著者| Liu HongshanHuaweiクラウドプロダクトマネージャー
製品の継続
その過去から、その現在について、現在から、何でも明確にすることができ、その未来を推測することができます。
第2章では、過去10年間にAppleがリリースした主なプライバシー機能を分類し、Appleのプライバシーシステムは次のように構築されていると考えています。4つの原則に従って、ユーザーには見えない場所でセキュリティ保護、特にデータ保護を行います。ユーザーが最も懸念しているのは、特に、プライベートデータに対してますます高度な保護システムを構築し、アプリケーションに対する詳細な権限の管理と制御を行い、追跡防止機能を強化することです。
このルートが一般的であることを示すために、Appleによって最近リリースされたプライバシー機能を調べることができます:8つの機能がリリースされ、アンチアプリケーションカテゴリは5、アンチトラッキングカテゴリは2、およびそれらの機能と説明を説明します。上記の分類を完全に満たしています。詳細については、以下の表を参照してください。
(2020年にリリースされた主なプライバシー機能)
Appleのプライバシーシステムにおけるセキュリティの原則と常識の反映
前回の記事ではAppleのプライバシーシステムの構築に重点を置いてきましたが、ここでやめると浅すぎるようです。この知識を使用してAppleのプライバシーの開発傾向を推測することは、まだ詳細に欠けています。これらの特徴とそれが従う原則のために、アップルは繰り返し公に言ってきました、マーケティングは非常に重要です。マーケティングの外見を脇に置いて、セキュリティのより深い性質を見ることができますか?
おそらく、特定のプライバシー特性は別として、マクロプライバシーシステムの観点から、その背後にいくつかのより本質的なロジックを描くこともできます。これらのロジックは、Appleまたはセキュリティ作業でバイパスできない基本原則のいずれかによって意図的に守られています。そして常識です。原則と常識は物事の発展を推進する本質です。Appleのセキュリティプライバシーシステムはどのような基本的なセキュリティ原則と常識を満たしていますか?少なくとも4つあります。
バレルの原理
これは、すべてのセキュリティおよびプライバシー設計の基本原則です。木製のバケツ内の水の量は、最も高い厚板ではなく、最も短い厚板に依存します。
では、Appleにとって安全な樽とは何ですか?明らかにそれは「データライフサイクル保護」です。これは、WWDCが何年にもわたって、特に2015年に、Appleのプライバシーアーキテクチャを提案するための青写真として「データライフサイクル保護」を直接使用したという事実から知ることができます。
(データライフサイクル保護のプライバシーアーキテクチャ、WWDC 2015から)
この原則によれば、それは次のことを意味します。
1.技術的な実装に関して、Appleは、ユーザーデータのライフサイクル全体を保護するための主要な防御面を検討し、防御面のいずれかが欠点にならないように最善を尽くす必要があります。
2.特定の防御面が欠点になると、セキュリティシステム全体が無効になります。携帯電話やその他の端末は、複雑で巨大なソフトウェアとハードウェアのエコロジーで構成されており、データがに流れるたびに言うまでもなく、無数のユーザーデータ項目があります。ユーザーシーン攻撃や漏洩の可能性があり、防御面はほぼ無制限です。したがって、最も重要で最も可能性の高い防御面を選択して強化し、いくつかの選択を行い、最善を尽くすことができます。
したがって、Appleは次のことを選択しました。(1)ユーザーが最も懸念しているデータを保護し(重要性が高く、問題を引き起こしやすい)、「反アプリケーション」であるさまざまなプライバシーデータのアクセス許可を制御します。ユーザーからの批判。集団訴訟の追跡行為は禁止されています。これは、「反追跡」であるさまざまな反相関識別子の禁止として表されます。
たとえば、考えを広げて、アンチアプリケーションの場合、Appleがあらゆる種類の機密データの典拠コントロールを徐々に改善する前に、ユーザーの個人データはどこに行きますか?リークされたに違いありません。同様に、アンチトラッキングの場合、ユーザーはさまざまなアプリケーションによって数十年にわたって追跡されてきました。
アンチアプリケーションとアンチトラッキングをコアとするAppleのプライバシーシステムの構築は、「最善の努力」によってのみ行うことができます。以前にリークされたものは、再びリークしないようにしてください。以前に追跡されたものは、今では追跡するのが少し難しいです。
最善を尽くし、比較的認知されていることは、Appleのプライバシーシステムに関するユーザーの直感とも一致しています。Appleのエコシステムではプライバシーの漏えいや追跡はありませんが、他のプラットフォームよりも優れています。Appleエコシステムにおける最近の複数のセキュリティインシデントも、この点を示しています。
多層防御
セキュリティシステムの構築、理論的には防御面は無制限ですが、実際にはリソースが限られており、主要な防御面が侵害される可能性があります。その後、多層防御が出現します。複数の防御面を設定するこのパスは攻撃のコストを増加させ、攻撃を不可能にすることさえあります。プライバシー保護についても同じことが言えます。さまざまな組み合わせ可能なプライバシー保護手段を設計すると、「ユーザーデータの悪用」の攻撃に非常にコストがかかるか不可能になります。
「ユーザーデータの悪用」の攻撃経路において、Appleはどのような主要な防御面を構築しましたか?まず、2011年にリリースされた「アプリケーションサンドボックス」は、アプリケーションがデータを取得する方法を制御します。2011年には、特定のユーザーに一意に関連付けることができるさまざまな識別子が禁止されたため、アプリケーションがユーザーを追跡するのに費用がかかりました。サンドボックスに基づくユーザー認証システムはユーザーと一意に関連付けられているため、アプリケーションがユーザーデータを大規模に取得することはより困難です。特定のデータ認証が取得されても、各データは異なる認証に細分されていることがわかります。項目と組み合わせ完全なデータ項目です。同様に、「ユーザーデータの悪用」の攻撃パスに複数の「ロードブロッキング」を追加することで、ユーザーデータを悪用するアプリのコストを大幅に増やすことができます。
ユーザーはよく「Appleのセキュリティは閉鎖によるものです」と言いますが、これは実際にはAppleによるアプリケーションエコシステムの詳細な管理と制御です。開発者の実名認証-アプリケーション署名-アプリケーションセキュリティとプライバシー検出-アプリケーション中のサードパーティソースは禁止されていますインストール-アプリケーションの使用中に制御するためのデータを取得する(サンドボックス)-プライバシーポリシーに違反してリストから除外し、アプリケーションエコロジーの強力で詳細な制御ループを形成します。ユーザーを悪用する多くのメカニズムを克服することの難しさを想像するのは難しいです。データ。そして、端末のユーザーエクスペリエンスはどこから来るのでしょうか?明らかに、端末上のアプリケーションから、そしてほとんどのアプリケーションはサードパーティのエコロジカルアプリケーションです。したがって、エコロジーを制御する人は誰でも、一貫性のある優れたユーザーエクスペリエンスを構築できます。そうしないと、端末メーカーがどれほどハードに作業しても、ユーザーが最も一般的に使用するサードパーティアプリケーションが乱雑になり、ユーザーエクスペリエンスが断片化され、最終的にはユーザーは、端末メーカーがうまく機能していないか、少なくとも制御が不十分であると考えるでしょう。言い換えれば、ユーザーは「Appleは閉じているので安全だ」とよく言いますが、その「閉じている」は外観だけであり、本質は強力なエコロジーコントロールです。
したがって、大規模なプライバシーシステムであろうと特定のプライバシー問題であろうと、多層防御の原則に従うことは間違いではありません。保護の主要な側面に焦点を当て、侵害のコストを増やし、成功の可能性を減らします。攻撃。したがって、真に「ユーザーが懸念する」「事故を起こしやすい」プライバシー保護リンクを特定することに注意を払い、重要な防御面を確立する必要があります。識別する方法は?常識とユーザーの注意は2つのコアです。
ユーザーに返信する
ユーザーに、どのデータが機密であると思いますか?どのデータフローリンクが問題を起こしやすいですか?
ユーザーは一般的に、データが機密である限り、データが表示されるシーンは事故を起こしやすいと考えます。
ほとんどのユーザーは専門的なセキュリティのバックグラウンドを持っていませんが、保護する必要のあるデータとリンクを決定するためにユーザーから入力を得るのは難しくありません。2つのカテゴリがあります。
1つのタイプは、地理的な場所、写真、転送情報などの常識に基づいて判断できます。ユーザーに非常に機密性が高いことを尋ねる必要はありません。ユーザーはすべて、メーカーが保護の責任を果たすことを望んでいます。 。
1つのタイプは、セキュリティインシデント/ホットスポットによって引き起こされます。つまり、ユーザーはこのデータを保護する必要があることをまったく知らない可能性があります。セキュリティインシデント/ホットスポットの宣伝(教育)の後、突然、機密性が高いことに気付きます。そうすれば、ユーザーはこれが機密データであり、保護する必要があると考えるでしょう。
セキュリティインシデント/ホットスポットも基本的にユーザーのニーズを表すため、メーカーはテクノロジーを使用してこれらのニーズを解決する必要があります。
ユーザーへの対応に関しては、Appleは非常に前向きであり、例はたくさんあります。
たとえば、Appleによるユーザーの場所の保護。2011年と2014年に、Appleは「ロケーションドア」に2回陥り、ロケーションはユーザーが非常に心配するプライベートデータになりました。そのため、Appleは地理的な場所の保護を10年間繰り返しており、ますます厳しくなっています。2012年以降、アプリケーションはユーザーによるユーザーの場所の読み取りを許可する必要があります。2014年には、場所のアクセス許可が「使用時に許可」に増加しました。 「常に「許可」、ユーザーコントロールがさらに洗練されました。2017年に「使用時にのみ許可」が追加され、ユーザーコントロールがさらに洗練されました。2019年に「一度だけ許可」が追加され、承認がさらに洗練されました。通話場所アプリはプロンプトバーに目立つように表示されます。2020年までに、ユーザーはアプリが以前の正確な場所の代わりに場所をぼかすことを承認できるようになります。
たとえば、2016年にザッカーバーグはInstagramの突破口を祝う写真を投稿しましたが、ネチズンはザッカーバーグのAppleコンピューターのカメラとマイクがテープで覆われていることに気づきました。間もなく、Appleは録画とビデオのハイライトリマインダーのプライバシー機能を導入しました。これはまた、オタクとして、Xiaozhaがそのような単純な反暴力方法を使用して覗き見を防止していることを示しています。平均的なユーザーはそれを認識していないか、技術的な手段がなく、テープを貼り付けることしかできない可能性があります。したがって、ユーザーのプライバシーニーズに対応し、ユーザーの懸念を払拭するためにテクノロジーを積極的かつ透過的に使用することは、メーカーにとって本当に重要な責任です。
別の例として、2020年3月、iOSユーザーがZoomをオンにすると、埋め込まれたFacebook SDKがユーザーの携帯電話モデルを送信し、一意の識別子やその他の情報をFacebookに送信して、ユーザーをクロストラックするという外国メディアの報道がありました。ユーザークラスアクション訴訟。Appleは、6か月後にアンチクロストラッキングを強化するためのATT計画を開始しました。
別の例として、2020年7月、MicrosoftのLinkedInは、多数のAppleユーザーによる集団訴訟の対象となり、LinkedInはAppleのクリップボードを介してユーザーデータを密かに取得したと主張しました。2か月後、Appleはクリップボードを監視するためのプライバシー機能を導入しました。
要するに、プライバシー設計の最も重要な情報源の1つはユーザーの注意であり、これは第1章の「セキュリティのアップグレードを促進するセキュリティインシデント」の常識と完全に一致しています。
PbDプライバシーデザイン
私たちは、Appleが「推進しているものの、という以前の記事で繰り返し述べているプライバシーの4つの原則:」データ保護・透明性と制御データの最小化・ローカル・データ処理を、Appleのプライバシーデザインはまだ、このような対応上記のように、多くの要因に影響されますたとえば、GDPRに対応するためのユーザーの懸念に対して、Cookは、今年1月に公開されたプライバシー基調講演でグローバルプライバシー保護の促進におけるGDPRの役割を賞賛しました。Appleはプライバシー保護システムの重要な入力としてGDPRを内部的に使用していることがわかります。1つは巨額の罰金やクラスアクションを回避することであり、それを実行する必要があります。もう1つは、プライバシーバイデザイン(PbD)の原則が含まれていることです。 GDPRには、業界で認められている標準がGDPRにメリットをもたらすだけで、害はありません。
GDPRにPbDが含まれる理由は、GDPRの第25条でPbDが明確に規定されているためです。情報管理者(Appleなど)は、製品の設計と運用中、および製品のライフサイクル全体でセキュリティの問題を考慮する必要があります。個人情報。
AppleのグローバルプライバシーディレクターであるJaneHorvathに連絡すると、AppleはPbDを採用しているとさまざまな場面で述べました。PbDの8つのプライバシー原則と比較して、4つのプライバシー原則は8つの原則の単なる改良であると思いますか。もちろん、PbD自体は、いくつかの保護原則だけでなく、プライバシー保護対策のための体系的なエンドツーエンドの設計標準です。
(「個人情報セキュリティエンジニアリングガイド」のPbD 8プライバシー保護の原則と例)
何年にもわたってリリースされたプライバシー機能を比較すると、それは確かにPbDの対応する保護要件と一致しています。例として、2020年のメインリリースを取り上げます。
(8つのPbDプライバシー保護原則がAppleのプライバシー機能に反映されています)
PbDのエンジニアリング実装方法については、特別なことは何もありません。MicrosoftのSDLに似ています。製品設計の最初に、製品、研究開発、法務、プライバシーに関係する人々のチームが関与します。テストから起動からオフラインへの実行に至るまで、セキュリティとプライバシーの評価が実行され、対応するセキュリティとプライバシーの対策が追加され、評価と実装が繰り返されます。
ここで、Appleがユーザーに提供するさまざまな承認済みポップアップなどのプライバシーデータ制御は、PbDの「製品運用」フェーズで提供されるプライバシー保護手段にすぎず、PbD保護手段の他の側面のユーザーはAppleのようにまったく感じないユーザーは製品設計の最初のアイデアや努力をどのように知っていますか?ユーザーが感じるのは、単なる「氷山の一角」です。セキュリティとプライバシー保護は確かに体系的なプロジェクトです。表面に見えるのはごく一部であり、これは再度確認されています。
つまり、PbDはAppleによって繰り返し確認されている設計標準であり、4つの原則よりも基本的です。Appleのプライバシーデザイン哲学から学びたいのであれば、4つの原則から学ぶのではなく、4つの原則の母であるPbDから直接学ぶ方がよいでしょう。
分析のこの時点で、Appleのプライバシーシステムの構築ルートについてさらに理解しています。Appleは、基本的なセキュリティ原則とバレル原則の常識、多層防御、ユーザーの懸念への対応、およびPbDに基づいています。ユーザーが見ることができない場所。セキュリティ保護、特にデータ保護で優れた仕事をします。ユーザーが最も懸念しているデータ、特にプライベートデータに基づいて、ますます高度な保護システムを構築し、多層防御アプリケーションの権限を制御します。アンチトラッキング機能を強化します。
ほとんどのメーカーにとって、このようなルートは、分析仮説のレベルにとどまるのではなく、プライバシー機能の開発を導くためにほぼ直接使用できます。
【過去のレビュー】
最初の問題:Appleのプライバシーの10年の歴史:変更と変更なし(1)突然変異とマーケティング
2番目の問題:Appleのプライバシーの10年の歴史:変更と変更なし(2)マーケティングと製品
[次のプレビュー]:Appleのプライバシーの10年の歴史:変更と変更なし(4)経験とセールスポイント
>>詳細については、Huawei DeveloperAllianceの公式ウェブサイトにアクセスしてください
>>開発ガイダンスドキュメントを入手する
>> Huaweiモバイルサービスオープンソースウェアハウスアドレス:GitHub、Gitee
私たちをフォローして、Huawei Mobile Servicesの最新の技術情報を初めて学びましょう〜