クラウドサービスに先だって知っておくべきこと
ユーザの所有するデバイスだけによる情報管理の壁を越えた利便をもたらすクラウドであるが、ユーザ自身を守り、かつクラウドを快適に利用するために欠かせないリテラシーがある。
一生使うつもりでアカウント登録する
クラウドサービスのアカウントは、ほとんどの場合にメールアドレスの入力することになっている。 登録時に用いるメールアドレスとして一生使い続けるつもりのメールアドレスを使おう。 学生時代に大学から発行され卒業後に失効するようなメールアドレスでクラウドサービスを利用すべきではない。
また、ISP(プロバイダ)のメールサービスによるアドレスでよいかどうかも慎重に吟味する必要がある。 家族の都合でたまたま使っているかもしれず、それを一生使う続けるかどうかは未定だからだ(より安価なより充実したプロバイダに変更する可能性もあるはずだ)。
メールアドレスを失効させた場合には、せっかく蓄積したデータを無駄にするか、または(幸いにもデータがローカルにあるならば)別のアカウントを取得して改めて「データのお引っ越し」をすることになる。 この際、その膨大な手間だけでなく、データ日付など管理上の問題を抱えてサービスの利便性を大きく損なってしまうことになる。
- クラウドサービスは長くつきあうことで利便性があがるので、アカウント名はよく吟味しよう。
- アカウント名として学生番号などは避け、携帯メールのような無意味に長い名前も不便なだけだ。 人からも自分だとすぐにわかるような氏名に近いアカウント名を工夫しよう。 人とのファイル共有の際に不要なトラブル回避を回避することもできるからだ。
アカウント管理は厳重に〜自己責任が原則
メールサービス、SNS(Social Network Service)やストレージ利用(ファイル保存)など多くのクラウドサービスでは、ユーザの個人情報がクラウド側で管理されることになる。 クラウド側からはユーザはサービスに応じたアカウント(account)と対応するパスワードによって識別・認証される場合がほとんどだ。 したがって、ユーザは安全性に関する意識と重大な関心を常に保ちながらサービスを受ける必要がある。
- 登録メールアドレスが同じであっても、サービスごとに固有のパスワードを使用する
クラウドサービスのアカウントごとに違うパスワードを設定しよう。 パスワードの再利用は以下のようにきわめて危険だ(パスワードが同じ場合、悪意の第三者に知られてしまうと数珠つなぎ的にさまざまな情報にアクセスされてしまう可能性があるからだ)。
次の記事に紹介されている悪夢は、ICTにもっとも詳しいはずのWired記者Mat Honanが被った事例だ。 人ごとではなく、自分に降りかかったとして咀嚼しながら熟読しよう。
記事にあるように、まずセキュリティ上の失敗は自分のミスであるということだ。 被害の拡大は、複数のクラウドサービスにわたって同じアカウント名やパスワードを使い回すことは非常に危険であることをよく理解しておくべきだ。 不正利用者を呪う前に責任は自分にあるという認識に立ってネットワークを利用することが今日のネットワークリテラシーである。 繰り返すが、もし被害にあった時点でもはや手遅れであり、データの回収や失われた信頼の回復など原状復帰は不可能に近いことを忘れないで欲しい。
記事の最後に補足されているが、この記事の公開後、Amazonはカスタマー・プライヴァシー・ポリシーの内容を修正し、電話にてメールアドレスの変更やクレジットカードの追加を行うことができないようになった。 また、Appleもこの問題に対処し、電話にてApple IDのパスワードのリセットを行うことができないようになった。
同時にクラウドサービスを提供する企業には高度な最新のセキュリティ技術と顧客情報を漏洩させない高いモラルが要求される。 とくに大規模化クラウドサービスを提供している企業はクラッキング( cracking)の標的になりやすく、今も水面下で激しい攻防が続いている。 その取り組みと十分な対策を講じていてまだ不十分な様子を以下でよく確認してほしい。
パスワードの脆弱性によってアカウントが乗っ取られる可能性だけでなく、そもそもクラウドサービスを受けるための認証画面それ自体を悪意の第三者が詐称し、ユーザのアカウントやクレジット情報を盗むというフィッシング(phishing)からは安全ではない。 経験者ほど陥りやすいのだが、自分の知識や経験を過信しないことも大切だ。
二段階認証は欠かせない
安全の確保するにはユーザの心がけだけでは難しい。 一歩踏み込んだ仕組みを取り入れるだけで格段に安全性が向上する。 GoolgleやDropboxだけでなく、既に英語圏で実施が始まった Apple IDや導入を検討しているEvernoteなど必携クラウドサービスでは2段階認証は欠かせないユーザの利用形態となっている。
二段階認証を使おう (for Googleアカウント & Dropbox)
わずかな手間を惜しんだがためにWIRED記者のような災難にあう可能性は日増しに高まっている。
国家支援型のサイバー攻撃、ハクティビズム続伸(2012 Dec 12)
『作り方 パスワードの 新しい セキュアな これが』--研究チームが発表(2013 Jan 25)
クラウド連携アプリケーションは慎重に利用する
クラウドサービス企業とは独立に作成されクラウドと連携できるアプリケーションが本当に安全であるかどうかについて常に注意すべきである。 クラウド企業はクラウドにプログラムからアクセスできるためのAPI(Application Program Interface)を公開している場合があり、別の企業や開発者は概ね自由にそのAPIを使ってプログラムすることが可能だ(Google Mapに連動してさまざまな店舗情報が取得できるのはGoogle Map APIをGoogleが公開しているからである)。
パソコンだけでなくスマートフォンなどの最近のアプリケーション(ゲームを含む)は、アプリケーション内部からTweetしたりSNSに投稿できるなどクラウドサービスに連携して作られていることが多く、上手く使うと利便性は高い。 ただし、クラウド連携を可能にするためには、そのアプリケーションを使ったユーザが自分のクラウドサービスへのアクセス情報(アカウントとパスワード)をAPIに渡し、そのアプリケーションがクラウドへアクセスできることを許可しなければならない事実を改めて考えるべきだ。
実際、悪意のあるアプリケーションは想像以上に多く、アプリケーションの起動とともにユーザのデバイスにある個人情報(連絡先などの住所録)にアクセスしてコッソリ情報収集してどこかに送信したりするなどのマルウエアを埋め込んだアプリケーションが数多く報告されている(おまけに、「住所録にアクセスしても構いませんか」などとユーザ自身の許可を求めてくる念の入れようで、その情報を「外部に送信します」とは言わない)。
とくに、AndroidアプリケーションはGoogleが配信サービスを行っているGoogle Play以外からでも自由に配布できることに注意してほしい。 つまり、AndroidアプリケーションはGoogleだけが配布できる形態ではなく、開発者が自由に自分のサイト等を通じて配布することができる。 iPhone/iPod/iPad用のアプリケーションはAppleの事前審査に通過しないと配布できない仕組みではあるが、このことが内部の個人情報に不正にアクセスするアプリケーションがないというわけではない(そうしたアプリケーションの存在は少なからず報告されてきた)。
アップル、UDID利用アプリを5月から拒否へ--Retinaディスプレイや「iPhone 5」への対応も必須に(2013 Mar 22)
Android向けアプリのセキュリティを考える(2013 Mar 22)
モバイル端末を狙うマルウェア、大半は「Android」向け--エフセキュア調査(2013 Mar 8)
セキュリティソフトの対策に限界も」総務省が考えるスマホの安心利用(2013 Mar 4)
連携されることの多いクラウドサービス(たとえば、FacebookやTwitterやDropboxなど)のアカウント・セキュリティ設定を確認して、それらのサービスに現在アクセス権を設定しているコンピュータやアプリケーション情報を確かめよう。 もし、ほとんど利用していないアプリケーションにアクセスを許しているならば、許可を取り消そう(復活するには再設定すればよい)。 その確認方法は次のようである。
- >Dropbox(Webブラウザからlogin)
- [設定]/[セキュリティ]/デバイスで端末、[設定]/[マイアプリ]で連携アプリを確認
- [アカウント設定]/[アプリ]
- [設定]/[アプリ連携]
クラウド連携ソフトウエアを利用する場合には、その開発元の信頼性、ネット上のさまざまな紹介記事の評判と周囲からのアドバイス(必ずしも評判は一致していないことに注意)を自分なりに判断してから、インストールしよう(インストールして起動してからでは既に手遅れになる場合もあるからだ)。 あやしげな提灯記事も少なくない。 また、「あなたのデバイスのセキュリティをチェックしてあげる」という偽サイトや偽のチェックツールや、流出カード番号リストに自分の番号がないか検索するとそれ自体が罠(2012 Dec 20)といった水飲み場攻撃(Watering Hole Attack)などがあるので注意しよう。
プライバシーポリシーを確認しておく
クラウドサービス側は、サービスを提供するために(あるいはその見返りに)、メールアドレスや場合によっては住所や金融情報などの個人情報の提供を求める場合が少なくない(Apple iTuneアカウントはたとえ無料のアプリケーションだけをダウンロードするとしてもiTuneカードやクレジットカード情報を求めてはじめてアカウントを取得できる)。 結果として、各ユーザの個人情報がクラウド側に集約されることがある。 クラウド企業はこれらの情報を自社のため、場合によっては第三者にその内容を(条件付きだとしても)開示することもあり得るわけだ。
クラウドサービスをうまく利用するとパソコン端末におけるファイル管理など多くの手間から開放されるが、同時にクラウド側で情報が管理される事態に関する様々な問題点を理解しておくことが必要になる。 したがって、クラウドサービスを利用する前にプライバシーポリシーをよく理解し、同意した上で使うことが必要だ。 代表的なサービスのポリシーを以下に紹介する。 Facebookのように、ポリシー自体がめまぐるしく変わることもある(The History Of Facebook's Default Privacy Settings)ので定期的にチェックしよう。
- Google - プライバシーポリシー
- マイクロソフトにおける個人情報のお取り扱いについて
- Dropbox サービス利用規約
- Evernote - プライバシーポリシー(個人情報保護方針)
- Facebook - データの使用に関するポリシー
また、死後の状況についても知っておこう (--);
わたしが死んだらメールはどうなるの?(2012 Sep 21)
死後の「デジタル遺産」問題、故人のブログやツイートは?(2011 July 24)
EU:忘れ去られる権利(right to be forgotten)を盛り込む個人データ保護指令改正の動き(2013 Jan 12)
演習
- クラウドサービスを思いつく限り全て列挙し、クラウド側にどのような情報を渡しているのか、またクラウド側はそれらの情報管理をどのように行っているかを確認しなさい。
- クラウドサービスは何故便利なのかを自らのライフスタイルまたは仕事のスタイルから論じなさい。
- クラウドサービスの利用においての課題や問題点を列挙して,論じなさい。
- インターネットショッピングサイトでの金融情報(クレジットカード情報)の取り扱いについて確認してみよう。 楽天のように多数の「店舗」が参加できるショッピングプラットホームでは、個人情報(住所・氏名、金融情報、買い物履歴など)はどのように管理されているかを調べてみよう。
