「リンクを知っている全員が閲覧可」より安全で「特定のユーザーと共有」より簡単な方法とは半径300メートルのIT

端末からネットにアクセスし、場所に縛られずに働く――クラウドのビジネス利用が広がっています。それらの中で導入しやすいのが「ファイル共有サービス」ですが、人はどうしても「安全な方法」よりも「簡単な方法」を選んでしまうもの……

» 2020年02月12日 07時00分 公開
[宮田健ITmedia]

 現在多くのビジネスパーソンが、メールやファイル共有、オンライン会議サービスなどを当たり前のように使っています。企業におけるクラウド活用は、普及期から実践期に移ったといえます。これらのサービスを使いこなせば働き方改革を推し進め、オフィスに縛られない仕事が可能になるはず。アジアを中心に猛威をふるう新型コロナウイルスやインフルエンザなどの感染予防にも役立つでしょう。

 さまざまなクラウドサービスの中で、特に利用のハードルが低いのが「Box」や「OneDrive」「Google Drive」などのファイル共有サービスです。クラウドストレージにフォルダを設定してファイルを置くだけで、ローカルストレージの故障や盗難といったリスクに備えられます。さらに、同僚や協力企業と情報を共有したいときはデータ格納場所のURLを送るのみ。メールへのファイル添付で起きがちだった「送信先の間違いによる情報漏えい事故」などのリスクを抑えられます。

 セキュリティベンダーのマカフィーが「クラウドの採用とリスクに関するレポート 2019年版」で発表した調査結果によると、クラウドに置かれたファイルの26%が「機密データ」とされ、2018年と比べて5ポイント増加しているとのこと。「クラウドストレージは危険」という認識が薄れ、企業が積極的にクラウドにデータを置くようになったと読み取れます。

マカフィー、多くの企業で管理範疇を超えたクラウド上にデータが分散しているとの調査結果を発表| McAfee Press Release

簡単共有は便利だけれど……共有相手は「誰」ですか?

 しかし、マカフィーのレポートには少々気になる結果も。データ共有方法における「パブリックアクセスリンク」の増加です。パブリックアクセスリンクとは、OneDriveにおける「リンクを知っていれば誰でも編集できます」、Google Driveにおける「リンクを知っている全員が閲覧可」という設定のこと。この方法で共有したクラウドデータは、リンクのURLを知っていれば誰でもアクセス可能です。

各クラウドストレージサービスでファイル共有してみると……

 共有URLの文字列は非常に長く、人間が覚えたり、自力で生成したりできないよう設定されています。そのためユーザーは「他人に知られることはないだろう」と思いがち。その安心感のためか、クラウドストレージ内の機密データのうち9%のデータがパブリックアクセスリンクによって共有されているというのです。

パブリックアクセスリンク パブリックアクセスリンクで共有された機密データは全体の9%(マカフィーによるアンケート調査および同社CASBの統計情報より)

 しかしセキュリティの世界において「長くて覚えにくいURLなら安全」という考え方は適切ではありません。ステークホルダーが開いた共有ドキュメントの中に他のファイルへのリンクがあったら、Webサーバに「リファラ」として記録されるかもしれません。プロキシサーバやブラウザの履歴情報として残り監視される場合もあるでしょう。昨今の常時SSL化によってこれらのリスクは下がっていますが、だからといって安心してはいけません。

 かくいう私も、実はパブリックアクセスリンクで原稿や資料を共有しています。なぜなら「簡単だから」。しかし本来なら、共有すべき相手を明示的に指定するべきなのです。

そんなことは分かってるよ! では「Firefox Send」はどうだろう?

 「そんなことは分かってるんだよ!」という読者の声が聞こえてくるようです。……正直なところ、私もそう思っています。

 そこで、せめて無制限に公開される共有URLよりはもう少し安全で、かついちいち送信先を指定しない(できない)場合でもそれなりに使える方法を考えてみましょう。以前もご紹介した「Firefox Send」です。

 Firefox Sendは、Mozillaが無料で提供するファイル共有サービスです。「Firefox」はもちろん「Google Chrome」や「Microsoft Edge」などの他社製Webブラウザにも対応します。プラグインのインストールなしで利用可能で、スマートフォンからの送信もできます。使い方は「ファイルをブラウザにドラッグ/ドロップし、共有設定で『ダウンロードの回数上限』もしくは『日数』を指定する」だけ。パスワードの設定も可能です。

 Firefox Sendは暗号化において、WebブラウザのJavaScriptを利用します。そのため、秘密鍵はFirefox Sendも保持しません。ファイルを保持するサーバの運用管理者すら利用者から送られたファイルをのぞき見できない点は、大きなポイントでしょう。さらにいえば、このFirefox SendはGitHubでソースコードが公開されています。そのため自社内でこの機能を持つサービスを立ち上げることも可能です。

GitHub - mozilla/send: Simple, private file sharing from the makers of Firefox

 例えばファイルをアップロードし、ダウンロードの上限回数を共有したいメンバー数で設定すれば、公開URLが漏えいしても無制限にデータが漏えいするリスクを抑制できます。

とはいえ、組織のルールに従って!

 自社でこの方法を利用したい場合、最も大切なのは「所属組織のルールに従うこと」です。しかし正直なところ、これまで使っていたクラウドストレージサービスも、いわゆる「シャドーIT」だったのではないでしょうか。パブリックアクセスリンクとシャドーIT、問題の根源は近いところにあるように思います。

情報漏えい発生の「宅ふぁいる便」、3月末で終了 システム再構築に要する時間・費用を考慮 - ITmedia NEWS

 安全性のためには「相手を明示的に指定してファイル共有すること」が基本対策となります。ただし、それなりに手間のかかることであるのも事実。それならせめて、無条件の共有URLよりは回数や日数を制限したほうが良いでしょう。Firefox Sendは落とし所として、良いところにあるように思います。

 とはいえこの方法も、管理ポリシーによってはシャドーITになってしまいます。情報システム部やコンプライアンス担当の人たちからすると悩ましいかもしれません。できればそのような方にこそFirefox Sendを使っていただき、組織が認可するクラウドサービスにしていただきたいところです。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ