人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

Dropboxは企業の経理データなどのクリティカルなファイルを保存するにはセキュリティ面で不向きでしょうか?

●質問者: mamoru_t
●カテゴリ:コンピュータ インターネット
✍キーワード:Dropbox クリティカル セキュリティ データ ファイル
○ 状態 :終了
└ 回答数 : 9/9件

▽最新の回答へ

1 ● JULY
●16ポイント

一応、Dropbox 側がどんなセキュリティ対策をしているかは、下記のページ(英語)に書いてあります。

Dropbox - How secure is Dropbox? -

極端なことを言えば、これを読んで、Dropbox 側をどこまで信頼できるか、ということになるのですが、個人的には、クリティカルなデータを置くのは避けた方が良いと思います。

上記ページの記述で気になったのは下記の点です。

Dropbox employees are prohibited from viewing the content of files you store in your Dropbox account, and are only permitted to view file metadata (e.g., file names and locations).

ざっくり訳すと、「Dropbox の社員には、ファイル名やその場所を知ることは認められているけど、ファイルの中身を見ることは禁止されています。」となります。つまり「出来ない」とは言っていません。

もちろん、それは単なるルールではなく、きちんとアクセスコントロールしている事が、上記の文の後に書かれていますが、権利を持った人なら中身を見ることが出来る状態にある、と考えられます。

上記ページには「Advanced User」に対して提供されている内容も書かれていて、Advanced User 向けでは、Dropbox 側に保存されたファイルが、AES の 256 bit 鍵で暗号化されている事が書かれています。ということは、無料のサービスでは、Dropbox 側に置かれたファイルは暗号化されてないのでは? という疑問があります。細かいことを言えば、その AES 256 bit の暗号化に使われている鍵に関して記述がないので、もし、鍵が Dropbox 側にあったら、たとえ暗号化されていても Dropbox 側で中身を把握する事が出来ることになります。

ただ、クリティカルなデータを Dropbox に置く方策が無いわけではありません。

“PCで仕事”を速くする:第21回 TrueCryptで、Dropboxをもっと“セキュア”に使う - ITmedia Biz.ID

Truecrypt という暗号化ソフトを使って、その暗号化ファイルを Dropbox 上に置く方法です。こうすれば、Dropbox 側でファイルの中身を見ることが出来ても、Truecrypt で暗号化されたファイルを復号化しないと、意味のあるデータを見ることは出来ません。

もちろん、Truecrypt に安易なパスワードを設定していたら意味が無いですが、データの機密性を、自分がコントロール出来る状態になります。


2 ● cau62980
●16ポイント

以下の理由により、セキュリティ面では不向きだと思います。

・メールアドレス・パスワードのみでログインできる為、悪意をもった内部の人から流出する可能性があります。

・ユーザ操作誤りなどで、DropBoxのシェアフォルダに保管されてしまった場合など情報流出の危険性があります。


3 ● miyake
●16ポイント

情報セキュリティに関しての認証を取得している企業であれば問題ないでしょう。

http://goo.gl/W8G4P

はてなに質問する時点で、すでに疑っているのでやめたほうが良いでしょう。

ちゃんとした企業であれば、対価を払ってセキュリティ認証を受けた企業にファイルをあずけるべきです。


4 ● a-kuma3
●16ポイント

http://www.dropbox.com/terms

http://tod.cocolog-nifty.com/diary/2010/08/ipad-e0e3.html


セキュリティの概要を読んでいると、社員は Dropbox フォルダを見ることを認められていない、と書いてあるけど、

「できない」とは書いてない。


Amazon S3 を信用したとしても、伝送路では SSL が使われる、と書いてあるだけで、暗号化になんのアルゴリズムが使われるかの言及がない。

もし、Webブラウザに依存するのだとしたら、MD5 が使われる可能性が否定できない。

http://internet.watch.impress.co.jp/docs/event/iw2009/20091126_3...


データのバックアップの項に "Dropbox and Amazon" と書いてあるのが気になる。

バックアップが Amazon S3 を利用しないところに保存されている可能性が否定できないと、「Amazon S3 を使ってるから、物理的なセキュリティ面について、心配は無いのだ」というところが信用できなくなる。


サービス規約の方では、がっつり免責事項が書いてあるので、損害が起きた場合の逃げ道はきっちり確保されているので、保証されてない、と考えた方が良い。


結局、セキュリティ的な面は自分で担保するしかないんじゃないかな。

少なくとも、単一のファイルで再利用可能な形(例えば、Excel ファイルそのまま)で、Dropbox を利用するのは、ありえないな。


「クリティカルなファイルを扱う」とした時点で、「簡単に "Drop" して、共有」みたいなお手軽な使い方はしないんですよね。

暗号化も自分でやる。

ファイルを自前のロジックで分解して、単体では意味がなさないようにする。

というような対策をした方が良さそう。


あくまでも、個人的な見解ですが。


5 ● もすぴー
●16ポイント

やめた方が無難です。

dropboxにセキュリティホールがあって外部に漏れる可能性はゼロではありません。

保存するとしても何らかアプリケーションを使って暗号化して保存するべきです。


1-5件表示/9件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ