クラウドストレージでリンク共有を行うリスク
株式会社エアー サポート担当
BOXやOneDrive、GoogleDriveなどクラウドストレージサービスにファイルを格納し、ファイルを誰かにURLを発行する機能があることはご存じかと思います。(以下、リンク共有機能と呼びます。)
昨今「脱PPAP」(ZIP暗号化形式によるファイル送受信をしないこと)を行う企業が増えており、弊社製品への問い合わせも数多く頂いております。
しかし、リンク共有にも情報が漏れてしまうリスクは潜んでおり、適切な対策を行う必要があます。
特に注意すべきポイントは、URLを発行する1つの方法として"誰でもアクセスできるURLを発行することが可能な点"、そして"アップロードしたファイルの管理"についてになります。
発行されるURLについて
共有を行うためのURLについては、クラウドサービスにより異なりますが、いくつか共有方法が選択出来るようになっています。
大きく分けて以下の3つが選択できることが多いと思います。
- リンクを知っているすべてのユーザー
- 権限を持っている(または宛先に含まれる)ユーザーのみ
- 会社のユーザーのみ
「権限を持っているユーザーのみ」や「会社のユーザーのみ」の場合、宛先に設定した人や社内の人以外には権限が付与されないため、権限を持っていない人にURLが漏れてしまっても基本的にアクセスすることは出来ません。
ですが「リンクを知っているすべてのユーザー」で共有を行う場合には、リンクを知っていれば誰でもアクセスが行えてしまうため、本来意図しない人がURLを知ってしまった場合に共有を行ったファイルを閲覧することが出来てしまいます。
そのため、特に対策を行わずに共有してしまうことで情報が漏えいに繋がります。
「リンクを知っているすべてのユーザー」は外部の人や、同じクラウドストレージのアカウントを持っていない人向けに共有を行う場合に選択することが多いと思います。可能であれば使用しないことがベストですが、仕方なく利用することもあるかと思います。
では上記方法で共有する場合にはどのようにしたら良いのでしょうか。
とてもシンプルな対策ではありますが、"必ずアクセスを行うためのパスワードを設定し、URL+パスワードを知っていないとアクセス出来ないようにする"、"リンク共有先をしっかりと把握し管理する"、この2点がとても重要になります。
またアップロードしたファイルの管理対策にもなりますが、"URLにアクセス可能な有効期限を設定する"ことも大切な1つの対策となります。
上記だけでも行うことで、誰でもアクセス可能なURLの場合に、情報漏えいリスクを低減する効果は見込めます。
アップロードしたファイルの管理について
「リンク共有を行ったあとに共有したファイルを管理していますか。」と聞くと結構な方がしっかりと出来ているかどうか不安になるかと思います。リンク共有機能は便利な機能になりますが、しっかりと共有を行ったファイルを管理しないことで思わぬところで情報漏えいに繋がります。
簡単にクラウドストレージにアップロードを行うサービスもあるため、"ファイルをリンク共有してそのまま"なんてことも多いかと思います。
今回は以下の2つのリスクへの対策方法について紹介します。
- 過去にリンク共有をしたURLがアクセスできてしまいファイルを閲覧できてしまう。
- 共有先のフォルダのアクセス権限を適切に設定していなかったために、本来意図しない人がファイルを閲覧できてしまう。
1点目については、リンク共有を行う際に"アクセス可能な有効期限を設定する"ことが1つの対策となります。
特に外部のユーザー向けにファイルを共有した場合には必ず上記の設定を行うことが大切です。
「元々共有を目的としていたから問題ない」で片づけてしまうのではなく、しっかりと有効期限を設定し、過去に共有を行ったファイルが"そのまま共有されっぱなし"になることを防ぐことが大切だと思います。
また必要が無くなったら共有を行ったファイルをクラウドストレージ上から削除することが、一番確実で良い対策になります。
PPAP(ZIP暗号化形式によるファイル送受信)での手法では、ファイルがメールに添付されファイルそのものが送られるため、過去に一度送ってしまったファイルの再度閲覧を制限することは難しいところでした。ですがクラウドストレージを利用することで目的期間以外での利用(再閲覧等)を防止できるようになりました。
2点目については、「共有する際の権限を適切に設定できているか」という点になります。
「権限を持っているユーザーのみ」や「会社のユーザーのみ」だから大丈夫とは思っていませんでしょうか。
クラウドストレージで共有を行う際は共有を行うフォルダを選択し、そこに目的のファイルをアップロードすることが一般的かと思いますが、その共有を行うフォルダの権限についても注意が必要です。
というのも、上位のフォルダ権限を持っている人は、基本的にその配下に置かれているファイルやフォルダが閲覧できてしまうからです。
そのため、リンク共有で選択したフォルダより上位の権限を持つユーザーがいた場合に、本来その人には閲覧させたくないファイルも見えてしまう可能性があります。
対策方法としては、リンク共有を行う際に"共有を行うフォルダだけではなく、その上位のフォルダも意識して共有を行う"、"階層になっているフォルダの上位のフォルダから共有権限を与えない"ということが大切になります。
この点は特に注意しないと、過去にリンク共有した権限が残っており、お客様の情報が他社の人から見えてしまう等、思わぬ情報漏洩に繋がってしまうことが考えられます。
脱PPAPを行う企業が増えてきておりますが、改めてクラウドストレージでリンク共有を行う場合のリスクについても検討し、適切な運用を行うことでセキュリティ対策に取り組んで頂きたいと思います。
脱PPAPにも有効な、OneDrive やBoxを使った添付ファイルの共有ができます
「WISE Alert」の機能を見る
これまでの社員コラムをチェックコラム一覧を見る
