インフィニティソリューションズ株式会社ブログ

セキュアなクライドファイル同期への移行は間違っている

先月末から今月初めにかけて、Dropboxのユーザにスパムメールが送られるという問題が発生していた。その原因を探ったところ、Dropboxとは別のサイトからパスワード情報が盗まれ、その中にDropboxの従業員の情報も含まれていた。その従業員のDropboxの中にあったプロジェクト文書からユーザのメールアドレスが流出した可能性がある、というものだった。これをきっかけにDropboxより「セキュア」であることを謳ったファイル同期製品やサービスが攻勢をかけている。しかしながらInformationWeekのJonathan Feldman氏は、そのような「セキュアな」クラウド同期を利用するのは間違っている「‘Secure’ Cloud File Sync Is The Wrong Move」と主張している。

‘In one example, the vendor referred to a recent, human-related Dropbox security breach, opining: “The fact is that commercial cloud services are not secure data repositories. Period.”

Broad brush statements like that one drive me crazy. Of course, any time data leaves your span of control, it’s less secure. But for business to actually get transacted, sometimes we need to achieve a balance between security and functionality.’

「1つの例は、最近の人的なDropxboxセキュリティ違反に言及してさるベンダーがこう主張してきた。『事実は、商用のクラウドサービスでは、データレポジトリはセキュアではないのだ。』と。

このような大雑把な議論には頭に来る。むろん、データが自分の制御下から外れれば、よりセキュアでなくなる。しかしビジネスを進めていく上では、ときとして、セキュリティの機能をバランスさせなくてはならなくなるのだ。」

Secure Communications by Nigel Johnson, on Flickr

セキュリティにずっと携わってきたFeldman氏としては、

‘Our job is to classify use cases and help our business colleagues understand the risk-benefit ratio.’

「我々の役目は、ユースケースを整理し、ビジネスに携わる者たちが、リスクと利点のトレードオフを理解できるようにすることなのだ。」

Dropboxと同じ機能で、ただよりセキュアなサービスと主張するベンダーに対しては、結局データが自分の制御下から外れればある程度リスクが発生するのは同じだ、としている。

Dropbox、Box.net、SugarSyncが広く使われているのは、エコシステムが確立されているためで、そのようなエコシステムが出来ていない「セキュア」なクラウドファイル同期サービスは「使えない」サービスになってしまうと。

‘There’s no doubt that cloud-based file sync has created a huge security issue. But expecting to solve it with inadequate products isn’t the way to go. Instead of IT acting like the no police and outlawing the tools that actually serve their user bases, IT can work with business leaders in several ways.’

「クラウドベースのファイル同期が大きなセキュリティ問題担っているのは疑いがない。しかし、不適切な製品で解決しようというのは、間違っている。ユーザが実際に使っているツールをIT部門が禁止するのではなく、IT部門はビジネスリーダと下記の行動を起こすべきだ。

‘>> Establish and document acceptable use cases for cloud file sync. Not every use case is appropriate, obviously.’

「クラウドファイル同期を使ってよい使用例を確立し、ドキュメント化すること。もちろん全部が適切であるわけではない。」

‘>> Integrate cloud file sync use case and other guidelines into your security awareness training.’

「クラウドファイル同期の使用例や他のガイドラインをセキュリティ喚起教育に取り込む。」

‘>> Define the risks and then work with security personnel to establish what the mitigation strategy will be, such as data leak protection, adequate backups, and two-factor authentication.’

「リスクを定義し、セキュリティ担当者と、リスク最小化戦略を確立すること。データ漏洩防衛、適切なバックアップ、2要素認証などだ。」

‘It’s much more difficult to have these conversations than to simply lock up everything and offer inadequate tools. But it’s the right thing to do.’

「このようなことを議論するのは、全てをダメにしえ、不適切なツールを押し付けるより相当困難だが、まっとうなことなのだ。」