「リンクを知っている全員が閲覧可」より安全で「特定のユーザーと共有」より簡単な方法とは:半径300メートルのIT
端末からネットにアクセスし、場所に縛られずに働く――クラウドのビジネス利用が広がっています。それらの中で導入しやすいのが「ファイル共有サービス」ですが、人はどうしても「安全な方法」よりも「簡単な方法」を選んでしまうもの……
現在多くのビジネスパーソンが、メールやファイル共有、オンライン会議サービスなどを当たり前のように使っています。企業におけるクラウド活用は、普及期から実践期に移ったといえます。これらのサービスを使いこなせば働き方改革を推し進め、オフィスに縛られない仕事が可能になるはず。アジアを中心に猛威をふるう新型コロナウイルスやインフルエンザなどの感染予防にも役立つでしょう。
さまざまなクラウドサービスの中で、特に利用のハードルが低いのが「Box」や「OneDrive」「Google Drive」などのファイル共有サービスです。クラウドストレージにフォルダを設定してファイルを置くだけで、ローカルストレージの故障や盗難といったリスクに備えられます。さらに、同僚や協力企業と情報を共有したいときはデータ格納場所のURLを送るのみ。メールへのファイル添付で起きがちだった「送信先の間違いによる情報漏えい事故」などのリスクを抑えられます。
セキュリティベンダーのマカフィーが「クラウドの採用とリスクに関するレポート 2019年版」で発表した調査結果によると、クラウドに置かれたファイルの26%が「機密データ」とされ、2018年と比べて5ポイント増加しているとのこと。「クラウドストレージは危険」という認識が薄れ、企業が積極的にクラウドにデータを置くようになったと読み取れます。
マカフィー、多くの企業で管理範疇を超えたクラウド上にデータが分散しているとの調査結果を発表| McAfee Press Release
簡単共有は便利だけれど……共有相手は「誰」ですか?
しかし、マカフィーのレポートには少々気になる結果も。データ共有方法における「パブリックアクセスリンク」の増加です。パブリックアクセスリンクとは、OneDriveにおける「リンクを知っていれば誰でも編集できます」、Google Driveにおける「リンクを知っている全員が閲覧可」という設定のこと。この方法で共有したクラウドデータは、リンクのURLを知っていれば誰でもアクセス可能です。
共有URLの文字列は非常に長く、人間が覚えたり、自力で生成したりできないよう設定されています。そのためユーザーは「他人に知られることはないだろう」と思いがち。その安心感のためか、クラウドストレージ内の機密データのうち9%のデータがパブリックアクセスリンクによって共有されているというのです。
しかしセキュリティの世界において「長くて覚えにくいURLなら安全」という考え方は適切ではありません。ステークホルダーが開いた共有ドキュメントの中に他のファイルへのリンクがあったら、Webサーバに「リファラ」として記録されるかもしれません。プロキシサーバやブラウザの履歴情報として残り監視される場合もあるでしょう。昨今の常時SSL化によってこれらのリスクは下がっていますが、だからといって安心してはいけません。
かくいう私も、実はパブリックアクセスリンクで原稿や資料を共有しています。なぜなら「簡単だから」。しかし本来なら、共有すべき相手を明示的に指定するべきなのです。
そんなことは分かってるよ! では「Firefox Send」はどうだろう?
「そんなことは分かってるんだよ!」という読者の声が聞こえてくるようです。……正直なところ、私もそう思っています。
そこで、せめて無制限に公開される共有URLよりはもう少し安全で、かついちいち送信先を指定しない(できない)場合でもそれなりに使える方法を考えてみましょう。以前もご紹介した「Firefox Send」です。
Firefox Sendは、Mozillaが無料で提供するファイル共有サービスです。「Firefox」はもちろん「Google Chrome」や「Microsoft Edge」などの他社製Webブラウザにも対応します。プラグインのインストールなしで利用可能で、スマートフォンからの送信もできます。使い方は「ファイルをブラウザにドラッグ/ドロップし、共有設定で『ダウンロードの回数上限』もしくは『日数』を指定する」だけ。パスワードの設定も可能です。
Firefox Sendは暗号化において、WebブラウザのJavaScriptを利用します。そのため、秘密鍵はFirefox Sendも保持しません。ファイルを保持するサーバの運用管理者すら利用者から送られたファイルをのぞき見できない点は、大きなポイントでしょう。さらにいえば、このFirefox SendはGitHubでソースコードが公開されています。そのため自社内でこの機能を持つサービスを立ち上げることも可能です。
GitHub - mozilla/send: Simple, private file sharing from the makers of Firefox
例えばファイルをアップロードし、ダウンロードの上限回数を共有したいメンバー数で設定すれば、公開URLが漏えいしても無制限にデータが漏えいするリスクを抑制できます。
とはいえ、組織のルールに従って!
自社でこの方法を利用したい場合、最も大切なのは「所属組織のルールに従うこと」です。しかし正直なところ、これまで使っていたクラウドストレージサービスも、いわゆる「シャドーIT」だったのではないでしょうか。パブリックアクセスリンクとシャドーIT、問題の根源は近いところにあるように思います。
情報漏えい発生の「宅ふぁいる便」、3月末で終了 システム再構築に要する時間・費用を考慮 - ITmedia NEWS
安全性のためには「相手を明示的に指定してファイル共有すること」が基本対策となります。ただし、それなりに手間のかかることであるのも事実。それならせめて、無条件の共有URLよりは回数や日数を制限したほうが良いでしょう。Firefox Sendは落とし所として、良いところにあるように思います。
とはいえこの方法も、管理ポリシーによってはシャドーITになってしまいます。情報システム部やコンプライアンス担当の人たちからすると悩ましいかもしれません。できればそのような方にこそFirefox Sendを使っていただき、組織が認可するクラウドサービスにしていただきたいところです。
関連記事
- 「パスワードをクラウド上のExcelシートで管理」に一手間加えて安全に
テクノロジーは日進月歩。かつての常識が現代の非常識になることも、かつての非常識が現代の推奨行為になることもあります。個人情報を安全に管理する方法も、どんどん変化しています。 - 三菱電機の情報漏えい事件から見えること 「守り方」のシフトチェンジを
2019年6月に判明した不正アクセスが、2020年1月にスクープ報道されました。「あれ?」と思われる方も多いでしょう。筆者もその一人です。この違和感をたどって「セキュリティ対策のあるべき姿」を考えてみます。 - 政府がセキュリティ対策に「緊急提言」……えっこのレベル? と思ったあなたへ
国際イベントに向け、サイバー攻撃への警戒が高まっています。先日総務省から発表された「緊急提言」には、各事業者がサイバーセキュリティ強化に向けて速やかに取り組むべき事項が述べられていましたが、その内容に拍子抜けした方もいるのではないでしょうか? - ゼロデイ攻撃発生、ユーザーにできる「減災」と「防疫」とは
Emotet、Citrix製品へのゼロデイ攻撃、Windows7のサポート終了、IEの脆弱性……、2020年もセキュリティに関する話題は盛りだくさんです。「完璧な安全」は誰にも保証できない時代、ユーザー側でできる最善の備えは何になるのでしょうか。
Copyright © ITmedia, Inc. All Rights Reserved.