「インターネット経由でアクセス可能なサーバーにデータを置くことは、情報漏洩の可能性があり危険だ。
SSLやVPNなどの技術を使えば、ある程度安全になるが、攻撃などを受ける可能性はあるので、危険であることには変わりない。
一番確実なのは、データが置いてあるサーバーはインターネットとは離れたサーバーに置くことだ。
その上で、このデータは絶対に外部には持ち出さない、というルールを厳格に適用すれば、
（物理的に侵入されない限り）絶対に安全だ」という考え方がある。

世間ではこの考え方は割と常識的な考え方とされていて、私もつい最近まではこれが正しい考え方だと思っていたが、
この常識が最近崩れつつあるような気がする。

「インターネットに直接接続されていない場所に置いてあるから、絶対に流出しないはずの重要データ」
が漏洩したというニュースが、最近毎日のように報じられている。
企業の顧客データから、官庁の機密情報から、ついに住基ネットのデータまで流出した。

「Winnyなどといういかがわしいソフトを使う人間が悪い。こういうソフトは使用を禁止すべきだ」とか「リスク回避ができない人間がこの手のソフトを使うのがいけない」
とか「いやいや、組織の管理が行き届いていないのが悪い。組織はセキュリティポリシーを厳格に適用すべきだ」とかいろんな意見があるのだが、
実はこれは技術で解決すべき問題なのではないかという気がしてきた。

つまり、「データーをインターネット上のサーバーに置くことは本質的に危険だ。」「だから、データはインターネットにつながっていないサーバーに置く」これは確かに正しいのだが、「とはいえ、自宅で仕事をしたい場合もあるから、クライアントPCにデータを入れて持ち出すことは例外的に許可しよう」となるととてもまずい。

盲点だったが、一番危険なのは実はクライアントPCなのではないか。
サーバーであれば、常時接続だから確かに危険にもさらされるが、１元管理ができるからまだ管理はしやすい。
侵入チェックや、セキュリティパッチなどの。

クライアントPCだとこうはいかない。大組織となれば所有するPCは数千〜数万台となるかもしれないが、
このすべてのPCに対して、最新のセキュリティパッチを当て、最新のウィルスチェックを行い、かつ怪しいソフトは使わせないようにすることというのは、本当に実現可能なことなのだろうか。
そしてこのPCの数だけ所有者がいて、そのスキルはまちまちだ。
これらの所有者全員が情報漏洩から身を守るためのITスキルを身につける、というのは現実的なことだろうか。
そもそも、クライアントPCに機密情報を置いてはいけないのではないだろうか。

つまり、クライアントPCにデータを置くことを許すくらいなら、多少のリスクを負ってでも
インターネット上のサーバーにデータを置き、そのなかで仕事をするほうがまだ安全なのではないだろうか。
という考え方の方が正しいような気がしてきた。