連載
» 2020年09月29日 07時00分 公開

半径300メートルのIT:「メールに添付」はもうやめよう ファイル共有サービスを選ぶコツとは?

サイバー犯罪者の標的となりやすいファイル転送サービス。マルウェア被害を受けたFirefox Sendのサービス終了は、皆さんの記憶に新しいでしょう。「安全」で「便利」かつ「お金もかけず」にファイル共有をするにはどうすれば良いのでしょうか。

[宮田健,ITmedia]

 皆さんはファイル転送サービス「宅ファイル便」を覚えているでしょうか。宅ファイル便は、不正アクセスにより2019年1月から運営を停止、最終的には2020年3月31日をもって全てのサービスを終了しました。これに伴い、本コラムでは代替サービスとして「Firefox Send」を紹介しており、個人的にもFirefox Sendを利用していたのですが、また風向きが変わってしまいました。

Firefox Sendのサービス終了 ファイル共有サービスは何を使うべきか

 Firefox Sendは、2020年9月17日にサービスが終了しました。サービスはそれ以前より利用ができなくなっており、行く末が非常に心配だったのですが、結果としては運営元のMozillaの「選択と集中」のために“選ばれなかった”サービスとして別れを告げることとなりました。

 実はこの背景には、Firefox Sendとマルウェアの戦いがありました。現状のマルウェアの感染経路について説明すると、フィッシングメールを経由しPCに潜り込んだ後、本丸とも呼べるマルウェア本体をダウンロードし、PC内でマルウェアを実行させることで侵入が完了する、という方法が一般的です。Firefox Sendは、運悪くダウンロードされるマルウェアのホストとして選ばれてしまったのです。

 さて困りました。安全にファイルを共有するにはどうしたらいいのでしょうか。

日本の中小企業における現状を考えつつ、方法を模索する

 まずは「安全に、正しく」ファイルを共有する方法を考えていきましょう。結論からいうと、どのような方法を採用しても所属している組織の許可がなければ、ポリシー違反となってしまいます。

 そのため、情報システム部や総務部などに、業務を遂行する上でいかにファイル共有が必須なのかを伝えましょう。その際、運用に即し手間のかからない方法を選択できるよう、現状のレポートを忘れないでください。結果的に導入された手段が「パスワード付きzipファイルをメールで送り、後でパスワードを送信する」といったものにならないように気を付けましょう。

 個人的に最適な手段は、クラウドストレージを活用したファイル共有サービスです。皆さんの組織で「G Suite」を利用しているのならば「Google ドライブ」を「Microsoft 365」を活用しているのならば「OneDrive」を、利用するといいでしょう。

 これらのサービスを推奨する理由は、既に利用しているであろうサービスに認証をまとめる、または少なくすることが、これからの安全を作る鍵になると私が考えているからです。組織内であれば明示的に共有相手を指定することで、無関係の利用者が閲覧できない安全なファイル共有が可能です。

 情報システム部は、この方法が浸透すればファイルサーバをクラウドストレージに置き換えられます。これこそが、テレワークを円滑に回すための最初のステップかもしれません。

「予算がない」「検討中」しかし「現場は止まらない」 現実解を探る

 前項のように、全社的にファイル共有サービスを導入するのが理想ですが、現実はそうもいきません。従業員が、シャドーITでファイル共有サービスを利用している企業も中にはあるのではないでしょうか。この場合「従業員がポリシー違反をしている」という非常に深刻な問題が発生します。

 確かにポリシー違反に目をつぶれば、従業員が個人でクラウドストレージのアカウントを取得し、シャドーITとしてファイルを共有するのが現実解になるかもしれません。しかし、組織のファイルを個人のクラウドストレージにアップロードした瞬間に、厳密には「情報漏えい」となります。

 こうした状況を常態化させないためにも、ファイル共有機能を持つクラウドストレージの全社的な導入をお勧めします。ファイル共有サービスは、クラウドメールサービスのオプションとして提供されているケースがあります。検討してみましょう。

「外部に送りたい」ニーズに応える ポイントは優先順位

 内部はともかく「組織の外部」に送りたい場合、相手が自分たちと同じファイル共有サービスを利用しているとは限りません。そのため、先述の「パスワード付きzipファイルをメールで送り、後でパスワードを送信する」という手段を採用することもあるでしょう。

 しかし、大容量の添付ファイルを送信したい場合、こうした手段は適切とはいえません。このニーズをカバーしていたのが、冒頭で紹介した宅ファイル便やFirefox Sendでしたが、サービスが終了した今、大容量のファイルを送るにはどうすれば良いのでしょうか。

 Firefox Sendのように「無料で」「暗号化され」「誰でも」「どんなファイル」も共有できるサービスは、サイバー犯罪者の格好の餌食です。今後同様のサービスは登場しないと考えた方がいいでしょう。つまり、上述の条件を全てではないが一部満たすサービスを利用するのが現実解といえます。どの条件を優先するかは、それぞれの企業のポリシーに依存します。

 不便でも「安全で」「お金がかからない」サービスを優先するのであれば、外部にもクラウドストレージを利用してもらうのが良いでしょう。安全ではありませんが「便利で」「お金がかからない」サービスを優先するのであれば、メール添付を視野に入れた方がいいでしょう。お金がかかっても「安全で」「便利な」サービスを優先するのであれば、有料のファイル共有サービスを利用するという手もあります。

 中には、優先順位をつけられないという企業もあるでしょう。その場合は、現状バランス良く上記の3つの条件を満たす、Dropboxの「Dropbox Transfer」を利用すると良いでしょう。

 Dropbox Transferは、Dropboxの利用者に向け、Firefox Sendと同様に、簡単にファイル共有サービスを提供します。アカウント登録が必要な点と、無料で利用できるストレージ容量が100MBという点が許容できるのであれば、非常に便利に使えるはずです。有料プランは、有効期限やパスワードを設定でき、機能に不足はありません。継続的に不特定多数に大容量ファイルを送信する必要がある組織向きのサービスです。

「Dropbox Transfer」の利用イメージ

 どのようなサービスを利用しても、組織のポリシー違反に抵触する可能性はあります。だからといってサービスを利用しない、あるいはシャドーITとして利用するのではなく、利用するサービスのリスクと利便性を認識して、それを組織全体で再考し、必要であれば「ルールを変える」ことが重要です。

 テレワーク時代において、ポリシーが柔軟に変更できることがセキュリティ対策には必要だと思っています。そのためには、現場から上層部へしっかりと説明することも重要でしょう。「上は分かっていない!」と決めつけるのではなく、「自分たちの説明がうまく伝わっていないのでは……」と考えてみましょう。ポリシーに準拠した正しいファイル共有ができる組織が増えることを願っています。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ