グーグルが雇った｢ハッカーの姫｣とは何者か ハッカーが教えるセキュリティ教育の中身

自販機の例を用いる理由は3つある。一つ目が、ハッキングと同様に様々な攻撃の手法を考えることができるため。二つ目が、防御策を考える際に、コストとリスクのバランスを考えるきっかけになるから。守衛を雇って一日中自動販売機の前に張り付かせることもできるが、自動販売機の中身の価値を考えると、割に合わないのは当然だ。

最後に三つ目が、自販機という身近な例を用いることでセキュリティに対する心理的なハードルを下げられる点だ。「セキュリティというとどうしても身構えてしまうが、誰にでもできるクリエイティブな活動だ。自販機を例にとることで、”悪者”の思考をしやすくなる」（タブリズ氏）。

現在タブリズ氏が担当しているウェブブラウザのクロームは、全世界で20億人以上に使われている。社内ハッカー以外にも、外部のハッカーがバグを見つけて報告してきた際にはグーグルが報奨金を提供するプログラムも用意されている。報奨金はバグの種類に応じて様々だが、ひとつのバグに対して500ドル（5万円強）程度から、最高では10万ドル（1000万円強）にも及ぶ。

「http」と「https」はこんなにも違う

パリサ・タブリズ（Parisa Tabriz）／イリノイ大学アーバナ・シャンペーン校でコンピューターサイエンスの学士号、修士号を取得。2012年には雑誌『フォーブス』でテクノロジー分野における30歳以下のパイオニア30人に選出。趣味は美術や料理、ハイキング、ロッククライミング（撮影：梅谷秀司）

タブリズ氏の問題意識は日本にも向けられている。多くの企業のセキュリティ体制が盤石とはいえないからだ。通常、ウェブサイトのURLの冒頭には「http」という通信プロトコル（コンピューターが互いに通信するための共通言語のようなもの）が表示されるが、このhttpにはセキュリティ上の問題が多い。

httpを使ってウェブサイトとブラウザ間でクレジットカード情報などをやり取りした場合、「子供ですら簡単に、やり取りされるテキストデータを盗み見ることができる」（タブリズ氏）という。

通信プロトコルを安全性の高い「https」へと変更すれば、ウェブサイトとブラウザがセキュリティの鍵を共有し、その鍵を使って情報を暗号化することで、第三者が外部から情報を盗み見ることはできなくなる。だがグーグルの調査によれば、日本でのhttpsの普及率が調査対象国の中で最も低い。

クローム上でhttpsを経由して読み込まれたページの割合を調べると、トップである米国の61％（2016年10月末時点）に対して、日本は35％。その他の調査対象国は、メキシコ（59％）、インド（56％）、フランス（54％）、ロシア（51％）、トルコ（48％）などだった。日本の普及率の低さが目立つ。日常生活でよく使うサイトがhttps対応ではないということも多いだろう。

コストや技術的なハードルからhttpsの導入を見送る企業は多いが、「大手企業が導入し始めれば、日本の状況も変わる」（タブリズ氏）。もはや日常生活に欠かせないインターネットにおいて、セキュリティはウェブサイトの根本的な品質を左右する。日本企業にも、タブリス氏のような”ハッカー”の存在が求められそうだ。