Scribble at 2024-02-05 09:39:32 Last modified: unmodified

添付画像

いま、Dropbox のサポートに問い合わせてやりとりしているところなので、結果は改めてここに追記する。弊社では、業務で使っているファイルの大半、それから僕の管掌だと情報セキュリティの研修用に動画ファイルを Dropbox へアップロードして、社員に観てもらっている。特に個人情報保護の研修は全員の参加が求められるので(ふつう、社員用の研修というのは業務命令として受講させるものなので、例外なんて無いわけだが)、Dropbox の「アクティビティ」という記録のログでアクセス状況をトレースしている。

ところが、何度かやっていて受講しているのにアクティビティのログが記録されていないせいで、何度もやりなおすという事例があった。そして、動画を閲覧し直すときはみんなパソコンでアクセスしているので気づきにくかったのだが、どうもログに記録されていない初回のアクセスはスマートフォンからだったということが分かった・・・ここまで書けば情報セキュリティの実務家ならおおよそ見当はつくだろうが、モバイルでファイルにアクセスするとログが残らないのである。もちろん、これは重大な欠陥だ。

仮に社員が Dropbox 上のファイルを外部の事業者と共有するために、URL を知っていれば誰でも(つまり Dropbox のアカウントでログインしていない人でも)ファイルへアクセスできるという、かなり脆弱な設定で Dropbox 上のファイルを共有したとしよう。こういう脆弱は設定は、相手が Dropbox のアカウントをもっているとは限らず、しかも業容に巨大な開きがある大手上場企業の従業員なんかだと、Dropbox のアカウントを作ってログインしてくれとは言えない。まず会社どうしのパワー・バランスから言って無理だし、仮にそういう事情がないとしても、たいていの大手上場企業は社員がオンライン・サービスのアカウントを勝手に作って利用する裁量なんて与えていないわけで、もし Dropbox のアカウントを作るとしても、果てしない時間がかかる稟議を回さないといけなくなる。ということで、Dropbox のアカウントをもっていない相手にもファイルを共有するのは、どれほどこっちがプライバシーマークを持っていようと許可せざるを得ない。すると、バグだか仕様だかの理由で、もしモバイル機器でアクセスしたログが残らないとすれば、その外部の人物が URL を他の場所にコピーしたりメッセージに含めてバラ撒いてしまうと(この時点で情報漏洩と言って良い)、その URL を知った不特定の第三者がモバイル機器を使って Dropbox 上の共有ファイルへアクセスしている限り、その事実がアクティビティのログとして残らないということになってしまう。

だが、こんな簡単な欠陥を Dropbox が放置しているとは思えない。モバイル機器でアクセスしたアクティビティのログが記録されない、何か特殊な原因があると思いたいので、こうして Dropbox のサポートに問い合わせているのである。ちなみに、僕は Dropbox のチーム管理者(法人アカウントの最上位ユーザ)なので、管理コンソールから全社員のアクティビティのログを全て監視できる。なので、モバイル機器でアクセスした際のログを検索してみたが、やはり記録されていない。スマートフォンでログインして動画を観たり PDF ファイルを開いても、まったく記録に残っていないのだ。これは、たとえログとして残らない原因が何か特定の条件なのであろうと、そもそもログとして記録されないこと自体が致命的な欠陥であるように思う。記録されても通知されないとか、アクティビティのページに表示されないというフロント・エンドの問題であればともかく、バック・エンドにデータとして「ない」というのは、これはどうしようもないからだ。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る

※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook