クラウドストレージサービスDropboxは、利用規約の文言変更を受け、ユーザーのファイルに誰がアクセスできるかという主張を巡り批判を浴びている。Dropboxは木曜日、自社のセキュリティとプライバシーに関する取り組みの詳細をブログで明らかにしようと試みた。
懸念が最初に浮上したのは、Dropboxが最近、法執行機関へのコンプライアンスに関する利用規約の条項を改訂した時でした。Dropboxによると、この変更は当該条項の適用範囲を狭め、同社がユーザー情報を開示する可能性のある状況を明確化するために行われたとのことです。同社が指摘しているように、この条項はDropboxに限ったものではないことは注目に値します。Google、Skype、Twitter、Appleも、要請があれば政府の調査に従う義務があるとする利用規約を定めています。
私生活
しかし、新しい規約では、法的に要求された場合、Dropbox は法執行機関に Dropbox に保存されているユーザーのファイルへのアクセスを許可すると明記されているため、それらのファイルに誰がアクセスできるのかという疑問が残ります。
木曜日より前、Dropboxのウェブサイトの機能ページには、「Dropboxに保存されているすべてのファイルは暗号化されています(AES-256)」および「Dropboxの従業員はユーザーのファイルを閲覧できません(強調追加)」という非常に率直な主張が掲載されていました。
この感情は、Dropbox ヘルプ センターのドキュメントによって強化されています。このドキュメントには、「意図的に招待するか、パブリック フォルダに配置しない限り、誰も Dropbox 内のプライベート ファイルを見ることはできません」と、「Dropbox の従業員はユーザー ファイルにアクセスできず、アカウントのトラブルシューティングを行うときは、ファイルのメタデータ (ファイル名、ファイル サイズなど、ファイルの内容ではない) にのみアクセスできます」と記載されています。
これらの主張は、Dropboxの従業員がユーザーのファイルにアクセスできないのは技術的な要因によるものだと示唆しています。しかし、これは、法執行機関にファイルへのアクセスを提供するというDropboxの声明と矛盾しているように思われます。結局のところ、閲覧できないファイルに何のメリットがあるのでしょうか?
Dropboxの最高技術責任者であるアラシュ・フェルドウシ氏は、 Macworldへの声明の中で、Dropboxの従業員がファイルにアクセスできないという主張について、「これは意図的に誤解を招くような発言ではありません。これは、当社のバックエンドストレージインフラにおける技術的なアクセス制御と厳格なポリシーによる禁止措置によって実施されています。Dropboxの従業員がユーザーの許可なくファイルの内容にアクセスすることは決してありません」と述べました。
しかし、フェルドウシ氏は、Dropboxがすべてのファイルを暗号化しているという声明の文脈において、この主張が誤解される可能性があることを認めた。そのため、フェルドウシ氏は、Dropboxの従業員はユーザーのファイルにアクセスすることを禁じられていると文言を変更すると述べた。
木曜日時点で、機能ページが更新され、従業員がファイルにアクセスできないという記述は削除されましたが、更新版のテキストはまだ公開されていません。ヘルプセンターのドキュメントは現時点では変更されていませんが、Dropboxのブログ投稿によると、今後さらに詳細な情報が追加される予定です。
王国の鍵
それでも、Dropboxが法執行機関に提供するためにファイルにアクセスできるという事実は、暗号化されたファイルの鍵をユーザーではなくDropbox自身が保有していることを意味します。フェルドウシ氏はMacworldへの声明でこれを確認しました。
鍵はDropboxのみが知っています。ユーザーがウェブサイト上で自分のファイルを閲覧できるようにするには、Dropboxサーバーがファイルを復号化できる必要があります。他のほとんどのオンラインサービスと同様に、法的に要求された場合、またユーザーの同意を得てアカウントのトラブルシューティングを行うために、限られた数の従業員がユーザーデータにアクセスする必要があります。
復号鍵を所有していない限り、ユーザーのファイルのセキュリティはDropboxをどれだけ信頼しているかにかかっています。まるで大家さんがアパートの鍵を持っているようなものです。しかしDropboxは、過去1年間で政府からの要請は月に1件程度しか受けておらず、2500万人以上のユーザーに対して12件の要請があったとしており、法務チームがすべての要請を精査してから対応していると主張しています。
では、心配する理由はあるのでしょうか?それは、あなたがどの程度快適に感じるかによります。利便性とセキュリティは常にバランスの上に成り立っています。どちらかを重視すれば、もう片方は損なわれます。確かに、昨日と今日で物質的に何かが変わったわけではありません。Dropboxのファイルにアクセスするのは、当時と同じくらい難しい(あるいは簡単)です。
しかし、全体として懸念されるのはDropboxのセキュリティというよりも、同社が行った誤解を招くような主張(意図的か否かは別として)と、現状の実態です。多くのユーザーが個人情報やプライベートな情報を保管しているサービスにおいて、こうした透明性の欠如は必ずしも安心材料とはならないかもしれません。
Dropboxに機密情報を保存していて、本当に自分だけがアクセスできるようにしたい人は、 Dropboxに保存する前にファイルを暗号化することを検討してください(例えば、Mac OS Xのディスクユーティリティ機能を使って暗号化されたディスクイメージを作成するなど)。ただし、これには欠点もあります。Dropboxの一部の機能、例えばバージョン管理への容易なアクセス(ディスクイメージには複数のバージョンがありますが、個々のファイルは保存されません)が制限され、サービスのモバイルアプリからファイルを閲覧できなくなります。
しかし、結局のところ、すべてはインターネットの基本ルールの 1 つに行き着きます。それは、「The New York Timesの第一面に載ってほしくないものがあれば、それを見失わないようにする」ということです。
暗号化されたディスク イメージの欠点を明確にするために、太平洋標準時午前 11 時 23 分に更新されました。
