ティム・クック率いるAppleは、ユーザーのプライバシー保護を自社の使命の一つとしています。同社は、半導体レベルから始まる包括的なセキュリティとプライバシー保護アプローチを採用しています。英国メディアIndependentは本日、Appleの敷地内にある秘密施設の貴重な情報を掲載しました。そこでは、高価な機械を用いて自社設計のチップをテストし、新型iPhoneに搭載された際にハッキングやその他の攻撃が試みられる可能性があるかどうかを検証しています。
インディペンデント紙のアンドリュー・グリフィン氏は次のように書いている。
Appleのきらびやかな新キャンパス近くの巨大な部屋で、最先端の機械がチップを加熱、冷却、加圧、衝撃を与え、酷使している。iPhoneをはじめとする未来のApple製品を動かすシリコンであるこれらのチップは、その若く秘密に満ちた生涯で最も過酷な作業にかけられている。部屋のいたるところに、チップが配線された何百もの回路基板が並べられており、その何百もの基板は何百もの箱に収められ、そこで過酷な工程が行われている。
主な焦点はハッキングに対する保護のテストです。
これらのチップは、世に出た際に、誰がどんな攻撃を仕掛けてきても耐えられるかどうかを試すために存在している。ここで成功すれば、どこであれ成功するはずだ。これは重要なことだ。なぜなら、もし世界で失敗すれば、Appleも失敗するだろうからだ。これらのチップは、ユーザーのデータのプライバシーを守るためにAppleが決して諦めない戦いにおける、強力な防衛線なのだ。
そしてこれは…
チップは、この部屋に入る何年も前にここに到着します。箱の中に入っているシリコンは、ユーザーの手に渡るまで何年もかかるかもしれません。チップの種類を示すメモはありますが、判読できないように小さなシールが貼られています。
Appleのソフトウェアエンジニアリング担当SVP、クレイグ・フェデリギ氏によると、プライバシーへの配慮はプロセスの始まりであり、終わりではないという。「製品の開発について話し合う際、最初に出てくる質問の一つは、『顧客データをどのように管理するのか?』ということです」と、同氏は同誌に語った。
法律によりデータをローカルに保存することが義務付けられている中国では、ユーザー データの保護は極めて重要です。
フェデリギ氏によると、データは暗号化されているため、たとえ傍受されたとしても、たとえ誰かが実際にデータを保存するディスクドライブを所有していたとしても、読み取ることはできないという。例えば、iMessageの送受信者2人だけがメッセージを読むことができるため、セキュリティが機能していれば、中国のサーバーを経由して送信されているという事実は無関係であるはずだ。彼らが読めるのは、特別なキーで解除する必要がある文字化けしたメッセージだけだ。
Appleのプライバシー対策は、ユーザーデータの匿名化と最小化、そしてデバイス上での処理を可能とする差分プライバシー技術に大きく依存しており、だからこそ同社はカスタムチップの開発に多額の資金を投じてきた。また、直近2世代のAppleチップにNeural Engineによるハードウェアアクセラレーションによる機械学習が搭載されているのも、この理由である。
Freight は次のように説明しています。
昨年秋、iPhoneと最新のiPadに搭載されているチップに搭載されているApple Neural Engineという特別なブロックについてお話しました。これはAI推論において信じられないほど強力です。これにより、これまでは大規模なサーバーで処理しなければならなかったタスクを、デバイス上で実行できるようになります。個人情報に関する推論に関しては、多くの場合、デバイスは最適な場所です。デバイスには、決して他の企業に渡すべきではないローカルコンテキストが大量に保存されているからです。
これは他の企業でも採用される可能性がありますか?
最終的には、ますますデバイスに移行する傾向になると思います。なぜなら、プライバシーを尊重するインテリジェンスが求められるだけでなく、ネットワーク接続が良好かどうかに関係なく、常に利用できること、非常に高いパフォーマンスと低遅延が求められるからです。
Apple は、ユーザーの健康データの安全性を確保するために、健康とフィットネスのラボも作成しました。
これに応えるため、Appleはフィットネスラボを設立しました。これはデータ収集に特化した場所であると同時に、Appleがデータの安全を守るために様々な方法で取り組んでいることを示す記念碑でもあります。
研究に参加している人々の顔に巻きつけられたマスクを通してデータが流れ込み、ハイテククリップボードとして機能しているiPadに調査結果を入力しながら従業員によってデータが収集され、彼らの手首に接続されたApple Watchを通してデータが流れ込んでくる。
ある部屋には、エンドレスプールがあり、顔にマスクをかぶせたままその場で泳ぐことができます。隣では、同じマスクを着けてヨガをする人々がいます。別のセクションには、刑務所と冷蔵庫を合わせたような巨大な部屋があり、そこでは人々が冷やされたり温められたりして、収集されるデータがどのように変化するかが観察されます。
これらすべてのデータは、一般人の腕からさらに多くのデータを収集し、理解するために活用されます。この研究室の目的は、Apple Watchの動作に必要なアルゴリズムを調整し、収集する情報をより有用なものにすることです。例えば、Appleはランニング時に消費カロリーをより効率的に算出する方法を発見し、それが将来的にあなたの手首に搭載されるソフトウェアとハードウェアの改良につながるかもしれません。
プライバシー保護は Apple の従業員にも適用されます。
膨大なデータが収集されているにもかかわらず、そのデータは匿名化され、最小限に抑えられています。研究に参加するためにボランティアで参加するApple従業員は、建物に入る際にスキャンを行い、その後すぐにIDカードとの関連付けが解除され、その従業員と関連付けられない匿名の識別子のみが付与されます。
Appleは設計上、自社の従業員のうち誰がデータを収集しているのかさえ把握していません。従業員はなぜ自分のデータが収集されているのかを知らず、この作業がいつか未知の未来の製品に使われることだけを知っています。
こうしたプライバシー保護の取り組みの中心となるのが、メインチップに埋め込まれた暗号化コプロセッサの Secure Enclave です。このコプロセッサは、オンザフライのディスク暗号化と復号化を行いながら、指紋、暗号化キー、顔/支払いデータを保護します。
Appleがこれまでに開発したSecure Enclaveコプロセッサの各バージョンは、ハードウェアの信頼の基点を確立する独自のカーネルとファームウェアを搭載しています。技術的に言えば、この組み込みコプロセッサは、AppleがカスタマイズしたL4マイクロカーネルをベースにしたSecure Enclave OSを実行します。このソフトウェアはAppleによって署名され、Secure Enclave Boot ROMによって検証され、パーソナライズされたソフトウェアアップデートプロセスを通じてアップデートされます。
セキュアエンクレーブは、Touch IDおよびFace IDセンサーからの指紋および顔スキャンを処理し、一致を判定し、ユーザーに代わってアクセスまたは購入を許可する役割も担っています。Appleの最新のスマートフォン、タブレット、スマートウォッチに搭載されているApple A12 BionicチップとApple S4チップに組み込まれたセキュアエンクレーブは、アンチリプレイカウンターストレージ用のセキュアストレージ集積回路(IC)とペアリングされています。
Apple の iOS セキュリティ ガイド ドキュメントによると、これにより次のような利点が得られます。
セキュアストレージICは、不変のROMコード、ハードウェア乱数生成器、暗号化エンジン、そして物理的な改ざん検出機能を備えて設計されています。カウンターの読み取りと更新には、セキュアエンクレーブとストレージ集積回路がセキュアプロトコルを採用し、カウンターへの排他的アクセスを保証します。
Secure Enclave のアンチリプレイ サービスは、パスコードの変更、Touch ID/Face ID の有効化/無効化、Touch ID の指紋の追加/削除、Face ID のリセット、Apple Pay カードの追加/削除、iOS のすべてのコンテンツと設定の消去など、アンチリプレイ境界をマークするイベントでのデータの取り消しに使用されます。
Secure Enclaveはシステムの他の部分から物理的に隔離されており、メインプロセッサとの通信は割り込み駆動型メールボックスと共有メモリデータバッファに分離されています。iOSが認識するのは、指紋照合のようなSecure Enclaveオペレータの結果のみです。
Secure Enclave データはクラウドに送信されることはありません。
上の写真:カリフォルニア州クパチーノにあるAppleの研究所で、エンジニアが現行および次世代チップのテストに取り組んでいる。写真提供:ブルックス・クラフト/Apple
