国内の月間アクティブユーザー(MAU)が6800万ユーザーを誇るLINE。また決済サービス「LINE Pay」の登録ユーザー数も3000万人を突破しており、コミュニケーションだけにとどまらない仮想インフラ企業化が進んでいる。インフラ企業に求められるのはなんといっても信頼性であり、Webの世界において信頼性を担保するには堅牢なセキュリティが最も重要と言ってもいい。

同社はCISOを日本に限らず海外子会社などにもそれぞれ設置。脆弱性を見つけた人物に対して深刻度や新規制に基づいた報奨金を支払う「LINE Security Bug Bounty Program」も、2015年よりスタートしている。会社としてセキュリティにどう取り組んでいるのか、LINE 執行役員 CPO/CISOの中山 剛志氏に話を聞いた。

LINE 執行役員 CPO/CISO 中山 剛志氏

透明性報告書を公開した真の理由

2015年にスタートしたバグ報奨金制度は、2016年に通年プログラムに変更。また、今年の4月には認定対象を拡大し、メインのLINEアプリ(iOS、Android)に関するバグ報告に加え、Chrome版やLINE STOREなどその他一部サービスのWebサイトまで広げた。

「グローバル展開する企業として、優秀なセキュリティ人材の確保やチームとしてプラクティスもしっかりこなしている。ただ、AppleやGoogleであってもバグバウンティを行っているようにセキュリティ体制を構築するだけでは十分ではない。力が及ばない部分はどうしてもあるし、サイバーテロの脅威には常にさらされている。ベストな環境を構築するためのピースとしてバグバウンティをやっています」(中山氏)

国内ではサイボウズの取り組みが有名だが、ほかにはあまり広がっていない。2015年の9月に期間限定のトライアルでプログラムをスタートした時は「海外の企業が実際にやっていると言っても、ちゃんと報告が上がってくるのか確認の意味合いもあった」(中山氏)。その上で、「そもそも何のためにバグバウンティをやるのか、今は『万全を期し、ユーザーのために』ということが言える」そうだ。

「バグ潰し」という単純明快なセキュリティ対策に加えて、LINEはこの4月に透明性報告書も公開。各国の捜査機関による情報の開示請求件数などをWeb上に掲載している。例えばFacebookなどもこうした開示請求レポートを公開している。

LINEについては2016年7月~12月に日本で1500件の開示要請があり、1167件の対応を行った(該当ページ)。対応の内容としては基本的に令状が必要となるが、対象者の生命の危険が及ぶ可能性のある「緊急避難」の対応や、捜査のための情報開示請求となる「捜査関係事項照会」も一部含まれている。

こうした数字を見ると、当然ながらMAUで6800万ユーザーいる中で「わずかしか開示していない」という事実が確認できる一方で、実数として少なくないと感じる人もいるだろう。

「私たちの世界(コミュニケーションプラットフォーム)では、こうした透明性報告書を出していないところが多い。(最大級のユーザーを抱える)WhatsAppも出していない中で、数字をしっかり出すことが大切なんです。別に、これがすなわち『いいこと』『悪いこと』という話ではない。ですが、アジアや日本のアプリベンダーの多くはこうした透明性に気を配ることが少ない。

アジア圏とは異なり、アメリカや欧州はプライバシーの意識が違いますし、遅まきながら遠くない将来、アジアでもプライバシー意識の高まりがやってくるはず。実際、先進層の中ではアウェアネスが高まっていますし、そうした環境だからこそ、透明性報告書を公開することが”マスト”だと思って出したんです」(中山氏)

LINEは2016年5月に一般財団法人の情報法制研究所を設立しており、理事にはサイバーセキュリティ界や個人情報の保護の在り方に関する専門家が多数名を連ねる

LINE セキュリティ室 情報セキュリティチーム LINE-CSIRTの新美 融氏は、「こうした情報学の研究、議論できる場などを通して、アンテナを張ることが重要で、自分たちとしても最先端でプライバシーやセキュリティについて、常に考える必要がある」と話す。ちなみに新美氏は、ジンバブエの情報通信政策の立案に関与した人物で、現地の個人情報保護法のドラフト文を作成したそうだ。

プライバシー意識を高めるためにLINEが進む道

なぜLINEが単なるセキュリティ・インシデントへの対応や対策だけでなく、一段上の法制度解釈や、プライバシーの議論に強く関心を寄せるのか。