2018年10月8日 Googleは、Project Strobeと呼ばれる社内のプロジェクトにおける調査結果を発表しました。調査の過程において、Google+のAPIに脆弱性が発見されたこと、それに関連した調査結果と今後の対応 も発表内容に含まれています。発表された対応の一つは、コンスーマー（一般）向けGoogle+の閉鎖です。Googleの発表記事の内容についての詳細を紹介します。

Project Strobeとは

2018年の初めに開始されたGoogle アカウントとAndroid端末データへのサードパーティー開発者によるアクセスとアプリのデータアクセスに関する考え方についての根本的な見直しを行う取り組みのプロジェクト名です。このプロジェクトは、ユーザーがデータプライバシーに関連する懸念と開発者が過度のアクセスを許可されている可能性があり、ポリシーを厳しくすべき箇所などによる懸念から、ユーザーがエンゲージ（同意・参加）しないGoogleのプライバシー管理やプラットフォームの機能を監査するものでした。

発表されたProject Strobeによって検知された4つの事柄と対処

検知・発見 1：コンスーマー（一般消費者）の期待に答えるGoogle+ プロダクトを作成して維持することは多大な課題がある。

対応 1：　コンスーマー向けのGoogle+を閉鎖します。

長年に渡りGoogleは、人々がGoogle+でアプリが共有するデータを選択管理する方法についてよりよく理解したいとのフィードバックを受けていました。そのため、Project Strobeの一環として、我々が設定した最初の優先順位の一つは、Google+に関連する全てのAPIを入念にレビュー（監査）することでした。

このレビューは、我々が以前から認知していたことをより明確にしました。それらは、長期間に渡ってGoogle+を構築するためにエンジニアリングチームが多くの努力と献身的な取り組みを行なってきたものの、幅広い消費者への普及と開発者の参加を得ることができず、ユーザーのアプリの利用も限定されていました。コンスーマーバージョンのGoogle+は、現状、利用率が低く、参加も少ない状態：90%のGoogle+のユーザーセッションは5秒未満でした。

我々の監査（レビュー）では、Google+ API と関連したコンスーマー向けの管理は、開発および継続が困難であることが明らかになりました。Project Strobeの監査の一環で、我々はGoogle+ People APIのバグを発見しました。

• ユーザーは、APIを介して、プロフィールデータと友人の公開プロフィール情報へのGoogle+アプリのアクセスを許可することができます。
• このバグは、アプリがユーザーと共有されているが非公開の設定（公開の設定をしていない）プロフィールフィールドにアクセスできる状態になっていました。
• このデータは、名前、メールアドレス、職業、性別、年齢などの静的なオプションのGoogle+プロフィールのフィールドに限定されたものです。（全てのリストは、ディベロッパーサイトをご覧下さい）Google+の投稿、メッセージ、Googleアカウントのデータ、電話番号、Gスイートのコンテンツなど、Google+やその他のサービスに投稿または接続している可能性のある類のデータは含まれていません。
• 2018年3月にこのバグを発見し、速やかに修正を行いました。このバグは、Google+のコード変更後のAPIのインターラクション（相互のやり取り）の結果、公開後に発生したものと認識しています。
• Googleではプライバシーを考慮してGoogle+を制作しているため、このAPIのログデータは2週間のみ保持されます。このことは、このバグによる影響を受けたユーザーを確認することはできないことを意味します。しかしながら、バグの対処を行う前の2週間に渡って詳細な分析を行った結果、最大50万のGoogle+アカウントのプロファイルが影響を受けた可能性があります。私たちの分析から、このAPIを使用したアプリは最大438であることを示していました。
• 開発者がこのバグを認知した、またはAPIを悪用したという証拠は見つかりませんでした。プロフィールデータが誤用された証拠も見つかりませんでした。

毎年、プライバシーとセキュリティーのバグや問題について、我々は数百万の通知を送付しています。ユーザーのデータが何らかの影響を受けている可能性がある時は、我々は常に法的な要求事項を超えて、通知を行うかどうかを決定する際にユーザーに焦点を当てたいくつかの基準を適用します。

我々のプライバシー＆データプロテクション オフィスは、関連したデータの種類、通知すべきユーザーを正確に見つけ出すことができるかどうか、誤用を示す証拠があったかどうか、そして開発者、またはユーザーが対処することができるかどうかについて、レビュー（監査）を行いました。今回の件については、どの項目もしきい値を超えるものではありませんでした。

今回のレビュー（監査）で、消費者の要求を満たすGoogle+ の構築と維持を成功させることが極めて困難であることが明確になりました。これらの課題とコンスーマー向けのGoogle+の非常に低い使用率から、我々はコンスーマー向けGoogle+を閉鎖することを決定しました。

利用者に以降までの十分な機会を提供するため、10ヶ月の期間に渡って、閉鎖に向けた作業を行い、来年の8月末までに完了する予定です。今後数ヶ月の間に、我々はユーザーがデータをダウンロードして移行する方法を含めた追加情報を消費者に提供します。

同時に、我々は企業内でのGoogle+を使用することに大きな価値を見出している多くのエンタープライズカスタマー（大企業の顧客）を抱えています。我々の監査では、安全な企業のソーシャルネットワークにおいて社内の打ち合わせに社員が活用することができるエンタープライズ製品として、Google+がより適していることが判明しました。エンタープライズ顧客は、共通のアクセスルールを設定し、組織全体を中央で管理することができます。我々は、エンタープライズに対する取り組みに注力することを決定し、ビジネス用途に適した新しい機能を導入する予定です。今後、数日間の間に、追加情報を発表致します。

検知・発見 2：人々は、アプリで共有するデータについてきめ細やかな管理機能を欲している。

対応 2：　独立したダイアローグボックスを表示して、より細やかなGoogleアカウントの許可機能を導入します。

アプリのプロンプトで、Googleアカウントデータへのアクセスを促す場合、どのデータについて求められているかを常に確認し、明確な許可を与えなければならないようにします。

これから消費者は、各アプリで共有するアカウントデータをより細かい管理ができるように致します。一つの画面で、全ての求められる許可を表示するのではなく、アプリは求められる許可についてそれぞれ一つずつ、固有のダイアログボックスで表示しなければならない様になります。

例えば、開発者がカレンダーのエントリーとドライブのドキュメントの両方へのアクセスを求める場合、共有することを一つ選択することはできますが、もう一つはできません。開発者は、Google Developer Blogで詳細を読むことができます。

以下は、アプリがコンスーマーGoogleアカウントのデータにアクセスを求めた時の承諾するプロセスの表示例です。（ユーザーはいつでも、許可リクエストを承諾するか選べるようになっています。）

こちらは、新しい承諾プロセスの例です。

検知・発見 3：ユーザーがアプリがユーザーのGmailにアクセス許可を与える時、特定のユースケース（利用事例）を考慮した上で（承諾を）行う。

対応 3：　許可されるユースケースの種類を限定します。

我々は、コンスーマー向け Gmail API のユーザーデータポリシーを更新して、コンスーマーGmail データにアクセスする許可を求めるアプリを制限します。Eメールクライアント、メールバックアップサービス、生産性向上サービス（CRMやメール統合サービスなど）など、メール機能を直接的に向上させるアプリのみ、このデータへのアクセスを許可されます。

さらに、これらのアプリはGmailデータの関与（ハンドリング）について新しい規則に同意する必要があるようになり、セキュリティ評価の対象となります。開発者は、Gmail Developer Blogで詳細をご覧になれます。（これまで通り、G Suiteの管理者はユーザーのアプリの管理をしています。）

セキュリティ チェックアップ ツールをご利用して、（Gmailを含む）Googleアカウントデータにどのアプリがアクセスできるかを確認して管理できます。

検知・発見 4：ユーザーがSMS、連絡先、電話のアクセス許可をAndroidアプリに与える時、特定のユースケース（利用事例）を考慮した上で（承諾を）行う。

対応 4：　Android端末でコール履歴とSMSの許可を受け取るアプリの機能を制限します。AndroidのコンタクトAPI 経由で、通話データ（contact interaction data)を使用できなくしました。

一部のAndroidアプリでは、ユーザーの電話（通話履歴を含む）とSMSデータにアクセスするための許可を求めます。今後、Google Playは、これらのアクセス権を要求できるアプリケーションを制限します。通話やテキストメッセージを作成するためのデフォルトアプリとしてユーザーがデフォルトアプリとして選択されたもののみが、これらのリクエストを行うことができます。 （ボイスメールやバックアップアプリなどいくつかの例外があります）。開発者は、Google Play Developer ポリシーセンターとヘルプセンターで詳細を確認できます。

さらに、Androidのコンタクト許可（承諾）の一環として、例えば、メッセージング アプリがユーザーの最新のコンタクト情報を表示するなど、基本的なやりとりのデータを提供していました。今後数か月以内に、コンタクトインターラクション（通話履歴）データへのアクセスをAndroid コンタクト APIから削除します。

これから数か月の間に、追加された管理機能とポリシーの更新を、さらに多くのAPIに導入、適用致します。コントロールとアップデートポリシーを追加する予定です。それらを行うことで、開発パートナーと協力して、彼らのアプリやサービスを調整して更新するための適切な猶予を与えます。

我々の目標は、誰もが自分のデータが安全であることを確信できることを確実なものにしながら、幅広い用途で利用できるアプリをサポートすることです。開発者により明確なルールと指針を与え、ユーザーが自身のデータを管理することをお手伝いすることによって、我々は忠実に守ることを確実に続けることができます。