Xiaomi、インド空軍のサーキュラーに対しセキュリティ脅威とする反応

今日早く、The Sunday Standardからの報告がTwitterで広まり、インド空軍（IAF）がXiaomiをセキュリティ脅威とするサーキュラーを発行したと伝えています。このサーキュラーは、IAFがその職員と家族に送ったもので、新興テクノロジー企業が製造した携帯電話やデバイスを使用しないよう警告しています。Xiaomiはこの懸念を否定する反応を示しました。

IAFのサーキュラーでは、Xiaomiがユーザーデータを中国にあるリモートサーバーに送信していると非難しています。このメモは、インドコンピュータ緊急対応チーム（CERT-In）からの情報に基づいて情報部門によって作成され、Xiaomiのユーザーのプライベートデータの取り扱いに疑問を投げかける過去のいくつかの報告を引用しています。

「F-secure、主要なセキュリティソリューション会社は最近、Xiaomiの予算スマートフォンであるRedmi 1sのテストを実施し、電話がキャリア名、電話番号、IMEI（デバイス識別子）、アドレス帳の番号およびテキストメッセージを北京に転送していることを発見しました。」とIAFのメモには記載されています。

Technology Personalizedに語ったXiaomiのインドオペレーションのゼネラルマネージャーであるManu Jainは、会社を擁護し、いくつかのことを明確にしようとしました。

まず第一に、私たちはユーザーデータの保護に非常に注意を払っています。私たちはデータセキュリティに関連するすべての地元の法律に100%準拠しています。

これは、今年初めに懸念が浮上して以来、Xiaomiが言っていることと非常に似ています。Manuはさらに言いました：

私たちはMi Cloudやクラウドベースのメッセージなど、データをクラウドに保存する必要があるさまざまなインターネットベースのサービスを提供しています。しかし、データがサーバーに送信される際に暗号化され、安全であることを保証するために厳格な手順を講じており、必要な時間を超えて保存されることはありません。実際、私たちはMi Cloudがデフォルトで無効になり、自動的にデータをサーバーに送信しないようにシステムを変更しました。消費者が意識的にMi Cloudサービスを有効にしたときのみ、データがバックアップされます。

彼が上で言及した変更は、IAFがそのメモで引用している今年8月のF-secureの報告の直後に行われました。以下は、Xiaomiのグローバルな顔であるHugo Barraからの2つのブログ投稿で、行われた変更の詳細が記載されています。

2014年7月30日 – https://plus.google.com/+HugoBarra/posts/9GL9h2fT8H6
2014年8月20日 – https://plus.google.com/+HugoBarra/posts/bkJTXzyXXmj
F-secureは、XiaomiがリリースしたOTAが実際にプライバシーの懸念に対処したことを明確にしました。特にMi Cloudメッセージングサービスに関するものでした。IAFのメモがいつ正確にリリースされたのかは不明ですが、8月以降に会社が行った変更に関する言及は含まれていません。興味深いことに、Hugo BarraはXiaomiがデータセンターとサーバーを中国の外に移動する決定について投稿したばかりです。これは単なる偶然なのか、それともXiaomiがIAFのメモが公表された後に発表を余儀なくされたのか？あなたの推測は私の推測と同じくらい良いです。彼の投稿で、Hugo Barraは説明しています -

2014年初頭、私たちはMiファンにより良いサービスを提供するために、サーバーインフラをグローバルに拡大する大規模な内部努力を開始しました…マルチサイトサーバーアーキテクチャに移行する主な目標は、世界中のMiファンのためにサービスのパフォーマンスを向上させ、レイテンシを削減し、故障率を低下させることでした。同時に、私たちは高いプライバシー基準を維持し、地元のデータ保護規制に準拠するための準備を整えます。 Xiaomiは、サーバーとデータの移行プロセスを3つのフェーズに分けて計画しています – Eコマース移行、MIUIサービス移行、ローカルデータセンター。これを実現するために、Xiaomiはカリフォルニア州アメリカにあるAmazon Web Services（AWS）にデータサーバーを移動することを検討しています。今年の終わりまでに、MIUIサービスとすべての非中国ユーザーの対応データが北京からアメリカのオレゴン州とシンガポールのAmazon AWSデータセンターに移動される予定です。これはユーザーのプライバシーの懸念に対処するための重要な動きです。インド市場はXiaomiにとって非常に重要であり、彼らはセキュリティとプライバシーの懸念を抱えたままでは進めません。確かに、会社はこれらの問題のほとんどに対する修正を迅速にリリースしましたが、なぜそのような問題が最初に存在したのかを説明したり、擁護したりすることには成功していません。現在、会社は同様の理由で台湾でサイバーセキュリティ調査に直面しています。中国本土の法律の下では、中国の土壌にデータを保存する企業は、政府からのデータ要求に従わなければなりません。データを中国の領土から完全に移動することで、Xiaomiはこのような問題に関連する真剣さを示すことになります。Xiaomiはスタイルでインドでのオペレーションを開始しましたが、中国のタグを完全に取り除き、グローバル企業として見られるためには大きな課題があります。Hugo Barraによれば、2015年には、特にインドとブラジルでサーバーインフラを完全にローカライズするために地元のデータセンター提供者と協力する計画です。これにより、これらの市場のユーザーに対するサービスを迅速化し、少なくともある程度は中国の側面を排除できることを期待しています。ユーザーのデータセキュリティを重視するという単なる話では不十分です。上記のように計画された実際の行動が必要です。