2020年末に話題となった「PPAP問題」は、ファイル共有のあり方に一石を投じた。テレワークをはじめとした柔軟な働き方が定着しつつある中、社内外を問わずファイル共有はビジネスシーンにおいて頻繁に発生する行為である。そこで今回は、ファイル共有における「保存」、「保管」、「共有」という3つの行動における、セキュリティリスクと対策について解説する。
テレワークで高まるファイル共有のニーズ
新型コロナウイルス感染症拡大の影響を受け、従来までなかなか導入が進まなかった業種や業務領域においてもテレワークが急速に普及した。オフィス環境であれば、対面での会議や印刷・コピーなど紙や口頭で共有できた情報も、メールやチャットなどを介したファイル共有を余儀なくされるシーンが増えてきている。
社内だけでなく取引先に対しても同様で、認識の齟齬を生じさせないためにも、ファイルでの共有が頻繁に求められるようになった。電子データは紙に比べて共有が容易で、エビデンスとして残しやすいという利便性の反面、リスクもある。
ファイル共有のリスクについて考える機会となった1つが、2020年末に各種メディアで話題になった「PPAP問題」だ。ここで言う「PPAP」とは、ZIPファイルを暗号化し、パスワードを別送するタイプのファイル共有方法だ。これまでPPAPはセキュリティ上の観点からはより安全であるとされてきたが、セキュリティソフトがZIPファイルの中身までチェックできないため、エモテットのようなファイル添付型のマルウェアに悪用されるようになり、その安全性を問題視されるに至った。
ファイル共有には「ファイル保存」、「ファイル保管」、「ファイル共有」といった大きく3つのプロセスが存在する。それぞれのプロセスにおけるリスクと対策を整理することで、ファイル共有の安全性を高めるためのヒントにしてほしい。
「ファイル保存」におけるリスクとその対策
まず、「ファイル保存」におけるリスクとその対策について4つ紹介する。保存のプロセスでは人為的なミスも多く起こりがちだ。
1)操作ミスによるファイルの破損・消失
ファイルの保存においては、ユーザーの操作ミスによって重要なファイルが破損したり、消失したりするリスクがある。対策としては、バックアップを取得しておく、あるいはフォルダへのアクセス権限を設定するなどが挙げられる。
2)ファイルの上書きミス・保存漏れ
作業しているファイルと異なるファイルに上書き保存する、あるいは、そもそも保存し忘れてしまうといったリスクも考えられる。ほかにも、ファイルの共有時に保存前のファイルを送ってしまう、といったことも起こりがちなトラブルだ。対策としては、こちらもバックアップの取得、クラウドストレージを用いたリアルタイム保存などが考えられる。
3)保存場所の設定ミスによる情報漏えい
ファイルを保存する場所を間違えることで、本来アクセスできない第三者がファイルにアクセスできるようになり、機密情報などの漏えいにつながる可能性もある。これは社内ネットワークのファイルサーバーだけでなく、クラウドストレージでも起こり得るトラブルだ。対策としては、ディレクトリごとにアクセス権限を細かく設定するという方法が挙げられる。
4)私用端末やUSBメモリーへの機密情報の保存
個人情報や機密情報などの重要データを従業員の私用端末やUSBメモリー、ポータブルSSDなどへ保存することはそれだけでリスクが高まる。対策としては、私用端末や外部ストレージ自体の使用禁止、あるいはソフトウェアによる外部ストレージへの書き込み禁止、といった方法が挙げられる。ほかにも、社内規定を定める、従業員教育を徹底する、操作ログの管理なども有効だ。
「ファイル保管」におけるリスクとその対策
「ファイル保管」に関するリスクとその対策を5つ紹介する。仕組みをしっかりと整えることで抑止できるリスクも多い。
1)内部不正に伴う書き換えリスク
社内に保管されたファイルは従業員の不正によって書き換え、改ざんされるリスクも想定される。対策としては、バックアップ、アクセス権限の設定、操作ログの管理などが挙げられる。また、そもそも内部不正を生み出さないための教育や環境の整備も不正の抑止に有効である。
2)アクセス権限の不備による機密情報の漏えい
ファイルやフォルダへのアクセス権限の設定不備により、機密情報が漏えいするケースも少なくない。対策として、ルールの整備や周知・徹底に加え、機密性の高い情報領域へのアクセス監査のポリシーを適用しておくことも1つの方法だ。不正なユーザーがファイルへアクセスした場合に、検知するだけでなく、アラートを通知する仕組みもある。また、対処が漏れがちなのが、人事異動や退職したユーザーの権限設定を適切に変更することだ。異動や退職に伴う事務処理のフローに変更対応を組み込むようにしたい。
3)ファイルサーバーのマルウェア感染
従業員のパソコンがマルウェアに感染した場合、その従業員の端末がアクセス可能なファイルサーバーにも被害が拡大する恐れがある。対策として、従業員の各端末はもちろんのこと、ファイルサーバーにもセキュリティソフトを導入しておくようにしたい。また、外部のパソコンなどを社内ネットワークに接続する場合、適切なチェックとルールの設定も行っておくと良いだろう。
4)アカウントの認証情報の漏えいによる不正アクセス
仮にファイルサーバーやクラウドストレージの認証情報が漏えいした場合、不正アクセスのリスクは限りなく高まる。漏えいはパスワードの使い回しなどが原因になることも多いため、複雑なパスワードにした上で、パスワードマネージャーなどで厳格に管理する必要がある。また、パスワードポリシーが設定できるシステムの利用や、アクセス端末の制限機能などの活用も検討したい。
5)端末や機器の盗難・紛失
リモートワークの浸透で、社外で業務を行う機会が増え、端末の盗難や紛失といったリスクも高まっている。端末のロックや暗号化、リモートワイプなどの仕組みにより、こうした場合の情報漏えいリスクを抑制できる。
「ファイル共有」におけるリスクとその対策
「ファイル共有」における5つのリスクとその対策を解説する。電子データは紙に比べ共有しやすいことが利便性の1つだが、共有しやすい分、「うっかりミス」も起きやすいので注意が必要だ。
1)ファイルの誤送信による情報漏えい
メールなどで間違った相手へ送信、あるいは予定とは異なるファイルの送付などで情報漏えいにつながる危険性がある。メールを用いた共有ではなく、クラウドストレージにファイルをアップロードし、共有URLを発行することで、宛先やファイルを間違えた際にもファイル自体を削除するなどの対応を取ることができ、漏えいリスクを抑制できる。
2)共有先の指定ミスによる情報漏えい
クラウドストレージ上のファイルを共有する際に、共有先の設定ミスをしてしまうことも考えられる。対策としては、そもそも社外に共有できない設定にする、限られた人にしか共有できないようにするなどが挙げられる。
3)公衆Wi-Fiの利用による通信の盗聴
社外で業務を行う際、カフェなどで利用できる公衆Wi-Fiを使ってファイル共有を行うと、データを盗聴されるリスクがある。外出先でインターネットを利用する際はVPNを利用することで盗聴リスクを抑制できる。ただし、無料のVPNを利用することで、別のリスクが生じる場合もあるので注意が必要だ。
4)マルウェア付きメールの開封による感染リスク
ファイルを送る際だけでなく、受け取る際にもリスクがある。メール添付で送付されたファイルにマルウェアが紛れ込んでいるケースなどが挙げられる。基本的な対策としては、ウイルスチェックが可能なセキュリティソフトを導入することだ。また、メール文面などを精査した上で、不審なメールは開封しない、といった対策も基本的だが押さえておきたい。しかし、ZIPファイルの場合はファイルが暗号化されていることで、セキュリティソフトの中にはチェックできないものもある。ZIPファイルのメールでのやり取りを避け、先述のようにストレージ経由でのファイル共有といった方法を利用することも検討したい。
5)シャドーITによる情報漏えい
シャドーITとは、従業員個人が契約したクラウドストレージなどのITツールを勤務先の許可なく業務に利用することである。企業の監視の範囲外になってしまうため、情報漏えいを検知しにくいというリスクがある。対策としては、クラウドストレージの整備など、シャドーITを回避するための業務環境を企業側で用意することなどが考えられる。従業員もやむを得ず、あるいはリスクを知らず結果的にシャドーITとなっている場合も少なくないため、企業側も従業員に歩み寄るスタンスが求められる。
ファイル共有のリスクを回避するために適切な対策を
デジタル全盛時代となり、ファイルの保存、保管、共有は日々の業務を円滑に遂行していく中で必要不可欠な行為となっている。ただし、今回説明したように、これらの作業の中には大小さまざまなリスクが存在する。そして、それらのリスクはどれも不可避なものではなく、対策を講じることでそのリスクを大きく低減できる。
今回紹介したリスクは、人為的なミスによるものも含め、ITツールやソフトウェアの活用で抑制できるものが少なからず存在することが見えてきたのではないだろうか。また、ITの活用と並行して、社内のルール整備や従業員教育など、リスクを周知させ、予防を図るといった対策も欠かせない。自社の状況に応じて、適切な対策を選択して講じるようにしてほしい。