オンラインで公開されているサービスやツールを使うときに留意していること
先日こちらのツイートに関して同僚と話して、思うところがあったので記事にしてみる。
簡単に実装出来そうな機能なら、野良ツールを探すよりは自分で作ったほうが安心して Web で使える(入力データがネットワークを介してどこに保存されるかわからないので)と思っているので、ササッと作ってソースコードと併せて公開するようにしている。
— Shogo ( ˘ω˘) (@1000ch) August 4, 2020
このツイートの通り、誰がどうやって管理しているかわからないオンラインツールは使わないようにしている。例に出しているのは YAML と JSON を相互に変換する yaml-json という簡単なツールで、たまたまそういうツールが欲しくなったので作った。もちろん、その手のツールは探せば野良に転がっていそうだが、プライバシーポリシーをすべてチェックするのは中々骨が折れるし、無いこともある。
「オンライン上でデータを入力して出力されたデータを使うな」と結論付けたいわけではないが、少なくとも闇雲にやるのは止めたほうが良い。業務上で翻訳が必要なときに翻訳サービスを使いたいときもあるし、画像を最適化したいときに圧縮サービスを使いたいときも多々あると思う。ただ、それらの変換や圧縮などの処理はブラックボックスなことが多いし、大半の場合は入力データはインターネット上のどこかのサーバーを経由しているだろう。その場合、どこの誰がどの情報を覗いているのかわからないし、どこかのサーバーに処理のログは残るだろう。 業務上に必要とはいえ、秘匿性が高いデータをカジュアルに入力(コピーアンドペースト、ドラッグアンドドロップ)していないだろうか?
- ツールのプライバシーポリシーを確認する。コピーペーストする前に情報をマスクする。オープンソースで公開されているものであれば、入力データがどのように処理されているかを確認する。
- オンライン上のツールを使わない。その代わりに、ローカルで完結することが保証されている macOS や Windows のアプリケーション・コマンドラインツールを使うようにする
「対策を徹底しましょう!」というより、まずは「入力データがインターネットのどこかのサーバーを経由しているかもしれない」こと(とそのリスク)を認識してもらえたら、この記事を書いた甲斐があります。