Dropboxでセキュリティ障害(最悪の事態) ~オンラインストレージ・サービスのチェック項目を改めて考える
皆さん、ご存知のオンラインストレージ・サービスのDropboxで19日午後1時54分~午後5時46分の間、パスワード不要のアクセスが可能だったそうです。(Dropboxの公式発表による)
これは、パスワードなしで、全てのユーザのBOXを見る事ができるといった、セキュリティ上最悪な事態です。
原因は「コードアップデートによって、Dropboxの認証メカニズムに影響を及ぼすバグが発生した」とのこと。
私はオンラインストレージ・アプライアンスの「GIGAPOD」のマーケティング支援を行っている関係もあり、オンラインストレージのユーザ取材に行く事が多いです。
セキュリティに厳しい人は意外に思うかもしれませんが、上場企業であっても無料のオンラインストレージサービスを利用している企業がまだまだ多いです。
以前、「企業向けに推奨出来ない理由」を以下のブログで書きましたが、今回はチェック形式にしました。
http://blogs.itmedia.co.jp/yoshimasa/2011/06/post-6ab4.html
◆企業がオンラインストレージサービスを選ぶ時に重要なチェック項目
※以下のチェック項目はあくまで参考です。以下の内容について一切の責任を負いませんので予めご了承ください。
・SSLを使用していること
・マルチテナントでないこと(ハッキングされたら全て見えてしまいます)
・ウィルスチェックをしていること
・WAFレベル以上のセキュリティを使用していること
・利用者単位・ファイル単位でログを追跡できること
・データの保管場所が物理的に国内であること(米国の愛国者法などの海外の法律に依存するのは危険です。少し前も、FBIにストレージを差し押さえられて突然サービスが停止になった米国のプロバイダーも存在しています)
上記は無料のオンラインサービスで実現するのはコスト的にかなり難しいですし、実際に行っているサービスはほとんどないかもしれません。
ただ、有料ですが、先日取材した、ソフトバンクテクノロジー社の「ビジネスファイル便 Share IT! Fits」は上記を完ぺきにこなしていました。さすがです。
※「ビジネスファイル便 Share IT! Fits」:GIGAPODベースのオンラインストレージサービス