「悪意ない」クラウドの設定ミスで情報漏えい、防止策は 共有状況を可視化して守る自由とガバナンス

いまや欠かせないITインフラとなったクラウドサービス。しかし利用するクラウドサービスが増えるほど管理の目が行き届かず、従業員の悪意のない設定ミスにより情報漏えいにつながる事例も増えてきた。どうすればいいのか。

[PR／ITmedia]

PR

　クラウドサービスは場所を問わずどこからでも利用できる。社内業務はもちろん、企業の枠を超えたコラボレーションも効率化するものとして活用の幅を広げている。チャットやWeb会議でリアルタイムにコミュニケーションを取って文書やプレゼンテーションを共有し、時に共同編集するといった働き方も当たり前になった。

　ただ、利用するクラウドサービスが増えるほど課題も生じる。ツールそれぞれに設定方法や運用が異なる中で、機密情報をどう適切に管理するかが問われるようになっているのだ。

　「複数のクラウドサービスを併用し、多様な方法で情報を受け渡す場面が増えています。共有設定を適切に使い分けるのが困難なため『社外への共有は禁止』といった一律のルールを決めている企業もあれば、業務効率を求めて現場の判断に任せている企業もあります。結果、従業員の悪意のない設定ミスが情報漏えいにつながるケースも報じられています」と、HENNGEの谷岡 なつみ氏は指摘する。

自由とガバナンスの間でシステム管理者を悩ませるファイル共有

　特定の人だけに共有したつもりが、誰でもアクセスできる状態でファイルを公開して情報が漏えいしてしまったというインシデントは、クラウドサービスの登場時から付きまとってきた。クラウドサービスの利用率が8割^※に達しようとする今も、そのリスクは減るどころかむしろ高まっている。メディアでも「数万件の個人情報が閲覧できる状態になっていた」といった事故が、いまだ頻繁に報じられている。

※総務省「令和5年通信利用動向調査の結果」より。

HENNGEの谷岡 なつみ氏（Product Planning & Research Division）

　コロナ禍を経てテレワークが広がった結果、オフィスで働いていたときと比べて管理者の目が届かないクラウドサービス利用も増えた。それに伴い、従業員が社内ルールに沿わない形で情報を社外と共有してしまう可能性も増している。管理者がこうした事態に気付き、食い止めるのは簡単ではない。

　複数のクラウドサービスを使うのが当たり前になった今、こうした課題の解決はますます難しくなっている。例えば、メインで利用している「Google Drive」にはガバナンスが効いているが「Microsoft 365」や「Box」は管理できておらず、そちらでルール外のファイル共有が発生する、といったケースもあり得る。

　かといって、クラウドサービスを使わない運用に戻すのはナンセンスだ。「ガチガチにガバナンスを効かせ、共有さえさせないという考え方もあります。しかしそもそもクラウドサービスは、コラボレーションを通して価値を生み出すものでもあり、その動きを止めるのは本末転倒ではないかと悩む管理者は多いと思います」

　その上で谷岡氏は、根本原因は「どのファイルが誰に共有されているのか」を把握できていないことにあると指摘する。「現状を把握できていないからこそ、ファイル共有を必要以上に怖がってしまったり、事故を防げなかったりという側面があるのではないでしょうか」

「信頼して活用促進」「万一に備えてトラッキング」の2軸で効率とセキュリティを両立

　国産のクラウドセキュリティソリューション「HENNGE One」を提供しているHENNGEは、こうした悩みの声をユーザーコミュニティーの場などでたびたび耳にしてきた。HENNGE自身も数百に上る多様なクラウドサービスを積極的に活用する立場にある。コラボレーションを促進させつつ情報をどう守るかという課題には、自社も直面してきたと谷岡氏は振り返る。

　その中から生まれたのが「Track and Trust」という考え方だ。一定の信頼の下で多様なサービスを利用する自由を与える。そして監視のためではなく、万一の事態への備えとして利用状況をトラッキングすることで、スピードや効率を妥協せず適切にリスクを受容するアプローチを指す。

　この考え方をベースに開発され、「HENNGE One DLP Edition」の新機能として2024年7月にリリースされるのが「File DLP」だ。「従業員を信頼してクラウドサービスを自由に使わせている企業でも『実際に誰に、何が共有されているのか？』をトラッキングまでしている例はまれなため、実情がどうなっているか分からず不安を抱いているケースは多々あると思います。そこを解消するのがFile DLPです」

　HENNGE One DLP Editionは、情報漏えい対策にフォーカスしたソリューションだ。クラウドメールでのやりとりにガバナンスを効かせ、特に日本企業で悩みの種となっている脱PPAPなどを支援している。

　そして、情報共有の手段が多様化してきたことを踏まえ、メールという枠組みを超えてファイル全般の情報漏えい対策を支援するソリューションとして誕生したのがFile DLPだ。リリース当初の対応サービスはMicrosoft 365の「OneDrive」「Microsoft SharePoint」やGoogle WorkspaceのGoogle Driveだが、今後Boxにも対応する予定だという。

　File DLPを利用することで、社外に情報をどのように出すかについてメールに加えてファイルという側面でもガバナンスを効かせられる。また、File DLPが対応するクラウドサービスのセキュリティ対策について、HENNGEのカスタマーサクセスからノウハウが得られることもメリットだ。

複数サービスの共有状況を一括して可視化　必要に応じてブロックできる

　File DLPの主な機能はファイル共有の状況の可視化、情報漏えい防止のためのアクション、アクションの自動化の3つだ。

　利用するクラウドサービスが増えるにつれ、どんなファイルが共有されているのか、外部にこっそり共有されているファイルはないかを把握するのは困難になっている。File DLPは各種クラウドサービスのAPIと連携して「どのファイルが外部に共有されているか」を定期的にチェックし、その結果をまとめて表示する。任意で設定できる「危険度」（クリティカル、高、中、低など）や公開中かどうかの「ステータス」を確認できるほか、「セキュリティリスク」があるファイルを絞り込むことも可能だ。

File DLPのイメージ。クラウドサービス上のセキュリティリスクがあるファイルだけ絞り込むこともできる（クリックで拡大／出典：HENNGEの提供資料）

　「クラウドサービスにおける情報漏えい対策では、可視化が何より重要です。File DLPを使えば、複数のサービスを使っている場合でも全てを一画面に表示できます」

　状況を把握したら、次はアクションだ。外部に共有されているファイルには、適切に設定されたフォルダで管理できているものもあれば「ついうっかり」外部に共有された状態になっているものもある。File DLPは、リスクに応じて「すべての外部共有者を削除」「特定の共有者を削除」などの操作ができる。

プルダウンメニューで素早く共有を停止できる（クリックで拡大／出典：HENNGEの提供資料）

　クラウドサービスの中には、共有範囲を設定できるのはファイルのオーナーのみで、管理者は手出しできないものもある。File DLPはそうした権限を越え、「この外部共有は問題だ」と思われるファイルの共有を管理者が停止できる。

　ただ、共有されるファイルが膨大な数に上ることもある。管理者が一つ一つ確認して手作業で共有を停止するとなると、とてつもない手間がかかる。そこでFile DLPには、一定の条件に該当するファイルは即時、あるいは一定期間後に共有を停止させる「自動停止」機能もある。

ユーザーを守り、自社にとって「ちょうどいい」ルール作りのツールに

　クラウドサービスの普及に伴って利用実態がつかみにくくなり、「誰がどのように活用しているかを把握したい」というニーズは高まっている。それを「ユーザー」や「サービス」という観点で洗い出して可視化する仕組みとしてCASBやSIEMといったソリューションも存在するが、「File DLPのコンセプトはやや異なる」と谷岡氏は話す。

　「File DLPはあくまでファイルという軸にフォーカスし、現時点の共有状況をリストアップします。怪しい動きを見つけ出すことが主目的ではなく、ルールを把握せずうっかり共有してしまっているものがないかを確認し、情報だけではなく“ユーザーも守る”ところから構想しているのです。その根底にTrack and Trustの考え方があります」

　ほとんどの企業は、外部共有に関するルール設定をしている。だが具体的にどういった場合にリスクが高いのかまではユーザーが理解できていないことも多く、気付かないうちに「ルール破り」をしているケースもある。File DLPはそうした環境で管理者の負荷を減らすとともに、悪意のないミスによって責められるような状況からユーザーを守る役割も果たす。

　ユーザーコミュニティーで興味を示し、すでにFile DLPのβテストに参加している企業も何社かある。File DLPでファイルの共有状況を可視化したところ「ガバナンスを効かせていたつもりだったが、特定のサービスが穴になっていた」「思っていた以上に外部共有されているファイルが多く、慌てて共有を停止した」といった例もあったという。

継続的な「改善」でユーザーファーストを貫く

　HENNGEは2024年7月のリリースに向けてFile DLPの開発を鋭意進めている。リリース後もクラウドサービスならではの強みを生かして改善を続けていく。

　一つの画面で全体の状況を分かりやすく表示するユーザーインタフェースは継続的に改善し、フィルタリング機能を強化する計画だ。谷岡氏は詳細について「数万単位のファイルが検出された場合に、管理者が自由にフィルターをかけて意図したファイルを的確に抽出できるようにしたいと思います」と話す。多数のアラートに管理者が悩まされないように、一度レビューしたファイルはアラート対象から外すといった機能も検討している。

　この先も、クラウドサービスを使ったファイル共有の機会は増えていくだろう。今の時点では問題なくても、新たなリスクが登場する可能性はある。そのような中で、File DLPの利用を通して「どのファイル、どんな共有が危ないのか」をあらためて可視化した上で整理して、各社ごとの自動停止のルールを作り上げていくことには大きな意味があるはずだ。

　「各社、ファイル共有時のガイドラインはあっても細かいルールは未整備というケースが多いと思います。File DLPで共有状況を可視化できればリスクに対する解像度を上げられます。File DLPを通して企業ごとにルールを磨き、クラウドサービス活用の“ちょうどいい”落とし所を見つけていただきたいですね」

　クラウドサービスの利用を100％許すのでも100％ブロックするのでもなく、利便性を損なわずにガバナンスを効かせられるFile DLP。今後、安全にビジネスを加速させる上で欠かせない存在になりそうだ。