column
法人向けオンラインストレージサービスの選定基準は セキュリティの度合いが重要


法人向けオンラインストレージサービスの選定基準はセキュリティの度合いが重要


トライポッドワークス マーケティングアドバイザー 吉政忠志


 最近、法人向けのオンラインストレージサービスの市場が大きく伸び始めてきており、様々なサービスが始まりました。法人向けのサービスですので、必ず「セキュリティ」のことがサービスや製品紹介のコンテンツに記載されていますが、その「セキュリティ」の度合いがサービスによってかなり違うようですので、解説したいと思います。


オンラインストレージサービスの「セキュリティ」については大きく3つの要素が重要であると考えています。

「防御」:ハッキングされない様な仕組みなど」の防御

「影響の最小化」:万が一の際に影響を最小限にする仕組み

「履歴」:過去の履歴を利用者ごとに管理できること。


上記ができていないとどのような結果になるか、記憶に新しい事故をご紹介します。これは無料のオンラインストレージで最大手クラスのサービスのセキュリティ事故です。


※原文は「オンラインストレージ セキュリティ障害」で検索すると実名入りで出てきます。


セキュリティ事故の概要は、2011年6月19日午後1時54分~午後5時46分の間、パスワード不要で全てのユーザのBOXにアクセスすることが可能だったそうです。(同社の公式発表による)セキュリティ上、最悪な事態でした。原因は「コードアップデートによって、ユーザ認証のメカニズムに影響を及ぼすバグが発生した」とのことです。


無料のオンラインストレージだからといって許容できる事故ではなく、ビジネス用途で使用している人もいると思いますので、重要な事故として認識したいです。これはいわゆる「マンション方式」といった1システムで複数のユーザを運営する方式が招いた事故です。法人向けのオンラインストレージサービスはやはり、マンション方式ではなく、戸建方式のような1システムで1法人を賄う方式の方が堅牢だと考えています。


その他に前述でご紹介した「防御」、「影響の最小化」、「履歴」の観点からオンラインストレージサービスの採用ポイントを記載します。

  1. SSLを使用していること
  2. マルチテナントでないこと(ハッキングされたら全て見えてしまいます)
  3. サービスとしてウィルスチェックを行っている
  4. 利用者単位・ファイル単位でログを追跡できること
  5. データの保管場所が物理的に国内であること

ちなみに、上記で完璧なセキュリティを保証出来るわけではありませんが、考えうる大項目のチェック項目としてご紹介しました。実際にここまで実施できているオンラインストレージサービスとなると、かなりの選択肢が消えてしまいます。しかし、項目としてあげてみると、いずれも重要なものばかりになります。


最後に上記「6」のデータ保管先について説明します。現在、適用法については、物理的なデータの保管先の国の法律が適用されます。つまり、契約が日本であってもそのデータの保管先が米国であれば、米国の法律が適用されます。ここで重要なのは、米国のパトリオット法です。別名愛国者法とも呼ばれるこの法律は国事を優先してFBIが強制執行を行える法律です。例えば、テロの捜査である日突然、皆様が契約しているサービスのストレージをFBIが差し押さえることもあり得ます。実際にこの法律は過去に何回か適用されており、「パトリオット法 適用」でネット検索することでいくつかの事例をみる事が出来ます。前述の方法で検索するとさらに重要な事項が出てきます。物理的なデータの保管先が日本国内であっても米国の企業のサービスであれば、パトリオット法の適用範囲内であるとの公式見解が米国大手企業から発せられています。


皆様にはより安心で堅牢、使いやすいオンラインストレージ製品/サービスを選んで頂きたいです。世界最高レベルのコンプライアンスとセキュリティといわれる日本のお客様の要件を満たすにはクラウド型サービス全盛ではありますが、アプライアンス製品や自社構築タイプも選択肢の一つと個人的に感じます。


前述のオンライストレージの選択項目について、その適用度合いGIGAPOD製品ページや事例にてご確認ください。



※GIGAPODサイト:http://www.tripodworks.co.jp/product/gigapod/
※GIGAPOD事例:http://www.tripodworks.co.jp/casestudy/