記事
事例から見るオンラインストレージサービスの情報漏えい対策と正しいサービスの選び方
最終更新日時:2023.7.21
2022年現在、社内の方やお客様へファイルの共有をおこなう際には、「ファイル共有サービス」を利用する企業が当たり前になりました。コロナウイルス感染症によるテレワークの浸透、PPAP問題など、これらの対策となるファイル共有サービスは今後も活発に利用されていくことが予想できます。
ただ、ファイル共有サービスには思わぬ"落とし穴"も...。それが情報漏えいです。現在無料のサービスをご利用中の方は特に情報漏えいの危険性が高いと考えられます。
今回はファイル共有サービス利用によって発生した情報漏えいの事例をもとに、ファイル共有サービスに潜む危険性とファイル共有サービスでできる情報漏えい対策について解説いたします。
ファイル共有の情報漏えい事例
まずは、実際にファイル共有サービスの利用によって発生した情報漏えいの事例を2つご紹介します。
設定ミスによる情報漏えい事例:官公庁(2013)
環境省・復興庁・農林水産省・国土交通省・厚生労働省の内部情報が、ファイル共有サービスの設定ミスにより漏えいした事例です。漏えいした情報には環境省の条約交渉に関する状況報告、厚生労働省の医療機関利用者の個人情報など、機密にすべき情報が含まれていました。 これらの官公庁では「Googleグループ」でファイルの共有を行っていましたが、「全ての情報を公開」の設定にしたまま使用を続けていたため、誰でも閲覧できる状態になっていたのです。
外部攻撃による情報漏えい事例:内閣府(2021)
内閣府が利用するオンラインストレージへ外部からの不正アクセスが発生。231名分の個人情報(氏名、所属、連絡先など)が流出する事件が発生しました。原因はサービスの脆弱性を突かれたことにより、攻撃者によるストレージ上のファイルに対する不正操作が可能になったことによるものと発表されています。
前者はいわゆるヒューマンエラーによる情報漏えいのためサービスの「ユーザー側」、後者はサービス自体の脆弱性による攻撃のため「サービス側」に起因した事例になります。
ユーザー側とはサービスに実装されている機能を使いこなせているか、設定ミスなどのヒューマンエラーへの対策ができているかなどが該当します。一方サービス側とは、しっかりとした情報漏えい対策がなされているサービスか、細かなセキュリティ設定ができるか、自社の運用に沿うサービスであるかなどです。
このように、ファイル共有サービス利用による情報漏えいを防ぐには、ユーザー側・サービス側に分けて原因・対策を考える必要があります。
まずはユーザー側に着目します。みなさんはファイル共有には大きく「3つのプロセス」があることをご存知でしょうか。それが「ファイル保存」、「ファイル保管」、「ファイル共有」です。
ファイル共有プロセスにおける情報漏えいリスク
「ファイル保存」、「ファイル保管」、「ファイル共有」それぞれで起こりうるリスクについて下記にまとめました。
ファイル保存
相手にファイルを共有する際、まずファイル共有サービスのストレージ内に対象ファイルを保存します。
考えられるリスクとしては、例えばファイルの上書きミス。作業中のファイルと異なるファイルに上書き保存してしまう、あるいは上書き保存自体を忘れてしまうなどにより、意図していない状態のファイルを相手に送ってしまう可能性があります。また保存場所の設定ミスにより、本来アクセスできない第三者がファイルにアクセスできるようになり、機密情報などの漏えいにつながる危険性もあります。
ファイル保管
ファイル共有サービスへの保存後、共有する頻度が多いファイルは長期間そのままにしている方もいるでしょう。
ファイル保管に関する懸念としては、社内メンバーの誤操作によりファイルの中身を書き換えられてしまう、またアカウント認証情報が何らかの理由で漏えいし、攻撃者により不正にアクセスされてしまい、ファイルの中身を盗み見されてしまうなどの危険性が考えられます。
ファイル共有
当然ながらファイル共有もプロセスの1つです。
ファイル共有の方法としては、ファイル共有用に発行したリンクをメール・チャットなどで送信する方法が多いですが、共有する際に間違った相手に送ってしまう、または意図していないファイルを送ってしまうなどのミスをすると情報漏えいに繋がる危険性があります。
ファイル共有による情報漏えいはセキュリティ意識の問題かも
これらのリスクの発生原因として、単純な操作ミスが多いですが、実は従業員のセキュリティ意識が薄いことによりミスが発生している可能性もあります。セキュリティに馴染みのない従業員に根付かせるのは相当な努力が必要ですが、対策としてセキュリティ意識に関する勉強会を開くのもいいでしょう。その際は下記を重点的に伝えるようにしましょう。
<セキュリティ勉強会で従業員に伝えるポイント>
・実際の情報漏えい事例と具体的な被害内容
・なぜ情報漏えいが起こるのか
・情報漏えいは企業にどんなリスクを及ぼすのか
・サービス側の設定方法や操作時に気を付けること
実際に発生した情報漏えい事件をまとめているサイトもございます。参考までにご覧ください。
◆サイバーセキュリティ.com (株式会社セキュアオンライン)
従業員の意識改善により払拭できるリスクは少なくありません。もしご紹介したようなミスが社内で見受けられる場合は、まずは従業員のセキュリティ意識から見直してみましょう。
ファイル共有サービスを選ぶポイント
前述の通り、従業員の意識改善にかかるセキュリティ担当者の負担は大きいものです。通常業務に加えてとなると、現実的には難しい可能性もあります。そんなときはサービスの力に頼ることも必要です。
では、企業が安全にファイル共有をするにはどのようなサービスがいいのか、選定のポイントをご紹介します。特にサービス側ではセキュリティ機能がしっかり実装されているかが重要です。既存サービスには含まれていない要素や機能があれば、入れ替えを検討してもいいかもしれません。
無料のサービスは利用しない
著名なファイル共有サービスでは、個人でも手軽に利用できるよう、無料と有料のプランをそれぞれ準備しています。ただし、企業が無料プランを利用することはおすすめできません。無料プランの場合、セキュリティ対策機能が十分でない、また万が一トラブルが発生しても、サービス提供会社に対応してもらえないなどの危険性があります。「無料で使えたら...」と誰しもが思いますが、ビジネス上では無料プランは利用しないほうが無難でしょう。
通信やファイルの暗号化
通信の暗号化とは、ウェブ上のブラウザとファイルが格納されているサーバー間の通信を暗号化することです。暗号化されていない通信は、データ流出のほか、改ざんやフィッシング詐欺のリスクが高まります。
また通信の暗号化に加えて、ファイル自体の暗号化も重要です。昨今話題のPPAP(Zipファイルと解凍パスワードを2つのメールに分けてファイル共有する手法)の場合、Zip形式で暗号化はしているものの、ファイル自体がウイルス感染しているとウイルス対策ソフトで検知できず、すり抜ける恐れがあります。ファイル共有サービスにファイル暗号化機能があれば、サービス内への格納時にウイルスチェックをおこない、暗号化して保管するので安全性が高まります。
▼こちらも合わせてご覧ください▼
脱PPAP対策|パスワード付zipは意味ない?PPAPの問題点や対策方法をご紹介
ファイルへのアクセス権限
関係者全員がすべてのファイルにアクセスできるような環境の場合、情報漏えいのリスクだけでなく、誤操作などによるファイル削除やファイル内の書き換えが起こるリスクも高まります。
誰がどの範囲までのデータにアクセスできるのか、閲覧のみか編集もできるかなど、なるべく詳細にファイルへのアクセス権限が設定できるサービスを選びましょう。
お客様専用のフォルダ作成機能
ファイル共有サービスの中には、お客様専用のフォルダを作り、相手に共有できる機能を持つサービスがあります。例えばフォルダへアクセスできる有効期限やパスワード設定、相手にはアップロードさせないなど、フォルダの権限を自由に設定できるサービスだと安心です。
ログ管理機能
ログとは、パソコンやシステムなどの操作や利用状況を把握するための操作履歴や記録のことです。いつ誰がファイル共有サービスへログインしたか、ファイルをアップロード・ダウンロードしたかなど、情報漏えいや不正利用が発生した際に、迅速に該当のログを調査できるよう、ログ管理機能が付いているかサービス内容を確認しましょう。
まとめ
本記事ではファイル共有における情報漏えいのリスクや対策、サービスの選び方について解説いたしました。ユーザーのセキュリティ意識の向上や、セキュリティ機能が充実したサービスを選ぶことで防げる情報漏えいリスクもあります。情報漏えいが起こる可能性を少しでも下げるためにも、まずは現在ご利用のサービスに、本記事でご紹介した機能が搭載されているか確認してみてはいかがでしょうか。
安全なファイル共有ならGIGABOX
GIGABOX(ギガボックス)は、安心安全に大容量のファイルを共有できるオンラインストレージサービスです。GIGABOXには未然に情報漏えいを防ぐセキュリティ機能を豊富に搭載しており、お客様の大事なデータを攻撃者から守ります。
SSL通信+ファイル暗号化で安心!
ファイルアップロードなどで発生する通信は全てSSLで暗号化しており、さらに格納されたファイル自体も暗号化して管理しますので、安全なファイル共有を実現します。
共有するときも安心!細かなファイル権限設定
共有する際のファイルリンク化はもちろん、パスワードや有効期限、相手方のダウンロード回数まで制限できます。
お客様とのファイル受け渡しも安心!ゲストフォルダ機能
各ユーザーの配下にお客様専用のゲストフォルダを作成できます。ゲストフォルダでは、ログインID・パスワードの設定、フォルダの有効期限、さらにゲスト側の操作はアップロード・ダウンロードいずれかのみ許可という設定ができるので、機密性を保持しつつスムーズにファイルの受け渡しができるようになります。ゲストは招待されたゲストフォルダ以外は見ることができませんのでご安心を!
行われた操作を完全記録できて安心!ログ管理機能
ユーザーのログインからファイルの操作、ダウンロード先の接続元IPアドレスまで、GIGABOX内で行われた操作履歴を完全記録します。企業で求められる情報セキュリティレベルを落とすことのない運用が可能です。