クラウドアプリ利用の注意点 2

前回、個人がクラウドサービスを利用する際の注意点をみてきました。その中で、世界的なクラウドサービス事業者が提供するシステムは堅牢だが、ログインIDとパスワードがハッキングされることによってクラウドサービスに保存しているデータがすべて流出するリスクがあることをお伝えしました。

FacebookTwitterLinkedIn
クラウドアプリ利用の注意点 2

研究者に告発されたクラウドサービス

  1.  パソコンやスマートフォンにデータを保存し、同じデータをクラウド上に同期して保存するタイプ
  2. クラウド上だけにデータを保存し、そのデータをパソコンやスマートフォンに表示するタイプ

1のタイプではパソコンやスマートフォンでデータを削除すれば、クラウド上のデータも削除されます。クラウドサービスによっては、複数のパソコンやスマートフォンでクラウドサービス上データを同期している場合には、1台のパソコンやスマートフォンでデータを削除すれば、クラウド上のデータも削除され、その他のパソコンやスマートフォンのデータも削除されるケースがあります。上記のDropboxのパターンであるケースも高いです。

2のタイプではパソコンやスマートフォンにはデータを保存していないので、データを削除する場合はブラウザなどを使ってクラウド上のデータを削除します。クラウド会計などはこのパターンが多いようです。クラウド会計を利用する場合はブラウザを使ってクラウド会計サイトにクセスしてデータを追加したり削除したりします。

前回「クラウドアプリ利用の注意点 1」は、クラウドサービスを利用の注意点についてご紹介しました。

クラウドサービス利用時だけでなく、より安全にインターネットサービスを利用するにはログイン時の「二段階認証」が大事になってきます。

株や預金、仮想通貨など金融資産へインターネットからアクセスできる場合には必須の機能です。それ以外でもメールや仕事のファイルなど大事なデータをインターネットからアクセスできる環境に保存している場合は、できるだけ二段階認証を利用しましょう。

さて、今回はクラウドサービス事業者の提供するサービスがセキュリティの観点から十分でないと告発された事例をみていきましょう。

世界的に利用されており、日本でも人気があるオンライン・ストレージサービス「Dropbox」をご存知でしょうか。

Dropboxは、簡単にいうと、複数のパソコンやスマートフォン、タブレット間でリアルタイムにファイルの同期、共有ができるサービスです。パソコン、スマートフォン、タブレットにDropboxの専用アプリケーションをインストールしている場合、特定のフォルダの中に保存したファイルは、ほぼリアルタイムで自動的に他の機器への同期、共有されます。

たとえば、会社のパソコン、家のパソコン、両方にDropboxの専用アプリケーションをインストールしているとします。会社のパソコンでプレゼンテーション用の資料を作っていて、仕事が終わらないのでDropbox専用のフォルダに保存して家に帰ったとします。家に帰って、家のパソコンを起動し、Dropbox専用のフォルダをのぞくと、さっきまで会社で作業をしていたプレゼンテーション用の資料がそのフォルダに入っています。しかもその資料の内容は、まさに会社で作業をして最後に保存をしたときに状態が保たれています。

それぞれのパソコンが起動されていて、Dropboxの専用アプリケーションも動作していて、インターネットに接続されていればほぼリアルタイムに各機器間で1つのファイルを共有できます。Dropboxはサービス開始当初から画期的なサービスでとても便利であったため、全世界で利用者が急増しました。少し古い情報ですが、2013年7月には世界中で利用者が1億7500万人を超えたと発表されています。

Dropbox、ユーザー数が1億7500万人に

実は、このDropboxは過去に一度、有名なセキュリティ研究者によって「セキュリティについてユーザーを騙していた」と米連邦取引委員会に告発されました。

具体的には、Dropbox社はユーザーに対し、「保存されるファイルは完全に暗号化されており、Dropbox社の従業員はファイルの内容を閲覧することはできない」と説明していたが、それは事実と異なっていたというのが告発の内容です。

告訴した研究者によると「政府の捜査当局や、悪意ある従業員、さらには著作権侵害の巨大訴訟を起こそうとする企業など、ユーザーたちはさまざまな危険にさらされている」のことです。

 

deployment
deployment

クラウドサービス上のファイルはのぞき見される可能性も

このDropboxのセキュリティの重要な点は、Dropboxにアップロードするファイルは暗号化されるが、ファイルの暗号や複合に使われる「キー」はDropbox側にあるということです。Dropboxがその気になれば、ファイルの暗号化を解除して内容を閲覧したり、場合によっては捜査当局やその他の組織にファイルを提供することも可能ということです。

ログインIDとパスワードが流出しなければ、クラウドサービス上にアップロードされたファイルは「絶対に秘密」というわけではなく、クラウドサービス事業者にのぞき見される可能性もあるということです。

その後、Dropbox社はデータ・セキュリティに関する主張を変更しています。このやり取りや経緯については下記の記事で詳しく解説されています。

「Dropboxの暗号化は嘘」:FTCへの告発

このようにクラウドサービスは、事業者が保存データの運用ルールを決めているので、アップロードしたデータの100%の秘密を保証してくれるわけではなく、場合によってはファイルの内容をのぞき見されるリスクがあることを念頭において利用する必要があります。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。