コロナウイルスの流行時に、短いビデオクリップで笑いを取ることから始まったTikTokは、注目を集める短編ビデオ形式を採用し、最も人気のあるソーシャルメディアアプリの中で確固たる地位を築いています。しかし、流行する他の外資系アプリと同様に、中国資本のTikTokは、そのデータ収集とプライバシー慣行に関する精査に直面し続けています。しかし、今回、警鐘を鳴らしているのは米国だけではありません。
主権と完全性」への脅威を理由に、オーストラリアは、インド、英国、米国、カナダ、そしてヨーロッパ諸国を含む数少ない世界政府に加わり、すべての政府関係者の携帯電話からTikTokアプリを削除するよう求めた。各国政府はTikTokのリスクをより深刻に受け止め始めているが、月間10億人以上のアクティブユーザーを抱える企業や非政府組織も同様の対応をしているのだろうか?
Center for Internet Securityによると、「TikTokがユーザーから収集するデータには機密情報が含まれており、ユーザーの明示的な認識なしに取得されることが多い」という。このデータには、"デバイスのブランドとモデル、オペレーティングシステム(OS)のバージョン、モバイルキャリア、閲覧履歴、アプリやファイルの名前と種類、キーストロークのパターンやリズム、ワイヤレス接続、ジオロケーション "が含まれるが、これらに限定されるものではない。TikTokは、年齢、画像、個人的な連絡先、統合されたシングルサインオン(SSO)機能を通じて収集されたその他のデータなど、個人を特定できる情報(PII)を収集するまでに至っている。
このアプリが「(メッセージの)内容や、(メッセージが)いつ送信、受信、および/または既読されたかに関する情報」を収集できること、そして特にTikTokのCEOが最近議会で公聴会を開き、全体的な対話にさらなる内容を加えたことを考えれば、世界中の大組織や大企業がTikTokへの警戒を強め、TikTokが収集する個人データや企業データの保護について懸念を表明している理由は容易に理解できる。
なぜこのような情報漏えいが起こるのでしょうか?
ソーシャルメディアは、フィッシングや詐欺などの様々なセキュリティリスクを抱えていますが、政府や企業などの大規模組織にとって、TikTokがインストールされ消費されるデバイスの個人と企業の境界が曖昧になることが最大の関心事です。
さらに、外部および内部の関係者によるデータの悪用の可能性は、大きな懸念材料です。これは、認証トークンの共有、シングルサインオンの統合、データのポータビリティなど、オンラインプラットフォームやサービスがいかに相互に絡み合っているかに起因しています。特に、ウェブサービスやクラウドサービスが広く利用されていることから、データの盗難や悪用が発生した場合の影響は深刻です。
問題は、TikTokの使用禁止を支持するほどセキュリティの脅威を気にしている組織がどれだけあるのか、それとも全くリスクを認識していない組織がどれだけあるのかということです。
ウェブ、クラウド、モバイルのあらゆる脅威と同様に、セキュリティチームは主要なリスク要因を学び、理解することが極めて重要です。TikTokはどのようにデータを扱っているのか?ユーザーとデバイスの安全な識別と認証はどのように行うのか?TikTokではどのようなトラフィックやコンテンツが共有・消費されるのか?TikTokはどこに存在するのか、そしてそれは組織のリスク選好度にとってどのような意味を持つのか?
ユーザー、デバイス、ロケーション、ビジネス要件などが多様化する今日、特定のサービスへのアクセスを一晩で遮断するような強引な方法を取ることは難しい場合があります。しかし、突然のサービス遮断を避けたい場合には、ユーザーへの啓蒙活動やセキュリティ・ガードレールの導入が有効です。
Skyhigh Security は、TikTokというプラットフォームとサービスを取り巻く激動の海をユーザーがナビゲートする際に、セキュリティ・アナリストが考慮すべき数多くのリスク属性を詳述することで、この問題を取り上げています。これらのリスク属性には、データそのもの、ユーザー/デバイス、サービス、組織のビジネス慣行、法的事項、サイバーセキュリティに関するものが含まれます。
そこから、セキュリティチームは、ログイン、アップロード、ダウンロードの制限/ブロック、データ帯域の調整、カスタムユーザー教育Webページの導入など、データセキュリティ制御の導入を開始し、デバイスからTikTokプラットフォームへのデータ流出を抑制するだけでなく、より全体的に、データを誤用する可能性のある他の疑わしいオンラインサービスを消費するユーザーのデバイスから機密データの流れをより適切に制御することができるようにします。
何ができるのか?