クラウド時代のセキュリティを考える。個人にもセキュリティポリシーが必要か。

IT

最近はクラウド側にデータを置くことが個人だと当たり前になりつつあります。Dropbox、Google Drive、Evernote etc…

こういったサービスが出てきた当初は「データをクラウド側に置くってセキュリティ的にどうなんだ?」という見方も多少あったように思います。しかし、いまや「クラウドサービス使わないなんて遅れてるんじゃないの?」という空気も醸成されつつあるような気もします。

実際、各種のクラウドサービスは便利ですし、それを使わないとネットの利便性をほとんど享受できない状況にもなりつつあります。今後の方向性としては、クラウドサービスの利用を否定するのではなく、それをどうセキュアに使うかというところに行くでしょう。(たぶん日本の大手企業は拒否し続けて相対的に生産性を下げるでしょうが)

管理すべきID/Passwordの数が増え続けていることや、パスワードリスト攻撃が増えつつあることを考えても、パスワード単体による運用はすでに破綻したと思った方がよいでしょう。パスワードリストの元ネタがどこのサイトから流出しているかや、利用しているWebサービスがどのようにパスワードを管理しているかが明らかではない以上、いつ何時パスワードが漏れるかわからないという想定で動くべきです。

「パスワードを使い回すな」というのは正論ですが、多くの人にとって現実解ではありません。パスワード管理ツールの利用も選択肢のひとつですが、多少なりとも利便性が下がることや、マスターパスワードひとつで全てのパスワードにアクセスできてよいか?という点を考えると無条件に選択すべきかは議論の余地がありそうです。

次善の策としては、パスワードが破られたときの被害がクリティカルなサービスとそうではないサービスに分けた上でパスワードポリシーを考えるというあたりでしょうか。

少なくとも、ユーザの機微な情報を保有している自覚のある事業者は、2段階認証を導入するなどセキュリティ対策には熱心です。ユーザのスマホ(携帯電話)を物理認証のデバイスとして利用するケースが多いですが、パスワードによる知識認証との二要素認証になるので、セキュリティのレベルはあがります。

逆に考えると、ユーザに対してそういった選択肢を提供しない事業者をどこまで信用するかはユーザ自身で判断する必要があるでしょう。

セキュリティレベルとポリシーを設定して、2段階認証を採用しているか否かを勘案しつつ、自分の利用している各々のWebサービスをどこにプロットするか、そういうリテラシーが必要な時代かも知れません。

タイトルとURLをコピーしました