お役立ち情報在宅勤務シフトでニーズ高まるクラウドストレージ
ファイル共有方法の主流はリンクURLのメール送信
新型コロナウイルスの感染拡大防止のため、在宅勤務を導入する企業はここ数ヶ月で一気に増大しました。在宅勤務の積極的な活用は、企業と従業員の双方に大きなメリットがあるため、この問題が一段落した後も継続したいと考える企業も多いようです。そのためには当然ながら、社内のファイル共有手段も根本から見直さなければなりません。社内のファイルサーバーにVPNでアクセスするといった面倒な方法ではなく、クラウドストレージへと移行したいと考えているIT担当者も多いのではないでしょうか。
ここで気になるのが、クラウドストレージサービスのセキュリティです。特に重要なのが、ファイルを共有した場合に十分なセキュリティを確保できるか、ということです。そこで今回は、代表的な4つのクラウドストレージサービスであるGoogle Drive、Microsoft OneDrive、Dropbox、Boxを取り上げ、どの程度のセキュリティが確保されているのかを見ていきます。
1.Google Drive
現在クラウドストレージとして最もユーザー数が多いのが、Google Driveでしょう。2018年にはユーザー数が10億人を突破する見込みという発表がありましたが、現在はさらに多くのユーザーが利用しているはずです。世界最大級のサービス基盤を持っているということもあり、その運営体制も厳格です。データセンターの物理的セキュリティはもちろんのこと、従業員の行動でも「セキュリティファースト」が徹底されています。
ユーザー認証には2要素認証が利用できるようになっており、外部との通信も暗号化。また暗号化に関しては、秘密鍵を取得しても過去に遡った解読が行えないようにする「FS(Forward Secrecy:前方秘匿性)」という技術を、いち早く採用したことでも知られています。ファイル共有に関しては、大きく2種類の方法が用意されています。
1つは、共有相手となるユーザー名やメールアドレスを指定して共有を行う方法です。この場合には、共有相手もGoogleアカウントを持っている必要があります。共有権限としては、編集者、コメント可、閲覧者の3種類を指定できます。
もう1つは共有ファイルにアクセスするためのリンク(URL)を取得し、これを共有相手に伝達する方法です。この場合には、共有相手がGoogleアカウントを持っている必要はありません。共有権限としては、編集者、コメント可、閲覧者の3種類を指定できます。ただしURLを知っている人は全員アクセス可能になるため、URLが流出した場合には情報漏えいが発生する危険性があります。有効期限は設定できますが、パスワードの設定はサポートされていません。
2.Microsoft OneDrive
企業向けソリューションで高い実績のある、マイクロソフトが提供するクラウドストレージサービスです。そのため極めて高い内部セキュリティを実現していると評価できます。当然ながら通信は暗号化されており、格納ファイルを暗号化してロックする「パーソナルボールト」というフォルダも提供されています。ユーザー認証に2要素認証を使うことも可能です。モバイルデバイスで使用する場合には、デバイス内データの暗号化もサポート。不審なアクセスが検出された場合にはメール通知されます。さらにMicrosoft 365のアカウントで使用している場合には、ランサムウェアの検出と復旧、ファイルの復元も行えます。
ファイルを共有する場合には、共有したいファイルやフォルダのリンクを取得し、それをメール等で送信します。アクセス権限は、閲覧のみと編集を許可のいずれかを指定可能。このリンクには有効期限やパスワードを設定できますが、リンクを知っている人は誰でもアクセスできるため、パスワードなしでリンクが転送された場合には情報漏えいの危険性があります。なおOneDrive for Businessの場合には、「すべてのユーザー」「組織内のユーザー」「特定のユーザー」「既存のアクセス権を持つユーザー」といった単位で、アクセス権限の制限を行うことが可能になっています。
3.Dropbox
インフラとアプリを定期的にテストし脆弱性の特定と修正を実施、外部のセキュリティ専門家やセキュリティチーム、セキュリティリサーチのコミュニティと協力するなど、安全性確保に向けた十分な取り組みが行われています。またデータ転送と保管ファイルの両方で暗号化を行っており、過去のトラフィック解読を不可能にする「PFS(Perfect Forward Secrecy:前方秘匿性)」もサポートしています。
フォルダの共有方法は2種類用意されています。1つはDropboxアカウントを持っている人向けのものであり、相手のユーザーを指定し、編集、コメント、閲覧のみのいずれかの権限を設定するというものです。もう1つはDropboxのアカウントがなくても共有できる方法であり、読み取り専用のリンクを作成し、これをメールなどで送信します。有効期限やパスワードの設定も可能です。
4.他サービスに比べて突出しているBoxのアクセス管理機能
Boxも他のサービスと同様に内部セキュリティが徹底されており、SSLと保存データの暗号化、二要素認証が標準でサポートされています。また上位プランでは、データ損失防止(DLP)やユーザーアクティビティの追跡、管理権限の委任、電子透かしの埋め込みなども可能になっています。
ファイルやフォルダの共有方法は、他のサービスとかなり異なっています。ファイルやフォルダへのアクセス権限を、グループ単位、ユーザー単位で、管理者がきめ細かく設定できるようになっているのです。権限としては、所有者、編集、削除、リンク取得、プレビュー、ダウンロード、アップロードの7種類が用意されています。
なお、この権限設定の対象ユーザーはBoxのアカウントを持っている必要がありますが、それ以外の人とファイルを共有することも可能です。この場合には他のサービスと同様に、ファイルへのリンクを共有対象者に伝達します。有効期限やパスワードの設定も可能です。
またワークフロー機能である「Box Relay」を提供している点も、Boxの大きな特長です。これはBox内に保存されている稟議書などのコンテンツを定義した順に回覧し、閲覧者が申請承認やコメントを付けて差し戻す、といったことが可能な仕組みです。この承認フローに社外パートナーを組み込むこともできます。2020年2月からは、セキュリティ機能である「Box Shield」との連携も可能になりました。ワークフローではその段階に応じて必要なセキュリティポリシーが変わりますが、これを事前に一括設定できるようになったのです。これによって人為的なミスを削減できるようになり、機械学習と連動したアラート機能によって不審な動きを検知することも可能になりました。
ここまで見てきた通り、内部セキュリティに関してはどのサービスも、十分な安全性を確保していると言えます。「ファイルの安全な保管」という面ではいずれも問題はなく、各サービスの内部から情報漏えいが発生する危険性は、極めて低いと考えられます。注意すべきなのは、ファイル共有を行う際のセキュリティです。実はここで情報漏えいするケースが多いのです。
ファイル共有の際の設定をエンドユーザー任せにしてしまうと、セキュリティポリシーを徹底することは困難になります。例えば「パスワードなしでリンク共有を行うことは不可」というルールを設定した場合でも、エンドユーザーがそれを無視した行動を取れる場合には、ルールを徹底することは難しいのです。またこのような行動をとった場合に、管理者が追跡できないのも問題があります。
セキュリティを徹底するには、管理者によるきめ細かい管理とユーザー行動の追跡が可能なサービスを、選択すべきだと言えるでしょう。