Appleの中国のデータセンターではユーザーデータと同施設に暗号化キーが保管されていると報道

Apple（アップル）が中国で運営しているデータセンターでは、同社の他の拠点で見られるセキュリティやプライバシーに関する対策がほとんど施されていない、とNew York Timesが報じています。

同記事では、17人の現役および元アップル社員、内部文書、新たな裁判資料、そしてこれまでに知られていたアップルの中国事業に関する詳細情報を基に、最大市場で事業を展開するために多くの妥協をしてきた企業の姿を描き出しています。

アップルが今年の6月に貴陽に、そして近々内モンゴル自治区にもデータセンターを開設する予定であることから、その施設が改めて注目されています。

2016年に制定されたデータ主権法に基づき、アップルが中国のユーザーデータを中国のデータセンターに移管したことはすでに知られていました。

海外のクラウドやデータセンター系企業は、中国国内のパートナー企業と共に運営しなければならないとされる中、アップルは、データセンター運営を国有企業であるGuizhou-Cloud Big Data Industry（GCBD）に委託しました。

そして現在、国の職員がデータセンターのサーバーの物理的な管理やサイトへのアクセスコントロールを行っています。

報道はされていませんが、疑われているのは、中国政府にブロックされたことで、アップルが他の場所で使用している暗号化技術を放棄したのではないか？といった点です。

それは、別形式の暗号化を使用し、データのロック解除に使われるデジタルキーを同じ施設内に保管しているというものです。これは、アップルがキーを米国内に保管しようとした後、中国当局から明示的に要求されたものです。

2017年6月にデータレジデンシ―法が施行された後、アップルはまずキーの移動に抵抗しましたが、8カ月後にそれを中国に移しました。その理由についてはわかっていません。

中国以外の国では、アップルはThales（タレス社）が開発したハードウェアセキュリティモジュール上にキーを保管しています。中国当局がこのデバイスの使用を許可しなかったため、データセンターで使用するためにアップルは新たなものを開発したとされています。

アップルは中国のデータセンターの管理はしていないため、米国の法律上では違法となる中国の法執行機関へのデータ提出の必要はありません。その代わり、中国当局はGCBDにアップルのユーザーデータを求めることができます。

ジョンズ・ホプキンス大学の暗号学教授であるマシュー・D・グリーン氏は、ニューヨーク・タイムズ紙に対し、「中国の諜報機関がハードウェアを物理的に制御できるということは、基本的には脅威のレベルに達していると言える」と述べています。

アップルは、この報道に反論し、声明の中で次のように主張しています。「当社はユーザーデータの暗号化キーを管理しており、新データセンターを建設するたびに、そのキーを保護するためにアップルの最先端ハードウェアとセキュリティ技術を採用している」

アップルが中国で使用するあらゆる暗号化技術は、中国政府の承認を得なければなりません。

「iCloud needs influential friends in China（iCloudは中国で影響力のある友人を必要としている）」とAppleの内部報告書にはこう書かれています。

AWS、IBM、Microsoft Azureなどのクラウド事業者らも、中国で同様の提携を結び、施設を（通常は国家とのつながりがある）現地企業に管理させています。しかし、アップルの批評家らは、アップルが自らをプライバシーの擁護者であると主張し、少なくとも欧米ではユーザーデータを管理できていないライバル企業を非難している点について指摘しています。

Data Center Dynamics

原文はこちら