No.1
966
247
16pt
一応、Dropbox 側がどんなセキュリティ対策をしているかは、下記のページ(英語)に書いてあります。
Dropbox - How secure is Dropbox? -
極端なことを言えば、これを読んで、Dropbox 側をどこまで信頼できるか、ということになるのですが、個人的には、クリティカルなデータを置くのは避けた方が良いと思います。
上記ページの記述で気になったのは下記の点です。
Dropbox employees are prohibited from viewing the content of files you store in your Dropbox account, and are only permitted to view file metadata (e.g., file names and locations).
ざっくり訳すと、「Dropbox の社員には、ファイル名やその場所を知ることは認められているけど、ファイルの中身を見ることは禁止されています。」となります。つまり「出来ない」とは言っていません。
もちろん、それは単なるルールではなく、きちんとアクセスコントロールしている事が、上記の文の後に書かれていますが、権利を持った人なら中身を見ることが出来る状態にある、と考えられます。
上記ページには「Advanced User」に対して提供されている内容も書かれていて、Advanced User 向けでは、Dropbox 側に保存されたファイルが、AES の 256 bit 鍵で暗号化されている事が書かれています。ということは、無料のサービスでは、Dropbox 側に置かれたファイルは暗号化されてないのでは? という疑問があります。細かいことを言えば、その AES 256 bit の暗号化に使われている鍵に関して記述がないので、もし、鍵が Dropbox 側にあったら、たとえ暗号化されていても Dropbox 側で中身を把握する事が出来ることになります。
ただ、クリティカルなデータを Dropbox に置く方策が無いわけではありません。
“PCで仕事”を速くする:第21回 TrueCryptで、Dropboxをもっと“セキュア”に使う - ITmedia Biz.ID
Truecrypt という暗号化ソフトを使って、その暗号化ファイルを Dropbox 上に置く方法です。こうすれば、Dropbox 側でファイルの中身を見ることが出来ても、Truecrypt で暗号化されたファイルを復号化しないと、意味のあるデータを見ることは出来ません。
もちろん、Truecrypt に安易なパスワードを設定していたら意味が無いですが、データの機密性を、自分がコントロール出来る状態になります。
No.2
262
16pt
以下の理由により、セキュリティ面では不向きだと思います。
・メールアドレス・パスワードのみでログインできる為、悪意をもった内部の人から流出する可能性があります。
・ユーザ操作誤りなどで、DropBoxのシェアフォルダに保管されてしまった場合など情報流出の危険性があります。
No.3
562
16pt
情報セキュリティに関しての認証を取得している企業であれば問題ないでしょう。
はてなに質問する時点で、すでに疑っているのでやめたほうが良いでしょう。
ちゃんとした企業であれば、対価を払ってセキュリティ認証を受けた企業にファイルをあずけるべきです。
No.4
49732154
16pt
http://tod.cocolog-nifty.com/diary/2010/08/ipad-e0e3.html
セキュリティの概要を読んでいると、社員は Dropbox フォルダを見ることを認められていない、と書いてあるけど、
「できない」とは書いてない。
Amazon S3 を信用したとしても、伝送路では SSL が使われる、と書いてあるだけで、暗号化になんのアルゴリズムが使われるかの言及がない。
もし、Webブラウザに依存するのだとしたら、MD5 が使われる可能性が否定できない。
http://internet.watch.impress.co.jp/docs/event/iw2009/20091126_3...
データのバックアップの項に "Dropbox and Amazon" と書いてあるのが気になる。
バックアップが Amazon S3 を利用しないところに保存されている可能性が否定できないと、「Amazon S3 を使ってるから、物理的なセキュリティ面について、心配は無いのだ」というところが信用できなくなる。
サービス規約の方では、がっつり免責事項が書いてあるので、損害が起きた場合の逃げ道はきっちり確保されているので、保証されてない、と考えた方が良い。
結局、セキュリティ的な面は自分で担保するしかないんじゃないかな。
少なくとも、単一のファイルで再利用可能な形(例えば、Excel ファイルそのまま)で、Dropbox を利用するのは、ありえないな。
「クリティカルなファイルを扱う」とした時点で、「簡単に "Drop" して、共有」みたいなお手軽な使い方はしないんですよね。
暗号化も自分でやる。
ファイルを自前のロジックで分解して、単体では意味がなさないようにする。
というような対策をした方が良さそう。
あくまでも、個人的な見解ですが。
No.5
511
16pt
やめた方が無難です。
dropboxにセキュリティホールがあって外部に漏れる可能性はゼロではありません。
保存するとしても何らかアプリケーションを使って暗号化して保存するべきです。
No.6
306
15pt
http://d.hatena.ne.jp/yomoyomo/20110425/dropbox
http://bizmakoto.jp/bizid/articles/0901/19/news024.html
TrueCryptのように自分で暗号化したものをアップロードすれば、多少は安全でしょう。
ただ、原発を見ても分かるとおり、世の中に絶対はありませんし、
安全を高めるためには、それに応じたコストがかかるので、どの辺で落とし所をつけるかでしょう。
ファイルのバックアップが欲しいのであれば、DroboのようなNASを使えば、ネット回線に繋がなくともファイルがなくなることを防ぐことができるかもしれません。
http://plusd.itmedia.co.jp/pcuser/articles/1011/05/news014.html
No.7
1078199
15pt
Dropboxの使用条件をご確認下さい。口座開設時に合意するTs&Csです。Dropboxには機密保持の努力義務はあるが、保証は無いとおもいます。
使用者もユーザーIDやパスワードの正しい管理などのソーシャルエンジニアリング対策は必要です。一方、IT的なところでは契約的にも実質的にもユーザーの管理下にないと言える状態です。SOX法の考え方を適用すると、Dropboxに情報が載った段階で情報が管理外に出たので、機密漏洩だととらえるのが妥当でしょう。
No.8
23719
15pt
Dropboxサービス規約において、いかのような免責条項が明記されています。
いかなるときもDropboxはお客さままたは第三者に対して、本サービス規約に起因するか関係し、またはお客さまの本サイト、コンテンツ、ファイル、サービスへのアクセスか利用に起因するかもしくはそのようなアクセスか利用ができないことに起因する、直接、特別、偶発、懲罰的、結果的損害(利用できなくなること、データ、ビジネスまたは利益の損失を含みます)などいかなる種類の損害に関しても責任を負いません。また本サイト、コンテンツ、ファイル、サービスの誤り、欠陥についても責任を負いません。
Dropboxをビジネスに使うのであれば、こうしたリスクがあることを承知しておいてください。
2
1
1
1
247
177
コメント(0件)