Dropbox はクラウドストレージの中でも非常に有名ですが、それゆえに、最も安全な暗号化アルゴリズムを使用しておらず、お客様のプライバシーも保護されていないことを知ると驚かれるかもしれません。
Dropbox は外部からの攻撃に対しては安全ですが、過去にはデータ侵害に見舞われたことがあります。また、エンドツーエンド暗号化を使用しておらず、運営会社はお客様のファイルにいつでもアクセスできてしまいます。この記事では、それが何を意味するのか、そしてプライバシーを犠牲にすることなく、クラウド上のファイルを無料で保護する方法を説明します。
Dropbox は暗号化されていますか?
一見すると、Dropbox はデバイスとの通信時およびサーバー上の保存時の両方で、強固なセキュリティを提供しています。通信時のセキュリティは TLS によって処理されています。これは、ほぼすべてのオンラインサービスで使用されている標準的かつ強力な暗号化プロトコルです。例えば、お客様がこの記事を読んでいる間、Proton もこれを使用してインターネット接続を暗号化しています。
ファイルが Dropbox のサーバーに到着すると、受領時に一度復号化され、その後 AES-256 を使用して再度暗号化されます。これは、世界中の政府、軍隊、企業で使用されている安全な暗号化アルゴリズムです。Proton でも、自社のすべてのサービスでこれを使用しています。
ファイルが通信時に暗号化され、保存される前に一度復号化された後、再び暗号化されるこの手法は、サイバー犯罪者から保護するために多くのクラウドストレージサービスで使用されています。問題は、Dropbox がお客様のセキュリティとプライバシーに対する主要な脅威である「自社そのもの」を見落としていることです。
Dropbox のセキュリティは本当に万全ですか?
セキュリティについて語る際、通常は外部からの脅威を意味します。貸し倉庫を借りる場合、誰も入ってこられず、所有物が盗まれないように鍵をかけます。古い家具が勝手に逃げ出してしまう心配はしていないでしょう。
しかし、データについて語る場合は、その情報を預けている人々が情報をどのように扱っているかについて、少し心配する必要があります。サービスが外部からの攻撃をいかに防いでいようと、会社の従業員がお客様のファイルにアクセスできるのであれば、それは真に安全とは言えません。
貸し倉庫の例では、自分自身の鍵を使えば、お客様だけがその鍵を持つことができます。デジタルストレージでは、エンドツーエンド暗号化(クライアントサイド暗号化とも呼ばれます)という手法を使用できます。これは、サーバーにアップロードされる前に、お客様のデバイス上でファイルが自動的に暗号化されるセキュリティ方法です。ストレージプロバイダーはお客様のデータへの鍵を持たず、サービスを運営する人々もファイルにアクセスすることはできません。
Dropbox はいかなる形でもエンドツーエンド暗号化を提供していません。同社がウェブサイト(新しいウィンドウ)で明確にしているように、エンドツーエンド暗号化を使用したい場合は、サードパーティの暗号化ツールを使用して、暗号化済みファイルを Dropbox にアップロードする必要があります。これは不便であり、ファイルの同期などの多くの重要な機能を不可能にします。
Dropbox は確かに従業員がユーザーデータにアクセスするのを防ぐための内部的な保護策を講じていますが、これには消費者側の多大な信頼が必要です。たとえ Dropbox が内部の脅威をうまく回避したとしても、ヒューマンエラーの可能性は残ります。クラウドストレージ史上最大の侵害の一つが 2012 年の Dropbox ハッキング(新しいウィンドウ)であり、ある従業員がパスワードを使い回していたためにハッキングを受け、6,800 万人のユーザーのパスワードが侵害されました。
テック企業の従業員ならパスワードを使い回さないことは常識だと思うかもしれませんが、ハイテクなシナリオであってもヒューマンエラーが重要な役割を果たす可能性があることを示しています。
Dropbox のプライバシーの問題
セキュリティ上のリスクに加えて、クライアントサイド暗号化の欠如は、Dropbox がプライベートではないことを意味します。Dropbox がプライバシーポリシー(新しいウィンドウ)で説明しているように、同社はお客様のファイル、アカウント情報、連絡先、およびその他の個人データを Google、Amazon、OpenAI などの他社と共有しています。たとえ Dropbox がお客様のデータを持つことを気にしないとしても、Dropbox がそれらをインターネット上に拡散させることは望まないかもしれません。
さらに、Dropbox は米国の企業であり、政府からのデータ提供要請に応じる義務があります。Dropbox はお客様のファイルにアクセスできるため、当局とそれらのファイルを共有する(新しいウィンドウ)ことも可能です。
Dropbox の代わりに使用するもの
Dropbox は最初のクラウドストレージサービスだったかもしれませんが、顧客データの扱いは時代遅れです。クライアントサイド暗号化を諦める必要はありません。
Proton では、クラウドストレージサービスである Proton Drive を含む、すべてのサービスでエンドツーエンド暗号化を使用しています。Drive を使用すると、お客様自身とお客様が共有相手として選んだ人以外には誰にも読み取られないという確信を持って、ファイルのアップロード、同期、共有、さらにはプレビューを安全に行うことができます。これが、私たちがこれをゼロアクセス暗号化とも呼ぶ理由です。
Proton Drive の Docs を使用すると、コンテンツがデフォルトでエンドツーエンド暗号化によって保護されているという安心感を持って、他のユーザーとドキュメントを作成および編集する自由を楽しむことができます。
私たちのコードはオープンソースであり、独立したセキュリティ専門家によって監査されています。これにより、私たちの暗号化が主張通りに機能しているという確信をコミュニティに提供しており、私たちの言葉を鵜呑みにする必要はありません。
その上、私たちはお客様のデータを誰とも共有しません。私たちのビジネスモデルは、広告ではなく、より多くのストレージや追加機能に対するサブスクリプションに基づいています。たとえ私たちがお客様のデータを共有したいと思ったとしても、データにアクセスできないため不可能です。私たちのエンドツーエンド暗号化は、重要なメタデータにも適用されます。
Dropbox とは異なり、Proton はスイスに拠点を置いています。スイスでは、お客様のデータは世界で最も強力なプライバシー法の一部によって保護されています。私たちが保持しているわずかなデータであっても、スイスの裁判所から命令されない限り、引き渡すことはありません。
私たちがこれらすべてを行う理由は、単に使い勝手の良いストレージサービスを提供するだけでは不十分だと考えているからです。より良く、よりプライベートなインターネットを構築する一翼を担う必要があります。これは2014年にコミュニティのサポートのおかげでサービスを開始して以来、私たちの使命であり続けています。この理念に共感いただけるのであれば、今すぐ無料のProton Driveアカウントを作成して、私たちの仲間に加わってください。
