はじめに
情報漏洩や不正アクセスのリスクを減らすためには、社内外の関係者が安全にデータを共有する仕組みが不可欠です。しかし単純に暗号化やアクセス制御、複数のパスワード設定といったさまざまな方法を組み合わせた対策はベストではありません。セキュリティ対策運用の手間や費用の増加といった課題だけでなく、現場の業務効率への悪影響を及ぼす、従業員が複雑な手順を勝手に省略してしまうといった恐れもあります。
このような課題を解決する手段として本記事では、データ共有の基礎知識と、ソリトン社の『HiQZen』を例にオンラインストレージ導入を成功させるポイントについてご紹介します。
昔ながらのデータ共有方法のリスク
データ共有にはいくつもの方法があり、それぞれに異なるメリットとデメリットを持ちます。基本的に利便性と安全性は反比例する傾向にあるため、利便性の高い方法を採用する際は、その安全性の担保方法を慎重に検討しなければなりません。しかし実際には、安全面について十分に検討されていない方法が習慣化してしまっている場合もあります。
オンラインストレージ導入について考える前に、一度昔ながらのデータ共有方法のリスクについて整理し、理解しましょう。
USBメモリ
USBメモリに代表される物理メディアを介したデータ共有は、ネットワークに接続していないスタンドアロン端末ともデータを共有できる点や、通信負荷を考慮せずに大容量のデータを共有できる点が強みです。
一方で、物理メディアを紛失した場合の情報漏洩リスクと被害は非常に大きいことは明確なデメリットです。紛失はヒューマンエラーであり、発生の可能性を低減することはできても、ゼロにはできません。つまり、物理メディアを介したデータ共有はいつか必ず紛失や情報漏洩といったトラブル発生につながる、ということに他なりません。また、物理メディアはコンピュータウイルスの侵入経路になりかねない点にも留意すべきです。
USBメモリを利用したデータ共有リスクについては、『地方公共団体における テレワーク推進のための手引き 』(令和3年4月、総務省)や『テレワークセキュリティガイドライン(第5版)』(令和3年5月、総務省)にも記載されており、リスク周知とともにこの方法は減ると考えられます。
メール添付(PPAP)
従来はオンラインでのデータ共有のためメール添付は定番の方法であり、zip形式で圧縮してパスワードを別送する手順がいつのまにかデファクトスタンダード化していました。この方法は以下のように2つの手順で構成されており、「PPAP」と揶揄されていました。
1.【P】asswordつきzipファイルを送る
2.【P】asswordを別送する【A】n号化【P】rotocol
メール添付は、遠隔地でタイムラグ無くデータ共有できるため非常に利便性は高いものの、セキュリティ面のデメリットも非常に大きい方法だといえます。
zipファイルを添付したメールとパスワードを知らせるメールは、時間をおかずに送信される場合が多く、ほとんどすべてのケースにおいて誤送信対策になりません。そしてメリットがないのにも関わらず、パスワード付きzipファイルは受信メールサーバや、受信者のメールソフトで自動ウイルス検知できないというデメリットがありました。この意味のない手順を悪用し、マルウェアを含むパスワード付きzipファイルを添付し、ユーザに解凍させることで感染させようとするサイバー攻撃が流行したのです。
2020年には、当時のデジタル改革担当相であった平井卓也氏がパスワード付きzipファイルのメール送信(PPAP)を辞める旨を発表しました。これをきっかけに民間企業でも廃止の動きが加速し、大手IT系企業からも禁止宣言が発表され、代替手法が探されるようになりました。
メール添付に代わり普及したオンラインストレージの課題
USBメモリを使用せず、かつメール添付ではないデータ共有方法として注目されたのは、「オンラインストレージでファイルを共有し、パスワードをメールで送信する」方法です。通信をhttpsプロトコルで暗号化でき、メールの宛先を間違えたことに気付いた場合はストレージ上のファイルを削除することで対処できるため、送信者側のリスクを低減できます。またダウンロードするファイルは自動でウイルス検知可能な形式で保存されているため、受信者側にとってもPPAPより安全です。
オンラインストレージはUSBメモリやメール添付より安全ですが、デメリットが無いわけではありません。データ共有方法の刷新について検討する際には、機能面だけに目を向けるのではなく、オンラインストレージの「契約してデータをベンダのサーバに保管する」という構造上の課題を把握しておきましょう。
大容量ファイルの転送サービスで発生したユーザの個人情報流出
オンラインストレージの利用に際しては、ベンダがサイバー攻撃に狙われるリスクについても考えておきましょう。ユーザが利用しているサーバ以外に、ベンダが管理するユーザの個人情報が狙われる場合もあります。
2020年、オンラインストレージでファイルを共有し、パスワードをメールで送信するある無料サービスで、約480万件もの個人情報の漏洩事件が発生しました。漏洩したのは、暗号化されずに運営企業側で管理されていたユーザの個人情報であり、ログイン用メールアドレスやログインパスワードだけでなく、性別や生年月日など多岐にわたります。
この事件の直後からサービスは利用停止となり、十分な安全性を確保するためのシステム再構築に要する時間や費用を考慮した結果、終了が決定されました。
海外にサーバが存在するオンラインストレージのリスク
オンラインストレージに預けているデータは、物理的にはサーバ上に存在します。サーバやネットワーク機器を効率的に運用するため、一般的にデータセンターと呼ばれる施設で管理されていますが、このデータセンターが国外に存在する場合は、その国の法律が適用される点には注意が必要です。
アメリカでは2015年に失効するまで、2001年に成立した「米国愛国者法」という法律が有効でした。この法律は、2001年9月11日に発生したアメリカ同時多発テロ事件後45日間で成立し、テロと戦う目的で政府当局の権限を大幅に拡大させました。この法律により、捜査機関は裁判所の許可無くアメリカ国内のサーバを調査・押収することが可能でした。過去には、FBIの調査によりデータセンターが差し押さえられ、センター内のサーバが強制停止させられた事例もあります。
サイバー攻撃と比較するとリスクは低いですが、会社の財産であるデータを安全に保つために、オンラインストレージが物理的に存在する国の法律や政治状況にも注意を払いましょう。
『HiQZen』に見るオンラインストレージの差別化ポイント
オンラインストレージは、その基本的な機能がシンプルであるが故に、容量や料金以外に、機能面で差別化しやすいサービスです。導入にあたっては、実際の業務フローを念頭に、業務を効率化できるような機能を備えているか、自社の目的を明確化したうえで検討を進めるとよいでしょう。
オンラインストレージを選ぶ際の大きなポイントとして、たとえば「同期型」と「非同期型」の違いが挙げられます。オンラインストレージの主な用途はデータバックアップと複数人数での共有ですが、同期型と非同期型は、それぞれ向いている用途が異なります。同期型は、指定したファイルが常時同期されるため、バックアップに向いています。PCやタブレットなど複数の端末からファイルを編集する際にも役立つでしょう。非同期型は、ファイルを自分の好きなタイミングでオンラインストレージ上に保存できます。複数人数でのファイル共有に向く機能です。両方のタイプを利用できるか、いずれか一方のタイプしか利用できないかはサービスによって異なるため、選択の際に注意が必要です。ほかにも、ファイル共有の用途でオンラインストレージを導入する場合は、ファイルのアップロードや削除を禁止して閲覧やダウンロードだけ許可するといった、ユーザごとの権限設定の使いやすさもポイントになります。
より特定の用途に特化したサービスもあります。たとえば、アクセス権限を持たない人物とのデータ共有に焦点を合わせたのが、ソリトン社の提供する『HiQZen』サービスです。メールサーバと連携してメール添付だけでランダムなダウンロードURLに変換、アップロードやダウンロード時に自動で通知メールを送信、ダウンロード回数や期限の設定といった利便性を向上させる機能を備えています。また、ワンタイムパスワード発行、情報漏洩が疑われる場合には「誰が、いつ、どのファイルに、どこからアクセスしたのか」を調査できるログ管理機能といったセキュリティを向上させる機能も備えています。
セキュアなデータ共有には社内教育も不可欠
オンラインストレージを導入する際には、すべての従業員への周知と、理解を得るための教育活動が必要です。いかにオンラインストレージがセキュリティ面で優れていたとしても、従来のUSBやPPAPを利用した業務フローのままの従業員が存在すれば、サイバー攻撃のリスクをうまく低減できません。
IPA(独立行政法人 情報処理推進機構)が毎年取りまとめている『情報セキュリティ10大脅威』にも、ここ数年「不注意による情報漏えい等」がランクインし続けています。主な原因として「情報管理に関する規程の不備、従業員のモラル、セキュリティ意識や情報リテラシーの低さ、不注意」が挙げられており、従業員の継続的な教育が必要だと見て取れます。
従業員教育には時間やコストが必要であり、簡単ではありません。新しいサービスの選定や初期設定、定着活動に加えて教育までも必要になることを踏まえると、情報システムやセキュリティ対策担当者だけですべて対応するのは難しいケースも少なくないはずです。
そのような場合には「セキュリティ対策のマネージドサービス」のように、全体のサポートをプロに相談することを視野に入れましょう。
まとめ
データ共有には、それぞれ異なるメリットとデメリットを持ついくつもの方法がありますが、安全面について十分に検討されずに業務フローが習慣化してしまっている企業も少なくありません。クラウドサービス活用が普及し、サイバー攻撃が増加する今だからこそ、データ共有の方法を見直す必要があります。
オンラインストレージは、セキュアなデータ共有の方法として有用であり、サービスによっては単純にデータを保管するだけでなく、バックアップや共有のための便利な機能を備えています。費用コストだけではなく、自社のクラウド利用やデータ活用の状況を加味して、最適なサービスを選びましょう。
効果的な運用には、従業員の教育が不可欠です。社内の人材だけで対応するのが難しい場合は、人材のアウトソースやプロのコンサルティングを視野に入れるのもオススメです。セラクには専門性の高いセキュリティ技術者が多数在籍し、クラウドサービスの導入支援や情報システムに関するマネージドサービスなど、幅広く支援しています。また、本記事でご紹介した『HiQZen』をはじめ、ソリトン社のセキュリティ対策製品・サービスを取り扱っています。自社のIT環境に疑問・不安・お悩みなどございましたら、ぜひセラクへご相談ください。
