WordStreamの創業者であるラリー・キム氏が2015年に見事に予言していた出来事ですが、Googleは長年悩まされてきたソーシャルメディアプラットフォームであるGoogle Plusを手放すことになりました。 公式発表によると、Googleは、Google Plusを消費者にとって価値のあるプラットフォームにするために、長年にわたってかなりの時間とリソースを費やしてきましたが、3月に発生したデータ侵害が最後の藁になったようです。 Google Plusは、家庭の花瓶を割った醜い継子のようなものでした。 それほど人気があったわけではありませんが、今回の軽率な行為によって、GoogleはGoogle Plusと縁を切りたいという圧倒的な動機を得たのです。
発生したデータ違反と、今回の発表の影響についてもう少し詳しくお話ししましょう。
Google Plusとは何だったのか?
Google Buzz、Google Friend Connect、Orkut に続く、Google の 4 番目の試みである Google Plus は、ソーシャル ネットワークの構築でした。 2016年時点で3億9,500万のアクティブアカウントを獲得しており、ユーザー数の増加が期待されました。 しかし、2016年の時点では、これらのアカウントの91%は空の状態でした。 現在では、Google Plusのユーザーセッションの90%は5秒以内に終わっています。 なぜ、アカウント数と使用量に大きな差があるのでしょうか? 長年にわたり、Google Plusは写真、ハングアウト、YouTubeなどのアプリと統合されていました。 これらのアプリを使用して交流するには、Google Plusのアカウントが必要でした。
これは、Google Plusのユーザーの大半が、これらの他のアプリを使うためにGoogle Plusを利用していることを意味します。 初期の段階でGoogle Plusを脅威と感じていたFacebookとは異なり、人々は実際にプラットフォームを利用するためにGoogle Plusのアカウントを設定していなかったのです。 例えば、Facebook のアカウントを持っていると、Spotify や他の多くのサービスに簡単にサインインできますが、多くの人が Facebook のアカウントを持っている理由はそこではありません。
Google Plus の傘下にあった製品やサービス (メール、写真、ストリーム、YouTube) が時を経て消滅したことで、最終的に Google Plus はゴーストタウンとなりました。
しかし、どんなに問題があって非生産的であっても、誰も公に子供と縁を切りたくないので、Google は必要以上に Google Plus にしがみついていました。
そこにデータ流出が起こりました。
Why Is Google Plus Going Away?
今回のデータ流出は、5,000万人以上のFacebookユーザーの個人情報にアクセスしたケンブリッジ・アナリティカの規模には及びませんでしたが、何事もなかったわけではありません。 Googleは、SkrillexとLCD Soundsystem(本当ではない)が中心となってデータ規制に取り組む「Project Strobe」を年初に立ち上げました。 発表によると、Project Strobeは、データ流出の前に独立して立ち上げられたものであり、したがって、データ流出はGoogleが積極的に探していたものであり、偶然に遭遇したものではありません。
Project Strobeの目的は、Googleの広大なアプリとサービスのネットワークにおけるサードパーティの開発者のアクセスを審査することでした。これは、エコシステムが複雑になればなるほど、Googleがデータのプライバシーとセキュリティを規制することが難しくなるという考えに基づいています。
- ユーザーは、API を通じて、自分のプロフィール データおよび友人の公開プロフィール情報へのアクセスを Google+ アプリに許可できます。
- このバグにより、アプリは、ユーザーと共有されているが公開とマークされていないプロフィール フィールドにもアクセスできるようになりました。
- このデータは、名前、メール アドレス、職業、性別、年齢などの静的で任意の Google+ プロフィール フィールドに限られます。 Google+の投稿、メッセージ、Googleアカウントのデータ、電話番号、G Suiteのコンテンツなど、ユーザーがGoogle+やその他のサービスに投稿または接続したその他のデータは含まれません。
- 私たちは2018年3月にこのバグを発見し、直ちにパッチを適用しました。 このバグは、APIがその後のGoogle+のコード変更と相互作用した結果、ローンチ後に発生したと考えています。
- 私たちはプライバシーを考慮してGoogle+を作ったため、このAPIのログデータを2週間だけ保持しています。 そのため、どのユーザーがこのバグの影響を受けたかを確認することはできません。 しかし、バグのパッチを当てる前の2週間に詳細な分析を行ったところ、最大50万のGoogle+アカウントのプロフィールが影響を受ける可能性があることがわかりました。
- 開発者がこのバグを認識していた、または API を悪用していたという証拠はなく、プロファイル データが悪用されたという証拠もありませんでした。
TL;DR: Google は、サードパーティ製アプリが最大 50 万人の個人情報の一部にアクセスできるシステムの不具合を発見しました。 Google は直ちにこの不具合を修正しました。
「データ流出」は今、メディアで大々的に取り上げられている言葉ですが、すべてを考慮すると、今回の件はかなり無害だったようです。
What Else Did Project Strobe Uncovered?
何度も言うようですが、本当によくできています。 Project Strobe は全部で 4 つの発見をしましたが、そのうちの 1 つだけが「Google Plus を捨てろ」でした。 他の 3 つは、順に以下のとおりです。
人々はアプリケーションと共有するデータを細かく管理したいと思っています。
Google の解決策は、ユーザーがサードパーティのアプリと共有する情報をより細かくコントロールできるようにすることです。 これまでは、あるアプリケーションがカレンダーとドライブの両方にアクセスしたい場合、Google は両方のデータを共有することに同意するかどうかだけを尋ねていました。 現在は、それぞれのデータを共有することに同意するかどうかを、1つずつ尋ねます。
ユーザーがアプリケーションに自分の Gmail へのアクセスを許可するときは、特定のユースケースを念頭に置いています。 これにより、ユーザーがサードパーティに自分のGmailアカウントへのアクセスを許可した場合、メール機能を直接拡張するアプリケーションのみがユーザーのデータへのアクセスを許可されます。 また、サードパーティは、Google の新しいセキュリティ基準を受け入れ、定期的なセキュリティ レビューを受ける必要があります。
ユーザーが Android アプリに SMS 、連絡先、電話 の権限を与えるとき、ユーザーは特定の使用例を念頭に置いています。 上記の変更と同じですが、Android では、通話やメールのデフォルト アプリとしてユーザーが個人的に選択したアプリだけが、ユーザーのデータにアクセスできます (ユーザーが共有に同意した場合)。
このように、Google は全体的に、サードパーティのデータ アクセスを規制することで、セキュリティを向上させ、透明性を高めています (今年の 2 つの大きなテーマ)。
Project Strobeについての最終的な考え
Google は、Google Plus が企業にとって有用なプラットフォームであったと主張しています。 Googleは、ユーザーが安全にデータをネットワークから移行できるよう、10ヶ月間の「ウィンドダウン」期間を設けています。また、長い間計画されてきたこの終焉を緩和するため、近日中にリリースされる機能に関する情報を公開する予定です。