねた。そのうえで、規制当局がとくに深く懸念する事項について、解決のための取り組みを策定したという。
「たとえば、当社にはカスペルスキー・セキュリティ・ネットワーク(KSN)という仕組みがあります。クラウドネットワークを通じて、悪意のあるコードなどを発見した世界中のユーザーから、同意を得た上でその脅威に関連するデータを収集するものです。KSNは取得したデータをクラウド上で自動分析することで、すべてのユーザーに対して新しい未知のサイバー脅威に対する防御を即座に提供するためのものですが、ほかのセキュリティベンダーでも同様の仕組みを使っており、業界標準の方法です。しかし送られてくるデータの中には秘匿性の高い情報が含まれている可能性もゼロではなく、それをモスクワで保管・処理した場合、ロシアに情報が流れてしまうのではないかという懸念を抱く国が少なくありませんでした。現実には起こり得ないことですが、そうした懸念を解消すべく、政治的にも軍事的にも中立であるスイスに保管・処理するデータを移転することにしたのです」とシンガリョーフ氏は説明する。
スイスは、世界で最も厳格な情報セキュリティ規制を行っている国のひとつであり、外国はもちろん、スイス当局であっても、令状を取って民間企業が保管するデータを見ることはできないそうだ。
同社は2018年11月にスイスにデータセンターを開設し、本格稼働させた。2019年第4四半期までには、モスクワからスイスへのデータ移転が完了する予定である。
「Global Transparency Initiative」の概要 出典:カスペルスキー
