投稿者 この記事は米国 Mozilla Blog の記事 "Our Role in Protecting the Internet -- With Your Help" の抄訳です。
インターネットのセキュリティは利用者全員で守っていく必要があります。先日の記事 でこの事について触れましたが、今回は、このテーマを掘り下げ、インターネットを守る上での Mozilla の役割、そしてその役割がインターネットの他の関係者との相互の協力によって成り立っていることについてお話しします。
安全なブラウザ-づくり
Firefox はインターネットの重要な一部分であり、それを守ることは Mozilla の役割です。世界には、Firefox を通してウェブにつながっているユーザーが何億人も存在します。Mozilla が Firefox に搭載するユーザーに寄り添ったセキュリティ機能を、こんなにも多くの方々に使っていただいていることは喜ばしい反面、たったひとつの脆弱性によって、こうしたユーザーのコンピューターやスマートフォンが悪意のある者に乗っ取られてしまう危険性もあります。そのため、Mozilla では、Firefox の脆弱性をいち早く発見し、修正することに多くの労力を注いでいます。 社内のエキスパート集団によるチェックに加え、 Mozilla では、長い歴史を誇る バグ報奨金プログラム を通してセキュリティ研究者が脆弱性を報告できるしくみを用意しています。今年だけでも Mozilla 外の研究者によって Mozilla 社内では発見できなかった130 以上もの深刻な脆弱性が報告されました。このセキュリティ研究者のコミュニティ無くしては、今ほど安全な Firefox は存在しません。
また Mozilla では、こうした脆弱性を未然に防ぐための基礎技術にも投資しています。 たとえば プログラミング言語 Rust は、特定の種類の脆弱性が起こり得ない設計になっており、かの悪名高き Heartbleed もこれに含まれます。Rust では、こうした脆弱性をはらんだプログラムを書くことが、そもそも不可能となっています。 Rust は Mozilla 発のプロジェクトですが、1500 を超える貢献者 の存在なくしては、これほどまでに早く成熟することはなかったでしょう。 Firefox 内でも Rust の使用が始まっています が、Mozilla コミュニティでは、既に Rust を使って Unix の 中心的ユーティリティ を置換する Doom Renderer や、すべて Rust で書かれた OS までも が作られています。これらはすべて、多くの脆弱性に対する安全性を備えています。
また Mozilla では、Tor Project との密接な協力を通し、ブラウザーの安全性に貢献しています。 Tor Browser とは、Firefox から派生しプライバシー機能が強化されたブラウザーで、ユーザーは匿名性を保ちながらウェブを閲覧することができます。たとえば SecureDrop というシステムを使えば、情報提供者が身元情報を守りながら記者に Tor を通じて書類を送信することができます。Tor コミュニティの貢献によって生まれたアイデアやコードの数々は、貴重なもので、Mozilla としても大変感謝しています。彼らがウェブにもたらしたイノベーションを Firefox に統合し、ユーザーにさらなるプライバシー機能をできるように密接に協力しながら進めています。
安全なウェブに向けて
ウェブはもちろん Firefox だけで構成されているわけではありません。 さまざまなコンピューターや人、企業が協力しながらネットワークを作ることによって出来上がっています。 Mozilla のセキュリティエンジニアは、こうしたウェブエコシステムの各プレーヤーと協力しながらウェブ の基礎技術の安全性を向上できるように努めています。
こうした活動の一部として、Internet Engineering Task Force や World Wide Web コンソーシアム といった標準化団体との協働を行なっています。これらの組織は、ブラウザベンダーやサーバーオペレーター含め、ウェブをより良くしたいと考えるメンバーが集う場所でもあります。 Mozilla のスタッフも先導して 暗号化通信の基本システム や ウェブログイン のセキュリティ向上の取り組みを行っています。しかしこれらの活動は、他の組織とコラボレーションがあってこそ初めて成功します。 一例を挙げると、先日、 Mozilla は Google、Facebook、Cloudflare、INRIA を含む各社と共に、最新の暗号化プロトコルのテストや、各ベンダーが協力して作る様々なシステムのデモンストレーションを実施しました。
Mozilla が担うもうひとつの役割として、 Mozilla Root Certificate Program の維持があります。これは、 Firefox を含む多くのオープンソースプロジェクトが利用している、信頼できる電子証明書を見分けるためのツールです。電子証明書の信頼性を担保することは、ウェブ自体の信頼性を保つことに直結します。 その中で Mozilla は、唯一、完全オープンなコミュニティベースで信頼できる証明書を判断するプロセスを有するブラウザです。
そして最後に、エコシステムに穴がある事に気づいた際、その穴を埋めることも Mozilla の一つの役割です。たとえば数年前、 私たちは証明書を取得するプロセスの煩雑さやコストが、ウェブのセキュリティの足を引っ張っていることに気づきました。そこで Mozilla は、EFF、Cisco、Akamai やその他多くの企業と協力して Let's Encrypt というウェブサイト向けに無料で自動的に証明書を発行する認証局を立ち上げました。立ち上げ後 1 年足らずで、 1400 万以上ものサイト に証明書を発行しました。これらのほとんどは、それ以前は証明書を持っていないサイトでした。これは、業界内の各パートナーやコミュニティからの貢献者の協力があってこそ達成できた偉業です。
セキュリティのコミュニティをつくる
インターネットのセキュリティ向上が直面する課題は、決して技術的な挑戦だけではありません。正しい知識を持って、インターネットセキュリティ向上のため、政府や企業が良い判断を下す手助けができる人々のコミュニティが必要となります。そのため、Mozilla では今年、暗号化通信についてより多くの人々に知ってもらうためのキャンペーン を打ち出しました。そして現在も、継続してインターネット上で安全性を守るの方法について普及活動 を行なっています。
また、仲間であるオープンソースコミュニティへの援助を通じて、彼らのプロジェクトのセキュリティ向上にも貢献しています。 Mozilla Open Source Support (MOSS) プログラム は、対象プロジェクトのセキュリティを向上させるために、今年、 80 万ドル以上の寄付を行なっています。 MOSS 助成金は、これまで Tor、TAILS privacy-enhanced operating system、Caddy HTTP server (自動的にセキュリティをて提供するサーバー) 、複数のセキュリティ監査 をはじめ、その他多くのオープンソースセキュリティプロジェクトに支援を行いました。
全員の協力が必要です
ご覧いただいた通り、 Mozilla が行っているセキュリティに関する取り組みは、独立した研究者、政府機関、同業他社パートナー、ユーザー含め、セキュリティに関わる全ての人が行っている取り組みと深く関わりがあります。そしてどのメンバーも、全体に欠かせない一部です。ひとつでも欠けてしまえば、ウェブの安全性は損なわれます。 Mozilla のセキュリティチームの活動に興味を持った方は、ぜひ私たちの Security Blog をフォローしてください。