2018年4月1日、Cloudflareはインターネット最速、プライバシーを優先したDNSリゾルバーである1.1.1.1パブリックDNSリゾルバーを発売し、インターネットプライバシーとセキュリティを向上させるための大きな一歩を踏み出しました。これは、何よりもプライバシー優先です。当社は現状維持を良しとせず、透明性のあるプライバシー慣行にならうセキュアなDNS解決が新たな「当たり前」になるべきだと考えていました。それゆえ、当社の1.1.1.1リゾルバーを使ったリクエストに関する個人データを保持しないことをパブリックリゾルバーのユーザーにお約束しました。また、みなさんのDNSクエリの安全性を維持するために、HTTPSを介したDNSを促進する技術的な対策も組み込みました。当社は個人がインターネットで何をするのか知りたかったのではありません。むしろ、当社が知ることがないように技術的な措置を講じたのです。

それを疑わしく思う方もいることを、承知していました。多くの消費者は無料のサービスでは、自分たち自身が商品なのだと考えているのです。必ずしもそうではないというのが、当社の考えです。そこで、当社の1.1.1.1リゾルバーのプライバシー保護へのコミットメントを審査するために、世界的な4大会計事務所(ビッグ4)に調査を依頼しました。

本日、当社は、1.1.1.1リゾルバーの審査を完了し、独立会計士による報告を当社のコンプライアンスページからご覧いただけることをお知らせいたします。

審査のプロセス

1.1.1.1リゾルバーのプライバシー審査から当社は数多くの所見と教訓を得ました。まず、世界初だと当社が考えている、再帰リゾルバーでのカスタムプライバシー保護へのコミットメントの審査をするように、会計事務所に依頼すると、条件の合意と審査の完了にかなりの時間がかかることがわかりました。

また、プライバシーバイデザインのアプローチがうまく機能することも確認できました。当社の製品とサービスのすべてで、プライバシーバイデザインの原則を用いているため、それほど驚きではありませんでした。1.1.1.1リゾルバーを構築した際に匿名化のベストプラクティスを含めたため、ユーザーの個人データを当社は一切持っていないことを実証することができました。RFC 6235に従って、当社のエッジデータセンターでクライアント/ソースIPを省く決定をしたため、1.1.1.1リゾルバーユーザーの完全なIPアドレスを不揮発性ストレージに保存することはありません。

省略されたIPアドレスであっても、一般的なインターネットの傾向やトラフィックがどこから来るのかを理解するのに十分なことを当社は承知していました。さらに、省略されたIPアドレスを社内ブログのネットワーク番号(ASN)に置き換えることで、プライバシー優先のアプローチがさらに改善されました。その上、匿名化されたログだけを限られた期間保持することをユーザーに対し約束しました。この用心深さは、プライバシー版の「ベルト+サスペンダー+2本目のベルト着用」です。

最後に、審査期間中、当社のIP省略ロジックとデータ保持期間の制限が有効であることを確認するために、当社が適切な変更管理手順とインプレースの監査ログを持っているということを一番効率的に証明する方法は、SOC 2報告書と1.1.1.DNSリゾルバーの審査を合わせることだと分かりました。1.1.1.1リゾルバーの審査期間の2019年2月1日から同年10月31日にかけてが、SOC2報告書を頼って遡ることができる最も早い時期でした。

審査の詳細

1.1.1.1リゾルバーを開始したとき、当社の1.1.1.1リゾルバーを利用する個々のユーザーがオンラインで何を検索しているのかトラッキングしないことをお約束しました。審査の結果、当社のコミットメントの中で最も重要な部分を達成できるように設定されていたことが証明されました。DNSクエリと一緒にIPアドレスのクエリをディスクに書き込むことは絶対にありません。従って、1.1.1.1リゾルバーを使っても誰が特定のリクエストをしているかまったく見当がつかないのです。つまり、サイトを訪れる個人をトラッキングしない、個人データを売らないということを意味します。

審査では完全な透明性を持たせることを目的に、リゾルバーユーザーのクエリIPアドレスを含めて、ルーターを通過するすべてのリクエストの0.05%までルーターが無作為にキャプチャしていることを明らかにしました。これと当社ネットワークを通過する全てのトラフィックへの1.1.1.1サービスとは別にしておこなっています。当社は、ネットワークトラブルシューティングやサービス拒否攻撃の軽減に関連して、制限された期間の使用に関するデータを保持します。

説明すると、特定のIPアドレスがデータセンターの1つを何度も流れている場合、それは悪意のあるリクエストかボットネットに関連していることがあります。当社ネットワークに対する攻撃を軽減するためにその情報を保持し、攻撃ベクトルとして当社のネットワークが使われないようにする必要があります。限定されたデータのサブサンプルは、1.1.1.1サービスで処理されるDNSクエリとはリンクされておらず、ユーザーのプライバシーに影響しません。

1.1.1.1リゾルバーリクエストに関して、個人を特定できないログデータの処理方法でプライバシーを守ると当社がお約束した際、匿名ログの対処方法について混乱を招く記述があったことを認めたいと思います。

たとえば、匿名ログデータの保持に関するブログ記事のコミットメントは、明確に記述されているとは言えませんでした。一時的ログ、トランザクションのログ、永続ログと言っていますが、これは十分な定義とは言えず、これまでの記述は不十分なものでした。他にも、当社の1.1.1.1リゾルバプライバシーに関するF&A(よくあるご質問)では、トランザクションのログは24時間以上保持しないと説明していましたが、無期限に保持する匿名ログもあります。しかし、パブリックリゾルバを発表するブログ記事では、その違いを示しませんでした。以下のプライバシー保護へのコミットメントのページで匿名ログの取り扱いに関する明確な記述をお読みいただけます。

これを念頭に置き、当社は1.1.1.1リゾルバーのプライバシー保護へのコミットメントを以下で説明する通り、更新して明確にしました。このコミットメントで最も重要な部分は変わりません。それは、誰がインターネットで何をしているのかを知る必要がないということです。当社には無関係です。そして、当社が関知できない状態を作るために、技術的な措置をとっているのです。

Cloudflare 1.1.1.1 DNSリゾルバーでのコミットメント

審査の一環として1.1.1.1リゾルバーのプライバシー保護に関するコミットメントは、改善できたと思います。当社のコミットメントの本質と意図は、当初から一貫して同じです。新しくなったコミットメントには、審査が含まれました。

  1. Cloudflareは、パブリックリゾルバーユーザーの個人データを第三者に販売したり共有したり、パブリックリゾルバーからの個人データを使ってユーザーを広告表示のターゲットにすることは決してありません。
  2. Cloudflareは依頼を受けたものだけを保持し、使用します。その依頼主を特定する情報を保持したり使用したりしません。Cloudflareのネットワークインフラストラクチャに送信される全トラフィックの最大0.05%からキャプチャされたネットワークパケットを無作為にサンプリングする以外、CloudflareがDNSクエリからパブリックリゾルバーへのソースIPを不揮発性ストレージに保持しません(詳細は以下の通り)。無作為にサンプリングされるパケットは、ネットワークトラブルシューテングとDoS軽減の目的のみに使われます。
  3. パブリックリゾルバーユーザーのIPアドレス(クライアントまたはソースIPアドレスと呼ばれる)は、不揮発性ストレージに保存されません。Cloudflareは、IPアドレス省略表記(IPv4の最後のオクテットとIPv6の最後の80ビット)を経由して匿名化します。そして、省略されたIPアドレスは25時間以内に消去されます。
  4. Cloudflareはパブリックリゾルバーの正当な運営と調査目的のため、一部のトランザクションとデバッグログデータ(「パブリックリゾルバーログ」)だけを保持し、25時間以内にパブリックリゾルバーログを削除します。
  5. Cloudflareは、Research Cooperative Agreementに準じてAPNICを除くいかなる第三者ともパブリックリゾルバーログを共有しません。APNICだけが、パブリックリゾルバログでの匿名化されたデータをクエリし、DNSシステムの運用に関連する調査を行うための限定的なアクセス権を持ちます。

プライバシー保護へのコミットメントを実践する

当社が1.1.1.1リゾルバーを開発した理由は、甚大なプライバシー問題があると認識したからです。ISP、みなさんが接続するWiFiネットワーク、モバイルネットワークプロバイダー、そしてインターネットを傍受する誰かは、たとえコンテンツが暗号化されていたとしても、ユーザーが訪れるサイトや利用するアプリのすべてを見ることができてしまいます。DNSプロバイダーの中には、利用する人のインターネットアクティビティに関するデータを売ったり広告表示のターゲットに使うところさえあります。DNSは、当社がプロジェクトガリレオを通して保護するグループの多くに対する検閲のツールとして使うことができます。

DNS-over-HTTPSまたはDNS-over-TLSを当社の1.1.1.1リゾルバーにお使いの場合、DNSルックアップリクエストがセキュアなチャンネルで送信されます。つまり、1.1.1.1リゾルバーを使うと、プライバシー保護に加えて、傍受者がユーザーのDNSリクエストを見ることができなくなるということです。もちろん、当社がユーザーの行動を見るようなことはないとお約束します。

当社では、消費者が利用するサービスプロバイダーがプライバシー保護へのコミットメントを実際に順守していることを証明できるよう望むべきだと強く考えています。もしCloudflareが、独立監査事務所によって試験された1.1.1.1リゾルバーのプライバシー保護へのコミットメントを実施できるなら、他社でも同じことができるはずです。世界中のインターネットユーザーのためにプライバシー保護を改善し、透明性を高めるのに役立てるように、他のプロバイダーも後に続くことを奨励していきます。Cloudflareは、高い評価を受ける監査会社と引き続き、当社の1.1.1.1リゾルバーのプラバシー保護へのコミットメントを監査していきます。そして、再帰リゾルバーを運用している団体にユーザーデータのプライバシーを保護するデータ処理慣行の採用を奨励してくださったMozillaにも感謝しております。

1.1.1.1リゾルバーのプライバシー審査と会計士の意見の詳細は、Cloudflareのコンプライアンスページでお読みいただけます。

こちらをご覧ください。https://developers.cloudflare.com/1.1.1.1/では、どのデバイスからでもインターネット上で最速、プライバシー優先のDNSサービスを始められます。

P.S. Cloudflareは、例年、明日4月1日に新製品をリリースしてきました。2年前に1.1.1.1、無料、高速、プライバシー優先のパブリックDNSリゾルバーを開始し、1年前はWARPを開始し、モバイルのインターネットアクセスをより安全に高速化する道を開きました。

そして明日は?

3つの重要な変更
横糸を通す前に1つ。そして、
止まり木に安全を