便利さとセキュリティーの間には常にトレードオフが避けられない。クラウドは確かに便利だけれども,大切なデータを雲の彼方に預けるのだから,少なからず危険が伴う。クラウドは情報の銀行にたとえられることがあるが,銀行では1000万円までの政府補償があるのに対し,クラウドでは情報が流失しても何の補償も無い。自分自身の問題で済めばまだ良いが,そこに会社の機密データや他人の個人情報などが含まれていた場合,社会的な信用を大きく損なう可能性がある。
クラウドのセキュリティーについて,考えさせられる出来事が最近起きた。ファイル同期サービスで有名なDropboxにおいて,システム改変のバグによって4時間の間,パスワードがでたらめでもログインできる状態になっていたのだ。もちろん,ユーザIDを知らなければログインできないので,即流出というわけではないが,かなり危険な状態にあったことは確かである。Dropboxにとって相当致命的な出来事であろう。
Dropboxのホームページでは,「Dropbox サーバに保存されるファイルは暗号化 (AES-256) されます。」とある。にもかかわらず,パスワード無しでログインでき,ファイルにまでアクセスできてしまったのであれば,暗号化の意味は何だったのかと考えてしまう。Dropboxでは,セキュリティーについて,以下のように説明している。
つまり,暗号解読用の鍵はDropbox側にあるという訳だ。言い換えれば,通帳と印鑑を同じ場所においてあるという事だ。せめて,鍵をパスワードで暗号化していればこのような事態にはならなかったのではないか。
ところで,Firefoxでのブックマークなどの同期サービスSyncでは,ブックマークなどのユーザ情報はローカルに保存した鍵で,ローカルで暗号化されてからサーバーに保存される。したがって,サーバーのパスワードが破られても,解読に必要な鍵はローカルにあるので安全性が高い。
Dropboxで自衛手段を講じるならば,TrueCryptなどを使って,暗号化したファイルをDropbox上に保存するという使い方がある。たとえば,
に書かれているような方法だ。しかし,Dropboxの使いやすさがかなり損なわれてしまう。
Dropboxも信用回復に向けて,セキュリティーの高さと使いやすさを高い次元で両立させて欲しい。期待している。