というコトについて、なんとなしに書きます。
0. 話の前提
まあ、 Moneytree に限らず、
クラウド系の家計簿や、あるいは簿記サービス
なんかは、その機能実現のために、現実的には、
他人にネットバンキングのパスワードを預けて云々
というコトせざるを得ない以上、
パスワード流出のリスクが常に有る
という状態ではあります。
で、この手の話については、やまもといちろう氏の、
という、去年書かれた Yahoo への寄稿記事にポイントがまとまっています。
それで、僕のこれ読んだ上で、色々考えた結果として、
僕は _ [Moneytree https://moneytree.jp/_ を信頼した上で使う]
と決意したんですが、今日はその辺りの意思決定の過程と言うか、まあ、それに付随する形で別の問題提起も有るんじゃね? というコトに気がつい件も含め、雑多に書き連ねたいと思います。
1. ––––問おう、そのパスワードマネージャは安全か?
まあ、話の前提にも書いてますが、ぶっちゃけこの手のクラウド系家計簿サービスっていうヤツは、その機能の実現の為、2016 年 1 月現在の時点では、
顧客からネットバンキング等のアカウントとパスワードを預かって運用する
というコトをせざるを得ません。
まあ、本来の筋であれば、この手の機能の実現には、ネットバンキングの方で、OAuth 経由の Read-only なアクセス権限を付与するのが筋なんですが、2016 年 1 月現在の今は、その手のサービスなんてどこもやってないので、まあ、当然、その手のクラウド系家計簿サービスは、顧客からパスワード預かって云々せざるを得ないというか、そうでもしないと、その手のサービスの利点である自動化して云々は一切できません。
で、当然のことながら、ネットバンキング等へのアクセを自動化して云々、という機能を、 顧客のパスワードを預かって行う 以上、その手のクラウド系家計簿サービスから、アカウントやパスワードの情報が流出したり、あるいは、そのサービスの中の人間が、顧客のアカウントに手を出して云々っていうリスクがどうしても付き纏います。
それで、僕もそれを知っていた上で、
さて、 [[Moneytree]] を使ってみるか否か
って考えていて、ふと、
……あれ、そう言えば、 [[ブラウザ]] に付属していたり、あるいは、ブラウザへの自動入力機能が付いている、 [パスワードマネージャ って本当に安全なのけ?]
というコトに気がつきました。
で、これはどういう話かっていうと、そもそも、
(クラウド系家計簿サービス等の) 他人にアカウント情報とパスワードを預けるのはリスクが有る
というのは至極当然な話です。他人にアカウント情報とパスワードを預けるワケですから。
ただ、よくよく考えてみると、
他人にアカウント情報とパスワードを預けるのはリスクが有る
とは言っても、僕の場合、
他人にアカウント情報とパスワードを預ける
っていう機能、実は使ってるんですよね。 [Google Chrome とか [[ Safari]] とかのブラウザの同期機能経由で] 。
しかも更に言うならば、僕は パスワード管理に 1Password とか Enpass.io とか使っていて、かつこれらのソフトウェアも Dropbox 経由で同期しているワケで、
…… あれ、自分、 他人にアカウント情報とパスワードの情報 、普通に預けて使ってるよね……
と気がついてしまい、
…… っていうか、 Google Chrome の同期機能とか、あるいは iOS や OSX の iCloud Keychain を考えなしに使っていて、Moneytree だけに対してその手の機能はリスクが有る、とか考えるの、 やってるコトと考えてるコトが矛盾してるよね
と自分で思い至ったので、
とりあえず、 Moneytree だけに対して リスクを考えるのは止めよう
と成りました。
まあ確かに、
自分の代わりに他人がネットバンキング等にログインして云々
っていうのはかなりリスクが有る、と感じるのは判るんですよ。
ただ、それをするかしないかは別として、実際にそれに相当するコトが出来る状態なのって、 [[Google Chrome]] のパスワード同期とか、あるいは [[iCloud Keychain]] 等も、 何かしらの方法でパスワードを復元できている時点で、同じコトが出来得る ワケで、そういうのに対してリスクを感じていなかった自分が、 [[Moneytree]] だけをリスク視するのは、なんかちょっと違うなーと思ったので、 僕は まあ [[Moneytree]] などの、
クラウド家計簿サービスだけに対してリスクを考える
と言うのは止めました。
で、次。
2. 僕は何を以って Moneytree を信頼し使用すると決め、かつ Google とか Apple のパスワード同期サービスも使い続けると決意したか
まあ、個々から先は個人個人の価値観に基く話なので、各自、自己責任の元、
そのサービスを利用するか否か
っていうのを考えるべきだ、という話なんですが、一応、僕としては、 Moneytree や Google とか Apple のサービスを、次の様な理由で使い続ける、と決意しました:
1. 法人向けサービスを行なっている
まあこれはどういうこっちゃか、っていうと、まあ [[Moneytree]] にしろ [[Google]] にしろ [[Apple]] にしろ、各企業は法人向けのサービスを提供しています。
で、 法人向けのサービスを行なっている ってことは、少なくとも、そのサービスを利用する際に、 クライアント企業の監査は通り得る水準でそのサービスが運用される って考えても良いのではないか、と僕は考えました。
まあこのあたり、各クライアント企業によっては考え方とか違うんでしょうが、少なくとも、 [[Google]] や [[Apple]] は世界規模で商売をやっていて、かつその上で法人向けのサービスとか提供しているので、まー普通に考えて、そうアレなセキュリティインシデントは起きないだろう、というのが僕の考えです。
2. セキュリティを正しく理解していると外部から確認できる
まあ、これは、 Moneytree だけでしか確認できませんでしたが、少なくとも Moneytree は、
- Extended Validation 証明書 (EV SSL)
を使っていて、まあよっぽどアレな事が無い限りは、
セキュリティに対して外的な証明が出来る様に正しい運用を行なっている
と認識できたので、今回、 [[Moneytree]] を利用しよう、と決意するに至った一つの理由です。
3. 素人のブラウジング環境より、プロの自動化された環境の方が安全である
んと、これもまあ人それぞれ考え方が違うと思うんですが、少なくとも僕は、
自分の PC のブラウザよりも、(Moneytree 等の) プロが自動化に使っているブラウザ環境の方が安全ではないか?
と思っていて、 どこで何が突っ込まれてるか判らん個人の PC 環境 よりも、スクレイピングに特化したブラウザのインスタンスの方が、よっぽど安全なんじゃないか、と個人的には思ってます。
3. 利便性とセキュリティは天秤の両端であり、そもそもセキュリティに厳重に気を使うなら、ネットバンキングなぞ使うべきではない
最後に結論……でもないんだけど、もし、 預金口座に数千万とかとか数百万とか入ってる なら、その口座では Moneytree がどうのこうのの前に、そもそもの ネットバンキングなんぞを利用すべきではない し、また、セキュリティ的に漏れたらマズい情報なんかも、ネットに繋いだ PC や、あるいはそもそもの PC に閲覧可能な状態で、電子データとして保存もすべきではない、と個人的には思ってます。まあ当たり前だけど、複製可能なデータって、何をどうがんばっても漏れる時は漏れるからね。
で、さらに言えば、今回、話題に挙げた Moneytree のセキュリティよりも、各エンドユーザー個人個人の PC のセキュリティの方がザルなワケで、そうい言った意味合いでは、
セキュリティが厳しい (と認められる) 環境からの自動アクセス
の方が、まあ自分の PC からネットバンキング等にアクセスするよりかは安全じゃないなぁ、なんて思ってます。
それで、僕は今回、その辺りのセキュリティがしっかりしているであろう、と個人的に判断できたんで、
を利用するに至りましたが、果たして他のクラウド家計簿系サービスが、きちんとしたセキュリティ環境下に在るか、って問われると、まあ微妙なところも有るよね、と思うので、その辺りはきちんと下調べした上、自分が負えるリスクの範囲内で、今回の様な、
アカウント情報とパスワードを預けて云々するサービス
を利用した方が良い、と個人的には思います。
ま、今回の話は、一言で言えば、
Do anything at your own risk.
っていう話ですね。はい。
というコトで以上です。
なんか正月早々、また長いエントリを書いてしまった、とか思ってますが、いかんせん流行するタイプのウィルス性の結膜炎がまだ治ってないので、本当、画面が見にくいこと見にくいことで、めっちゃ書き上げるのが大変でした。片眼の方は今現在、すごい眼の霞みで視力ダダ下がりですしおすし。ま、そう言う中でブログを書いている自分がアレっていう話でも有るんですが。
で、あと今回の話、ここまで書いて簡単にまとめると、
アカウント情報とパスワードを預けて自動アクセスさせるのはリスク有るって言うけれど、アカウント情報とパスワードを預けて複数 PC 間で情報を同期させるサービスも同じコトが言えるよね……
って話で、更に言えば、
その上で、自分はリスクとか考えずにブラウザとかにアカウント情報とパスワードを預けて同期とかしてたんだから、何を今さら自動アクセスなんぞを恐れる必要が有んの?
と思ったので、今回っていうか昨日、
を使うぞ、ジョ(ry という決断をしたって話でした。
ま、話としてはそれだけの話ですが、結構、っていうかかなり長い記事に成りましたとさ。慈悲はない。アイエエエエー!!
