以前同じ職場で働いており、いまは別々で独立をしている知人が
新しいクラウドサービスなるものを製品化したとの事で
説明をしたいとうちの会社を訪問してきた。
かなりイマイチだったのでぼやきも兼ねて投稿する。
「顧客リストや営業リストをまだエクセルで管理してるんですか?」
というトークではじまり、クラウドで一元管理しましょうみたいな
まぁ特に目新しくもないサービスであった。
管理画面も触らせてもらったが、
CakePHPベースで作られている事がすぐ分かるシンプルな画面まわりで
システムは彼らが管理するレンタルサーバーにのっかっているとの事。
いま管理しているデータをcsv形式にして一括インポートできるので、
特別に無料で、まずはデモを使ってみてくれと言ってきた。
会社の大切な資産である顧客リストを
よくも気軽によそのDBにインポートさせようとしたなと思ったが、
率直にそのネガティブを伝えセキュリティに関して質問をすると
「SSLだから暗号化されていてまったく問題ない」という的外れな回答。
通信の事を聞いているのではなくDBに平文で保存されているかを聞いたのだが、
そもそも良く分かっていない様子。SSLで片付けようとした姿勢が超かっこいいです。
結局確認はとれなかったが、顧客リストは恐らく平文で保存されるであろう。
以前の仕事仲間をわざわざ疑っている訳ではないが、
他社の顧客リストが自社管理のDBに平文で入っていれば
自分らのような小さい会社は覗いてしまうだろう。
逆に自分がその立場でもきっと覗いてしまい、
そのリストを転売するような危険な橋は渡らずとも、
自社の営業活動の役に立てると思う。
そういった意味ではコンプライアンスも何もない
ベンチャー企業(うちを含む)がこういった製品を提供するのは
顧客からの信頼獲得と言う面ではかなり無理があるなと感じた。
せっかくこんな機会なのでちょっとググって調べたりもしたので
備忘録も兼ねて下にメモ。
エンタープライズ企業において、リスクをコントロールしながらクラウドを利用する際、データ管理において注意が必要なポイントをまとめると、下記のようになります。
1. Data Access……誰が私のデータにアクセスできるのか?
2. Data Residency……どこに私のデータが物理的に格納されているのか?
3. Data Disclosure……施行法がデータ開示を強制できるか?
4. Data Ownership……クラウド提供者は私のデータを私のものとして承認するか?
5. Data Disposal……私がクラウド利用を終了した際に、私の全てのデータが削除されるか?
6. Data Remanence……私のデータを復元するために残すことができるか?
7. Data Loss/Leak……クラウド提供者が私のデータの漏洩もしくは損失を引き起こす可能性があるか?
8. Data Archiving……適切なポリシーが私のデータに適用されるか?
9. Data Encryption……私のデータは、保存中、転送中、使用中に暗号化されているか?
項番5は見落としておりましたが、
クラウド利用終了後にすべてのデータが削除されるか、等の問題もありますね。
提供者側から自発的にリスクの説明をすべきというのは当然な気がする。
社外の人に見られたくない情報を預かるという点を良く意識したほうが良い。
クラウド上に保存されるデータは暗号化されるが、その復号に必要な鍵は企業自身が保有する。
(中略)
「顧客自身が鍵を生成し、保有することがポイントだ。たとえクラウドサービスプロバイダーであっても、暗号化されたデータを見ることはできない。また、法執行機関から何らかのデータ提出要請があった場合、責任を持つのはやはりプロバイダーではなく、企業自身。自社がコントロールを維持できる」
こういった復号の権限をクラウド提供側がもたないサービスが良いですね。
まぁ技術的な要素も大切な事ではあると思うが、
何より提供企業の知名度や会社規模など安心感が最優先されるであろう。
上記知人のサービスの代理店をやるような話も持ち上がったが
まったくやる意味がないなと強く再認識をした。