Sugarsyncのセキュリティは大丈夫か？

• 詳細
• 最終更新日 2012年5月17日（木曜）15:46

Cloudの代表的なサービス「オンラインストレージ」。その中でも最近（というかつい数日前）日本語対応になり、便利に使えるようになった「Sugarsync」、こうなると聞こえてくるのが「セキュリティは大丈夫なのか？」という声。

大事な情報をネット上へ預けて、機密情報や顧客情報が漏れたりしないのか？とパソコン相談所でも何件かご相談をいただきました。そこで、私（岸本）なりの見解と解説をしておこうとおもいます。

以下の解説・見解は、この記事を掲載した時点での情報と解釈です。今後技術の進歩やオンラインストレージサービスの仕様変更などで、変わる可能性もありますので、予めご了承下さい。なお、この解説は「Sugarsync」について書いたものです。同じようなオンラインストレージサービスに、Dropbox・Evernoteなどがありますが、全く同じではありませんので、この点もご了承下さい。

■オンラインストレージでの「情報漏えいの危険」とは？

パソコン相談所へ寄せられるご相談の内容などで聞こえてくるのは、主に次の2点。

• データのアップロード・ダウンロードの過程で、第三者へ漏れたりすることはないのか？
• データを保存してあるサーバーから、第三者へデータが漏れることはないのか？

■通信は、SSLで暗号化されています

Sugarsyncの場合、ローカルPCからネット上のサーバーへアップロード、または逆にダウンロードする場合にはSSL暗号化通信という技術を利用して暗号化しています。（SSL暗号化通信については、E-Wordsの解説をご参照下さい→「SSL暗号化通信」）

現時点では、この暗号化を採用することで、通信中に情報が漏れたとしても、データを解読できないようになっていますので、上記の（１）のリスクはほぼ解消出来ていると言って良いと思います。

■サーバー上のデータはAESで暗号化

また、サーバー上に保管されるデータは、AESという技術でデータそのものを暗号化しているとのことです。AES暗号の内容については、Wikipediaの解説が詳しいです→「AES暗号」

AES暗号化によって、サーバー上のデータも、仮に漏洩したとしても解読できないようになっていますので、（２）のリスクもほぼ解消出来ていると言って良いでしょう。

■常にリスクが付きまとうことは認識しておきましょう。

（１）（２）のリスクともに、ほぼ解消出来ていると言っても、こういった技術や、またそもそもネット上という自分のコントロールの及ばないところでのデータ保管は、絶対安心、ということはありません。

どんなにSugarsync側で暗号化を徹底しても、「情報が漏洩するリスク」はゼロにはならない、ということを認識しながら、利用するようにしましょう。

■アップロードするデータそのものを暗号化

どうしても情報漏えいによる信用失墜などのリスクが怖い、という場合は、例えばこんな手もあります。

つまり、アップロードする前に、作成したデータそのものを、暗号化ソフトで暗号化・パスワードロックをかける、という方法。

暗号化ソフトは、有料・無料色々なものが出ていますが、とにかくSugarsyncでデータをクラウドに預ける前に、作成したPDFなりWordなりExcelなりなどのデータを暗号化してしまってから保存することで、万が一クラウドサービス側の過失や脆弱性でデータが漏洩したとしても、そのデータには自分しか分からないパスワードロックが掛かっていたり、暗号化されているとなれば、もう一歩リスクの回避に踏み込めることになります。

特に機密情報や絶対に漏れてはならない個人情報などを扱うお仕事の場合などには、こういう方法もアリかもしれませんね。（ただ、自分で暗号化を行う必要があるため、データの保存や管理の手間が一手間面倒にはなります）

■リスクはネット上と通信過程だけではないことをよく認識して下さい。

上記の画像に「まず思い浮かべますが・・・」と含みを残したように、情報の漏洩のリスクは、ネット上の技術的なものだけではありません。

むしろ、こういう技術上の不備や過失による漏洩よりは、運用上のミスや過失の方が、はるかに多いと言われています。例えば・・・

• 出先で使っているノートパソコンそのものを紛失した
• 出先でダウンロードしたデータをUSBメモリで相手に渡したりして、そこから漏れた
• 誤ってSugarsync上の他のユーザーと共有できるエリアにアップロードしてしまった
• そもそも会社やオフィスのパソコンがウィルス感染していて、データが漏洩した

などなど・・・。私たちITCのようにIT技術やセキュリティの事について色々研修を受けたり情報を得たりしている立場の人間には、「技術上の問題よりも、人為的なミスからデータや情報が漏れることのほうが遥かに多い」と叩き込まれているので・・・実は、Sugarsyncなどの技術的なことよりも、こういう運用上の不安の方が大きいのです＾＾。

■あくまでご自分の判断と責任で

さて、ならばあなた（岸本）は、どう考えて、どう運用しているのか？ということになりますが・・・

この記事を書いている時点では、Sugarsyncのセキュリティ・安全性を信頼し、ほぼ全ての仕事上のデータをSugarsync上へ保管しています。

また、私のお客様や同じITCの方でも、かなりのデータをSugarsyncへ預けている、と言う方もいらっしゃいます。

人がやっているから良い、悪い、と判断するのは良くないですが、一応参考までに・・・。

ただし、ご自分でご利用になる際には、あくまでご自分の判断と責任においてご利用下さい。

ちなみに・・・今後、データアップ前のファイルの暗号化を、私自身で試してみてどんなものか、検証してみようと思います。

■参考までに・・・

Sugarsyncの暗号化や安全性については、Googleなどで「Sugarsync 暗号化」「Sugarsync　安全性」などの組み合わせで検索していただくと、色々解説記事やブログが出てきます。

また、これは人から聞いた話で、確認は取っていませんが、DropBoxやEvernoteでも、上記のような暗号化はされているとのことです。

※この記事は、ITコーディネータ協会届出組織「NPO-IT静岡」の正規会員ITコーディネーターの皆さまにご意見をうかがった上で、その内容を私（岸本）が解釈・編集して掲載したものです。