クラウドは便利!

 気がつけば,世界はすっかりクラウドコンピューティングで満ちあふれるようになってしまいました。

 以前は,データを持ち運ぶ手段といえばフロッピーディスクMOディスクが使われていました。しばらく前からは,USBメモリがシェアを伸ばしているようです。というより,ディスク媒体というものが少なくなってしまいました。

 それらはいずれも物理的な媒体であって,持って運ぶものでした。重くてかさばるので,持っていくとしてもフロッピー数枚程度だったのではないでしょうか。当時のビジネスマンを経験した方がいたら,ぜひ苦労話を聞かせていただきたいものです。そういえば,わたしが中学生だったころ,数学の教師が,車の中に5インチのフロッピーディスクを置いていたら太陽の熱で曲がってしまって使えなくなったと嘆いていました。物理的に壊してしまえば使えなくなってしまいますし,紛失した場合は情報が悪用される危険性も出てきてしまいます。

 これがクラウドになると,媒体を持ち運ぶ必要などなくなります。インターネットに接続することさえできれば,どこからでもデータにアクセスすることができるのです。そして,Wi-Fiや3G,4G(LTE)といった無線技術が発達し,LANケーブルがなくてもインターネットに接続できるようになっているので,物理的な制約が(ほぼ)無くなっています。

 出張先で仕事の資料にアクセスして,その場で編集して本社にいるスタッフのチェックを受けることもできます。カレンダーをメンバーで共有しておき,出先で予定をチェックして次回打合せの日程を決めるようなことも簡単にできます。パソコンで資料を作成し,出張先で打合せをしているときにタブレット端末を取り出してプレゼンテーションをすることもできます。利用場面を考え始めると,きりがありません(どれもテレビコマーシャルなどで見かけるような使い方ですが…)。

 使ってみれば分かると思いますが,クラウドは本当に便利なのです。弁護士は近いところも含めれば出張することがとても多く,いろいろな場所でいろいろな方々と打合せをしたり,仕事をしたりするので,クラウドの恩恵を強く受けることのできる職業であると思います。

クラウドは安全?

 ところで,クラウドコンピューティングはインターネットに立脚した技術です。インターネットの利便性については疑う余地もありませんが,安全性についてはどうでしょうか。

 インターネットの安全性については,いろいろと言われています。なので,軽々しく断言することはできないのですが,少なくとも,安全な世界ではないと言えるでしょう。インターネットを悪用しようと思っている人は大勢いますし,そのための手段もたくさんあります。そのため,可能性だけを考えれば,いつ攻撃を受けてもおかしくありません。

 もちろん,クラウドはそれらの脅威に対して無抵抗というわけではありません。通信を暗号化して,盗み見ることができないようにしています。わたしたちのデータはサービスを提供する会社のデータセンターに置かれ,厳重な警備とデータ管理が行われています。社員に教育を行って,データが流出しないように努力していることでしょう。

 それらの対策を見ていると,とりあえず,クラウドコンピューティングは安全であると言えそうです。

クラウドは本当に安全?

 しかし,上に挙げたクラウドコンピューティングの安全性は,外部からの攻撃によって情報が盗み出されないというレベルでの安全性です。

 コンピューターは,与えられた命令に従って忠実に処理を行います。そのままでは,誰でもコンピューターを自由に使えることになってしまうので,本来の持ち主しか使えないようにするため,コンピューターに「いま誰が操作をしているか」分かってもらう必要があります。個人用のコンピューターは通常パスワードなどで保護しませんが,それは,コンピューターを現実に持っている人(占有している人)がそのコンピューターの正当な利用者であるという前提があるからです。会社などで多数人がコンピューターを共有する場合やインターネット上のサービスでユーザー認証が必要になるのは,ユーザー認証をしなければ,いったい誰がアクセス先のコンピューターを使おうとしているのか分からないからです。

 これを踏まえると,コンピューターから見て,データの持ち主本人であると認識されてしまったら,通信の暗号化や,厳重なデータセンターというものは全く意味をなしません。インターネット上の一般的なサービスを提供するコンピューターは,アクセスしてくる人をユーザー名とパスワードによって識別しています。これが知られてしまえば,現実の利用者が誰であってもアクセスでき,通信の暗号化などは意味をなさないことになります。

 そのような意味において,クラウドコンピューティングには危険が潜んでいます。

 もちろん,このような点はずっと前から認識されているようで,いろいろな対策が考えられているようです。ざっと見た感じでは,MACアドレス(物理的な装置に割り当てられている識別番号のようなもの)によってクラウドにアクセスできる端末を制限するという仕組みがあるものを見つけました。このような問題については,インターネット検索で「クラウド セキュリティ 問題点」などと検索すれば,わんさか出てくるでしょう。これだけたくさんの記事が世の中にあるなかで,このような稚拙なコラムを書くのは,やや恥ずかしいですが…。

クラウドは大丈夫?

 弁護士の業務で扱う情報というものは,ほぼすべて,他人のプライバシー情報です。とくに,刑事事件の情報は慎重に扱わなければならず,厳重に管理されなければなりません。

 そんなわけなので,弁護士は情報セキュリティにとても気を遣っています(遣っているはずです。遣わなければならないはずです!)。ちなみに,検察官や裁判官も情報漏洩には気を遣っています。とくに検察庁は刑事事件の記録しかありませんから,本当に気を遣います。司法修習(法曹になるための研修期間)で検察官の仕事を体験しているとき,コンピューターを支給されたのですが,当然ながら持ち出しは禁止。USBメモリも支給されましたが,これまた持ち出しは禁止。全員分を一箇所に集めて管理されており,もし戻されていなければ,持ち主に電話連絡し,たとえ家に帰っていようが,その場で検察庁まで戻ってくるよう指示されます。同じようなエピソードが,アナウンサーを辞めて弁護士になったあの有名な人が書いた本にもあったはず。

 はたして,クラウドコンピューティングは,そのような要求に応えられるだけの安全性を持っているのでしょうか。

 先に書いた通り,ユーザー名とパスワードが知られてしまった場合,情報は簡単に盗まれてしまいます。しかし,情報をインターネット上ではなく事務所内に置いていたとしても,そのコンピューターが悪質なウィルスに感染してしまったり,誰かが事務所に忍び込んだり,ノートパソコンごと盗まれてしまったりすれば,同じように情報を盗まれてしまいます。

 極論してしまえば,どんな方法でも,絶対に安全な方法はありません。どれだけ確率をゼロに近付けられるかです。そして,いろいろな方法を講じることで,確率をゼロに近付けていくことができます。

 では,弁護士業務でクラウドコンピューティングを利用しようと思ったとき,どのような手立てを取ればよいのでしょうか。これが正解,というものはありませんが(あったら教えてください),最低限やっておいた方がいいことを書いていこうと思います。

パスワードには注意

 ユーザー名にはメールアドレスを使うことが多いので,工夫の余地があるのはパスワードです。

 これについては昔から色々と言われています。「推測されにくいものにすること」「英数字を組み合わせること」「8文字以上にすること」「ノートなどに書いておかないこと」などなど。

 どれも正しいのですが,これら注意点の最大の問題は,すべてを実行してしまうと,本人がパスワードを忘れてしまい,情報にアクセスできなくなってしまう可能性がとても高いというところです。

 これは,保管する情報の重要性に応じて考えるしかないでしょう。最近はパスワードを管理するためのソフトウェアが充実していますので,そのようなものを使うという手がひとつ(ID ManagerKeePass Password Safeパスワードマネージャーなど),危険性を承知の上で自分の憶えやすいパスワードを使うという手がひとつ,そして難しいパスワードを根性で覚えるという手がひとつ。いろいろあります。

 少なくとも,パスワードを人目のつくところに書いておく,ということはやめた方がいいでしょう。弁護士の仕事環境にはいろいろな形態があるでしょうが,相談者希望者が打合せ室まで歩いて行く途中で弁護士の勤務スペースが目に入る場合もありますし,事務員が通りかかるような場合もあります。依頼者や事務員などと信頼関係が築けている間は問題ないのですが,何らかのトラブルが発生して対立関係になった場合,情報が漏洩する危険は飛躍的に増加することとなります。実際に漏洩させた場合は損害賠償などの手段をとることもできますが,漏洩してしまった事実を消すことはできませんので,状況によっては取り返しがつかなくなることもあります。個人の手帳など,自分しか見ないところにメモをしておくというのであれば,まだ安全でしょう。ただし,手帳を紛失したり,他人に見られることがないように気をつけましょう。

暗号化

 サービスを提供している会社の方にミスがあり,意図せず,誰でも情報にアクセスできるようになっていたり,アカウント情報が流出してしまったりすることがあります。そのような場合,パスワードを工夫するなどの対策は意味をなさなくなってしまいます。

 そこで,インターネット上に置く情報を暗号化しておくという対策があります。こうしておけば,仮に事件記録などの情報が流出したとしても,その情報を読むことのできる形にするためには復号化をしなければなりません。言ってみれば,重要な情報を金庫に入れたまま,金庫ごと盗まれたというイメージです。これならば,仮に情報が盗まれてしまっても,安全です。

 ただ,これにもいくつか問題があります。まず,暗号が突破されてしまう可能性があるということ。もっとも,これについては,長い鍵を使うことで,スーパーコンピューターでも数千年かけなければ破ることのできないレベルの暗号化をするという対策があります。次に,鍵を紛失してしまうと,元に戻せなくなってしまうこと。そして,残念なことに,クラウドコンピューティングの良さを維持しながら暗号化も行うという環境が見当たらないということ。要は,とても使いにくくなってしまうということです。ひょっとすると,有料ソフトウェアなどで,そのあたりの安全性を確保するためのものがあるのかもしれませんが,いまのところ知りません。

最後に

 最初は,クラウドサービスは必ずしも安全とは言えないので,これを使っている弁護士諸兄は気をつけましょう,というようなことを簡単に書こうと思っていました。ところが,書き始めると,あれにも言及しなければ,これにも言及しなければと,どんどん分量が増えていってしまい,また,内容自体も最初に想定していたものから変わっていってしまいました。

 そんなわけなので,いったい誰をターゲットにした,いったい何を訴えたいコラムなのか,よく分からなくなってしまいました。これではいかんと思うのですが,せっかく書いたものなので掲載しています。

 いろいろと研究した末の成果を書いているわけではないので,絶対に間違いのない情報を掲載しているわけではありません。これまでの自分の経験や考えを基に記述しています。至らないところ,間違いの指摘等がありましたら,ご連絡いただけると幸いです。なお,このコラムの内容は,技術の変化などによって適宜加筆修正していきますので,あらかじめお断りしておきます。